Den som råkat ut för en punktering på bilen vet hur obehagligt det kan vara. Framför allt när man är på väg på semester, på väg till ett viktigt möte eller när man kör mitt i natten längs en öde landsväg. För att åtminstone kunna fortsätta köra under en kort tid har däckindustrin utvecklat så kallade ”Runflat-däck”. Med dessa kan man med reducerad hastighet köra till nästa verkstad.
Vad innebär det om man överför detta koncept till automatiserade tillverkningskoncept, i synnerhet på området för säkerhetsteknik?
Säkert läge
När det uppstår ett säkerhetsrelevant fel i dagens säkerhetskoncept säkerställs i regel ett säkert läge så snabbt som möjligt, även om de flesta säkerhetsfunktionerna är redundant utformade för högre säkerhetsintegritetsnivåer (SIL) eller Performance Level (PL).
Om t.ex. en överledning identifieras mellan två kanaler i givarkretsen till en nödstoppsknapp, stängs farliga rörelser omedelbart av.
Därför har en arbetsgrupp inom ZVEI tillsammans med olika medlemsföretag och ett institut funderat på i vilken utsträckning det ur ett standardperspektiv är tillåtet att ett automatiseringssystem kan fortsätta drivas under en begränsad tidsperiod med ett säkerhetskritiskt fel.
Maskindrift i begränsat tillstånd
I processtekniska anläggningar kunde vissa tillverkningssteg med kritiska processparametrar köras till slutet, beroende på indikeringen när ett fel uppträder och den ”begränsade driftens” visade status. Senast när den maximalt tillåtna drifttiden i ”begränsat tillstånd” uppnås, måste säkert läge säkerställas av en ”beslutskrets”.
Inom ramen för en fel- och konsekvensanalys skiljer man nämligen mellan två olika typer av fel. Vid icke-tolerabla fel kan en säker drift inte garanteras och därmed måste anläggningen stoppas omedelbart. Vid tolerabla fel kan driften fortsätta under en begränsad tidsperiod, under förutsättning att t.ex. en andra oberoende avstängningkrets kan utföra säkerhetsfunktionen på rätt sätt.
Beräkning av sannolikheten för fel
De relevanta standarderna EN ISO 13849 resp. IEC 62061 innehåller inga krav vad gäller omedelbara felreaktioner när ett fel uppträder. Modellerna som används för att beräkna sannolikheten för fel (PFHd) lämnar det handlingsutrymme som krävs eftersom sannolikheten för fel vid redundanta arkitekturer till en början förblir låg, och sedan ökar först efter en viss tid. Beroende på riskbedömningen och kvaliteten på åtgärderna som vidtas för att hantera felet, kan man förlänga tiden till max. en vecka innan beslutskretsen utför avstängningen. Den alternativa beräkningsmetoden som ligger till grund i EN 62061 definierar ett testintervall för diagnos, som också bidrar till en i praktiken försumbar andel av PFHd.
Båda beräkningsmetoderna förutsätter dock att säkerhetsfunktionens utförande har en tillräckligt omfattande reservomkoppling och att kraven gällande fel av samma orsak (common cause failure) har uppfyllts.
Kompletterande säkerhetsåtgärder
Ett annat tillvägagångssätt är idén om att en beslutskrets i händelse av fel aktiverar alternativa och/eller kompletterande säkerhetsmekanismer. Vid övervakningen av säkerhetsbegränsade hastigheter i ett drivsystem (SLS enligt EN 61800-5-2) kan beslutskretsen, i händelse av fel, påverka att driften kan återupptas endast med begränsad hastighet. Genom hastighetsbegränsningen sänks den obligatoriska nivån för riskminskning från PL d till PL c. Konkreta tillämpningsområden uppstår även i förarlösa transportsystem (FTS) där kontrollen av körbanan realiseras med den hastighetsberoende dimensioneringen av en laserskanners skyddsfält.
Framtiden
Författarna bakom vitboken som publicerats av ZVEI kommer till slutsatsen att utvärderingen av de beskrivna åtgärderna överensstämmer med maskindirektivets skyddsmål, och att de inte motsäger de harmoniserade standarderna EN ISO 13849 och EN 62061.
Något som kommer att vara avgörande för acceptansen är om det genom mätningar går att bevisa nyttan i att kunna utnyttja begränsad drift. Framför allt med hänsyn till att allt mer sker via nätverk, blir det ännu viktigare att kunna felsöka enstaka komponenter för att upprätthålla anläggningstillgängligheten.
Aktivt felmeddelande i processindustrin
Det som inom maskinbyggnation fortfarande låter som science fiction är inom många delar av processindustrin redan teknisk standard. Till exempel är de säkra kopplingsmodulerna i familjen PSRmini utrustade med en aktiv felåterkopplingsfunktion, som gör att det överordnade säkerhetsstyrsystemet SIS (Safety Instrumented System) kan utföra en säkerhetsrelaterad utvärdering. Detta sker utan att digitala ingångar behöver användas för avläsning av de brytande kontakterna. På grund av kopplingsreläets aktiva felåterkoppling uppstår en obalans i den säkra digitala utgångens impedans. Detta medför att CPU:n i säkerhetsstyrsystemet SIS fortfarande beslutar om driften ska fortsättas eller om alternativa reaktioner på felet ska inledas.