proces - Automatik

44 februar/marts 2010
Sikkerhedsrelaterede dele af maskinens styresystem – 2
Denne artikel giver indblik i nogle væsentlige standarder
og deres anvendelse. Artiklen introducerer Functional
Safety og pålidelighedsniveau PL- og SIL-niveau.
Af Jørgen Sommer
SIKKERHED. Der er flere direktiver,
som kræver, at der
skal laves en risikovurdering.
Dette gælder både for
Maskindirektivet og Medical
Device Direktivet.
EMC-standard
Det nye EMC direktiv har
fjernet kravet om test i henhold
til harmoniserede standarder,
hvis der i stedet for
laves en slags risikoanalyse,
som dokumen-terer, at de
væsentlige krav er opfyldt.
Test er i dette tilfælde erstattet
af eller suppleret med
en systematisk, struktureret
og dokumenteret proces.
Standard IEC/EN 61326-
3 omhandler EMC-krav til
sikkerhedsrelateret udstyr
- Functional Safety.
Elektronikudstyr til at
sikre, at apparater og maskiner
kan anvendes uden,
at de udgør en sikkerheds-
eller sundhedsmæssig fare,
skal opfylde skrappere immunitetskrav
end normalt
kontroludstyr.
Immunitetstesten er den
samme som i den generiske
standard IEC/EN 61000-6-
2, men niveauerne er hævet,
og når der er tale om et højt
sikkerhedsniveau, er varigheden
og antallet af transiente
impulser forøget. Med
hensyn til fejlkriterierne, så
må udstyret godt fejle, bare
sikkerhedsfunktionen går i
”safe mode”.
Orientering
om standarder
De harmoniserede standarder
er standarder, der
er udviklet som aftaledokumenter.
De benyttes til
aftaler mellem køber og
sælger. De benyttes også
som kontroldokument af
bemyndigede organer, der
udfører test, konstruktører
og købere; som grundlag til
vurdering ved inspektion
og markedskontrol af myndighederne.
Standarder er
udtryk for ’state-of-the-art’,
altså et udtryk for tidens tekniske
niveau.
State-of-the-art er et
udtryk for tidens tekniske
niveau. Det vil sige gældende
direktiver og harmoniserede
standarder.
Visse standarder er meget
store og komplicerede
som for eksempel IEC/
EN 61508-serien (anvendelses-standard).
Dette
er nødvendigt for komponentfabrikanterne,
der
anvender disse standarder
under produktion af deres
komponenter.
IEC/EN 61508-serien er
producenternes standard, i
forbindelse med sikkerhedskomponenter.
Markedet er
fyldt med komponenter,
som er mærket med SIL
3. Mindre kan ikke gøre
det. SIL 3: Sandsynlighed
for fejlfunktion 1.141. til
11.415. kalender år.
Standard IEC/EN 62061
er også en anvendelsesstandard,
som desuden er blevet
godkendt som harmoniseret
standard på et lille område
i overensstemmelse med
krav i maskindirektivet
2006/42/EF.
IEC/EN 62061 er produceret
som anvendelsesstandard
for IEC/EN
61508-serien.
Det betyder, at det der
ikke beskrives i standarden
skal løses ved hjælp
af IEC/EN 61508-serien.
Her tænkes specielt på
planlægning af Functional
Safety, risikovurdering,
verificering og validering.
Det er en forudsætning, at
design af komplekse programmerbare
elektroniske
undersystemer sker i overensstemmelse
med IEC/EN
61508-serien.
IEC/EN 62061 er beregnet
til anvendelse af maskindesignere,
fabrikanter
og indbyggere af styresystemer
og andre, som er
involveret i design og validering
af SRECS (Safety
Related Electric, Electronic,
Programmable Electronic
Control Systems).
Den opstiller en metode
og stiller krav for at opnå den
nødvendige ydeevne. Den
er maskinsektorspecificeret
i struktur fra IEC/EN
61508. Meningen er at gøre
specifikationen af ydeevnen
lettere for sikkerhedsrelaterede
styresystemer i relation
til en betydende fare i
maskiner. Standarden fastsætter
krav frem til og med
valideringen. Der er tale om
Functional Safety, der indeholder
fire arkitekturer, A,
B, C, D.
IEC/EN 62061 og IEC/
EN ISO 13849 specificerer
krav til design og implementering
af sikkerheds-relaterede
dele af styresystemer
på maskiner (SRP/CS).
Anvendelsen af en af
disse standarder i overensstemmelse
med deres
gyldighedsområder kan
formodes at opfylde de relevante
vigtige sikkerhedskrav.
I modsætning til IEC/EN
62061 er standard IEC/EN
ISO 13849-1 i stand til at
klare sig selv. Det er muligt
at udvikle alle typer SRP/
CS i alle teknologier med eller
uden iboende software
som anvendelsessoftware.
Betingelsen er blot, at iboende
software med pålideligheden
PL=e skal opnås ved
hjælp af fuld diversitet.
I modsætning til ”redundans”
der er en ”ensartet”
mangfoldighed, er ”diversitet”
en ”uens/forskellig”
mangfoldighed. At gennemføre
”fuld diversitet”
er for øvrigt et krævende
projekt.
Diversitet: Forskellige
teknologier/konstruktioner
eller fysiske principper,
for eksempel: Første kanal
er programmerbar elektronisk,
og anden kanal er fast
fortrådet type af initiering
tryk og temperatur. Måling
af afstand og tryk, digital
og analog. Komponenter af
forskelligt fabrikat.
IEC/EN 62061 er for det
første begrænset til elektriske,
elektroniske samt programmerbare
elektroniske
teknologier. For det andet
skal iboende software udvikles
i overensstemmelse
med kravene i IEC/EN
61508, del 3 og del 4. Denne
standard er udviklet som en
anvendelsesstandard. Den
gør livet lettere for brugerne
af den lange serie af sikkerhedsrelateredekomponenter
som sendes på markedet:
Komponenter produceret i
overensstemmelse med
IEC/EN 61508.
IEC/EN ISO 13849-1 er
en standard, der er udviklet
med henblik på at ligge
så tæt på maskindirektivet
som muligt. Proceduren
med valg og fravalg i standarden
i forhold til den aktuelle
opgave bliver så simpel
som muligt. Sikkerheds relaterede
styresystemer kan
designes til at opnå acceptabelt
niveau for funktionssikkerhed,
ved at benytte en
af de to standarder.
IEC/EN 62061 og denne
del af IEC/EN ISO 13849-
1 fastlægger krav til konstruktion
og anvendelse
Denne tabel viser en oversigt for anvendelsesområdet for standarderne IEC/EN 62061 og IEC/EN ISO 13849-1.
af sikkerhedsrelaterede
styresystemer i maskiner.
Når en af disse internationale
standarder anvendes i
overensstemmelse med anvendelsesområdet,
kan det
formodes, at de relevante
væsentlige sikkerhedskrav
er opfyldt.
Funktionssikre
maskiner
Et eksempel på funktionssikkerhed
kunne være en
maskine med en roterende
klinge, der er beskyttet af et
hængslet dæksel uden huller.
Klingen skal jævnligt
rengøres ved at løfte dækslet.
Dækslet holdes låst på
en måde, således at så snart
det løftes slukker motoren
og tilkobler en bremse. På
den måde standses klingens
farlige efterløb.
Functional Safety:
Sandsynligheden for at
maskinen har evne til at
fungere sikkert og korrekt
i en defineret tid. Det
forud-sættes dog, at planlagte
reparationer og vedligehold
mv. overholdes.
Ingen driftsforstyrrelser
må friste operatørerne til
at begå handlinger, som
ligger uden for de definerede
arbejdsopgaver.
PL- og SIL-niveau
Udarbejdelsen af de 5 PLniveauer
er sket i henhold
til maskindirektivet, og der
findes maskiner til hvert
enkelt niveau. De 4 SILniveauer
er udviklet i lyset
af nogle meget alvorlige
ulykker på kemiske fabrikker
og nukleare værker. Bemærk
PL=c svarende til SIL
1 – Sandsynligheden for en
farlig fejlfunktion vil tidligst
kunne ske om 34 år. Det er
mere end de fleste maskiners
forventede levetid.
IEC/EN ISO
13849-1
PL - Performance
Level
a
b
c
d
En funktionssikker maskinstyring
i overensstemmelse
med IEC/EN
ISO 13849-1 eller IEC/
EN 62061 laver ikke fejl.
Et styresystem, som er udviklet
i overensstemmelse
med en passende risikovurdering
og ledsaget af
en korrekt vedligeholdelses-
og brugsanvisning
laver ingen farlige
fejlfunktioner – uanset
niveauet.
Iboende sikkerhed
Det drejer sig om at udvikle
maskiner med så højt et niveau
af iboende sikkerhed
som overhovedet muligt.
Den iboende sikkerhed
udvikles, når maskinen designes
og konstrueres af maskinbyggeren.
Jo dygtigere
maskinfabrikanten er til at
udforme iboende sikkerhed,
jo enklere er det for ham at
tilføje den sidste sikkerhed
i form af sikkerheds foranstaltninger.
Gennemsnit
sandsynlighed for
farlig fejlfunktion
pr. time
Omregnet til år
10 -5 - 10 -4
1,14 til 1,41 år
3 x 10 -6 - 10 -5
11,41 til 34,24 år
10 -6 - 3 x 10 -6
34,24 til 114,15 år
10 -7 - 10 -6
114,15 til 1.141,55 år
e 10 -8 - 10 -7
1.141,55 til 11.415 år
Ikke omfattet
10 -9 - 10 -8
11.415 til 114.155 år
IEC/EN 62061
/ IECEN 61508
SIL - Safety
Integrity Level
Ikke omfattet
SIL 1
SIL 1
SIL 2
SIL 3
SIL 4
Ikke maskiner
Tabellen viser en sammenligning af fejl-funktions-niveauerne.
Lav iboende sikkerhed:
Stort behov for sikkerhedsforanstaltninger
med
lav rest risiko.
Høj iboende sikkerhed:
Lille behov for sikkerhedsforanstaltninger
med
lav rest risiko.
State of the art: Den
sidste rest af risiko skal
være så lav som muligt.
Maskinen skal leve op til
’state of the art’: Overholde
tidens standard –
Gældende direktiver og
harmoniserede standarder.
Næste artikel i
Automatik omhandler
design af sikkerhedsrelaterede
dele af
maskinens styresystem:
SRP/CS.