Platform over productie- en procesautomatisering
Als er een potentieel gevaarlijke uitval is gedetecteerd, kunnen fouttolerante systemen een verdere werking mogelijk maken. Dit verhoogt weliswaar de beschikbaarheid, maar men moet er over waken dat de veiligheid van de medewerkers gegarandeerd blijft. Daarom is naast de foutdetectie ook een foutbeoordeling noodzakelijk. Zo kan worden beslist of de gedetecteerde fout kan worden getolereerd of toch te ernstig is. In dat laatste geval is het onmiddellijk stopzetten van het systeem onvermijdelijk. Als alternatief kan men in gedegradeerde toestand verder werken.
Veiligheidssturingen worden nu zodanig ontworpen dat wanneer er zich een fout voordoet, de machine dan naar een veilige status wordt gebracht. In bijna alle situaties komt dat er op neer de energie uit te schakelen. In complexe productieomgevingen betekent dat vaak dat de volledige productielijn tot een halt moet worden gebracht. Bepaalde programmeerbare veiligheidssystemen beschikken over functies die individuele modules kunnen uitschakelen. Die selectie moet gebeuren in functie van de toepassing en moet individueel worden bepaald. Niettemin zullen bepaalde machines en machinefuncties alsnog uitgeschakeld worden in functie van de sturingsarchitectuur. Dit systeem werkte tot nog toe zonder veel problemen, maar de komst van Industrie 4.0 heeft voor meer dynamiek gezorgd en zal dat ook in de toekomst blijven doen. Individuele machines worden geconnecteerd tot volledige productielijnen en zelfs verbonden met andere productiesites. In dat geval kunnen bedrijven zich geen stilstand veroorloven wanneer er iets aan de andere kant van de wereld fout loopt. Er is nood aan tolerantie voor bepaalde fouten. Fouttolerante systemen moeten echter wel duidelijk afgebakend worden volgens onderstaande vragen:
Zo zou de beslisser bij het bewaken van veiligheidsbeperkte snelheden in een aandrijfsysteem (SLS conform EN 61800-5-2) in geval van een fout de opdracht kunnen geven dat alleen nog het bedrijf met een verlaagde snelheid is toegelaten.
Om te weten in hoeverre het onder de bestaande normen is toegestaan om gedurende een beperkte periode het verder werken van een automatiseringssysteem met een veiligheidskritische fout mogelijk te maken, richtte het ZVEI een werkgroep op. Het resultaat werd gebundeld in een whitepaper. Uiterlijk bij het bereiken van de maximaal toegelaten bedrijfsduur in de gedegradeerde toestand moet een beslisser de veilige toestand verwezenlijken. De beslisser draagt bovendien een grote verantwoordelijkheid: in het kader van een fouten- en effectenanalyse wordt een onderscheid gemaakt tussen tolereerbare en niet-tolereerbare fouten. Bij niet-tolereerbare fouten, zoals bij de intra-processorcommunicatie tussen twee controllers, is een veilige, verdere werking niet gewaarborgd en moet daarom tot een onmiddellijke stilstand leiden. Andersom kan onder bepaalde omstandigheden een kortsluiting/externe voeding (stuck-at-error) op een digitale uitgang van een besturing of een sensor gedurende een periode worden getolereerd, mits een tweede, onafhankelijk uitschakelpad de veiligheidsfunctie correct kan uitvoeren.
De auteurs van de door ZVEI gepubliceerde whitepaper komen tot de conclusie dat de beoordeling van de beschreven maatregelen overeenkomt met de beschermingsdoelen van de machinerichtlijn en niet in strijd zijn met de geharmoniseerde normen EN ISO 13849 en EN 62061.
Als de relevante normen EN ISO 13849 en EN 62061 worden onderzocht, dan wordt er geen aanwijzing aangetroffen met het oog op een onmiddellijke of rechtstreekse reactie op de fout, wanneer deze optreedt. Bovendien laten ook de modellen voor het berekenen van de uitvalwaarschijnlijkheid (PFHD) de benodigde vormgevingsspeelruimte toe, omdat deze zich bij redundante architecturen aan het begin op een laag niveau afspeelt en pas na enkele tijd stijgt. Afhankelijk van de risicoanalyse en de kwaliteit van de toegepaste maatregelen voor het beheersen van fouten, kan de beslisser de periode tot aan het uitschakelen zo tot maximaal één week verlengen. De alternatieve berekeningsmethode die de basis vormt in EN 62061, definieert een diagnosetestinterval dat ook aan een in de praktijk verwaarloosbaar aandeel van de PFHD bijdraagt. Bij beide berekeningsuitgangspunten wordt echter verondersteld dat het realiseren van de veiligheidsfunctie over voldoende reserve met betrekking tot de uitvalreserve beschikt ten aanzien van fouten met dezelfde oorzaak (common cause failure) en dat die in acht zijn genomen.
Afhankelijk van de risicoanalyse en de kwaliteit van de toegepaste maatregelen voor het beheersen van fouten, kan de beslisser de periode tot aan het uitschakelen zo tot maximaal één week verlengen.
Een ander principe gaat uit van het idee dat een beslisser in geval van een fout alternatieve aanvullende veiligheidsmechanismen activeert. Zo zou de beslisser bij het bewaken van veiligheidsbeperkte snelheden in een aandrijfsysteem (SLS conform EN 61800-5-2) in geval van een fout de opdracht kunnen geven dat alleen nog het bedrijf met een verlaagde snelheid is toegelaten. Door de snelheidsbeperking wordt het vereiste niveau voor het minimaliseren van het risico van PL d naar PL c verlaagd. Concrete toepassingsgebieden komen ook voor bij transportsystemen zonder bestuurder (FTS), waarbij de rijwegcontrole wordt gerealiseerd door de snelheidsafhankelijke dimensionering van het veiligheidsveld van een laserscanner.
Wat in de machinebouw nog toekomstmuziek is, is in vele delen van de procesindustrie reeds de stand van de techniek. De auteurs van de door ZVEI gepubliceerde whitepaper komen tot de conclusie dat de beoordeling van de beschreven maatregelen overeenkomt met de beschermingsdoelen van de machinerichtlijn en niet in strijd zijn met de geharmoniseerde normen EN ISO 13849 en EN 62061. Het zal beslissend zijn voor de acceptatie of het gebruik door de mogelijkheid van het gedegradeerde bedrijf meetbaar kan worden vastgelegd, of dat andere invloeden die bijvoorbeeld resulteren uit de toenemende koppeling van IT- en automatiseringscomponenten, de beschikbaarheid van de installatie in gevaar brengen.
Naar een whitepaper van ZVEI in samenwerking met Beckhoff Automation, BGHM, Euchner, Festo, IFA, ifm electronic, Leuze electronic, Pilz, Phoenix Contact, Schmersal, Sick, Wago Kontakttechnik
Louwers Mediagroep
Domein de Herten
Hertsbergsestraat 4
8020 Oostkamp, België
© 1987 - 2024 Louwersmediagroep.
