Pilz legt de
belangrijkste technische verschillen uit tussen de oude norm EN 1088 en ISO
14119. De nieuwe norm “ISO 14119:2013 Veiligheid van machines - Blokkeerinrichtingen
gekoppeld aan afschermingen - Grondbeginselen voor het ontwerp en de keuze, is
er en zal volgend jaar de EN 1088 vervangen.
Hoewel er een
overgangsperiode is van 18 maanden om van EN 1088 over te schakelen op ISO
14119, zullen machinebouwers die blokkeerschermen ontwerpen een voordeel hebben
als ze zich meteen proberen te houden aan
ISO 14119. Er zijn technologieën die problemen kunnen overwinnen, zoals
foutmaskering, en kunnen, als ze worden ingezet, extra gemoedsrust bieden
alsook naleving van de strengere eisen van deze nieuwe norm.
In tegenstelling
tot de oude norm EN 1088 omvat ISO 14119 ook aanvullende technologieën zoals
RFID of elektromagnetische blokkering van afschermingen, classificeert deze
norm blokkeerschakelaars en reguleert zij duidelijker de specificaties voor het
installeren van afschermingen. Deze voorschriften zijn met name van belang ten
aanzien van de beveiliging tegen manipulatie van afschermingen.
ISO 14119 komt in
de plaats van alle nationale normen over dit onderwerp en heeft wereldwijde
geldingskracht. Formeel betekent dit een enorme stap vooruit: de oude norm was
uitsluitend Europees terwijl de nieuwe norm door ISO is gepubliceerd. Dit kan
uiteindelijk leiden tot een makkelijkere acceptatie van veiligheid wereldwijd.
Er zijn te veel
technische verschillen tussen EN 1088 en ISO 14119 om hier in detail te
beschrijven, maar hier volgt een voorproefje van een paar van die verschillen.
Soorten blokkeerinrichtingen
Het eerste punt is
dat ISO 14119 betrekking heeft op veel technologieën die nog niet beschikbaar
waren toen ISO 1088 voor het eerst werd gepubliceerd. In onderstaande tabel
staat een overzicht van de blokkeringstypen en een handige kruisverwijzing naar
de voorbeelden in de bijlage van de norm. Type 3 & 4 (contactloze
apparaten, niet-gecodeerd en gecodeerd) bestond niet in EN 1088 en voorbeelden
van het gebruik daarvan worden gegeven in bijlage C en D van ISO 14119.
Coderingsniveaus
Een gecodeerde
actuator wordt gedefinieerd als een actuator die speciaal is ontworpen (bijv.
op basis van vorm, magnetische of radiofrequentie-RFID) om een bepaalde
standschakelaar te activeren. Coderingsniveaus om overbrugging van
afschermingen te voorkomen worden als laag niveau gedefinieerd (waarvoor 1 tot
9 codevariaties beschikbaar zijn), middelhoog niveau (waarvoor 10 tot 10000
codevariaties beschikbaar zijn) en hoog niveau (waarvoor meer dan 1000
variaties beschikbaar zijn). Hoog is van toepassing op uniek gecodeerde
RFID-systemen; middelhoog is van toepassing op trapped key-systemen en sommige
beperkte RFID-systemen; laag is van toepassing op magnetische reedschakelaars
en opnieuw leerbare RFID-systemen.
Blokkering van afschermingen
Het type blokkering
van afschermingen wordt uitgebreid van vermogen om te vergrendelen naar vermogen
om te ontgrendelen, zodat deze ook bi-stabiele blokkeringen omvat waarbij
vermogen kan worden toegepast om een veiligheidsschakelaar met draadspoel te
blokkeren en te ontgrendelen; ook worden de omstandigheden waaronder het
gebruik van elektromagnetische vergrendelingen (alleen het gebruik van
elektromagnetische kracht zonder lipje) is toegestaan voor machineveiligheid in
aanmerking genomen (bijv. door de afstand tot het gevaar, de stoptijd bij
stroomuitval, bewaking van de houdkracht, duidelijke signalering als er een
poging tot geforceerde betreding is gedaan, in aanmerking te nemen). Er wordt
onderscheid gemaakt tussen vergrendeling ter bescherming van personeel (tegen
letsel) en van processen (tegen onderbreking). Hoewel het de taak is van de
C-norm van de machine of de ontwerper om de vereiste houdkracht voor een
geblokkeerde afscherming te bepalen en het de verantwoordelijkheid is van de
fabrikant van de blokkeerinrichting om de weerstand van het blokkeermechanisme
tegen statische actiekracht te specificeren, biedt bijlage A tabel I.1 van ISO
14119 hulp op het gebied van typische statische actiekrachten gebaseerd op de
richting van de openingskracht, de houding van de bediener en het type greep
van de bediener (bijv. met een of met twee handen).
Overbrugging van blokkeerinrichtingen
Paragraaf 7 stelt dat “de machine dusdanig moet zijn
ontworpen dat hierdoor de aandrang om de blokkeerinrichtingen te overbruggen,
wordt geminimaliseerd” en bepaalt verder dat “de blokkeerinrichting zo weinig
mogelijk activiteiten tijdens bedrijf en andere levensstadia van de machine
moet verstoren om elke stimulans om deze te overbruggen, te verminderen.” Er
worden verschillende maatregelen beschreven om aan deze vereisten tegemoet te
komen (bijvoorbeeld toegang tot de blokkeerinrichting te verhinderen, het
gebruik van vervangende actuatoren door middel van coderingsniveaus te
voorkomen, integratie van bewaking van overbrugging door cyclische tests). De
implicatie is dat het in toenemende mate de verantwoordelijkheid van de
ontwerper is om ervoor te zorgen dat geblokkeerde afschermingen niet kunnen
worden overbrugd, wat op zijn beurt van de ontwerper vraagt dat hij begrijpt
hoe de machine tijdens elk stadium van haar levensduur zal worden gebruikt
(productie, onderhoud, instelling, reiniging enz.).
Het gebruik van foutuitsluitingen
Het gebruik van
foutuitsluitingen werd lange tijd geregeld door IEC 62061 (max SIL 2), TR-ISO
23849 (PLd) en nu ook in EN ISO 13849-2 (bijlage D.8 een enkel mechanisch
foutpunt (het lipje of de camera) kan bij PLe niet als fout worden
uitgesloten). Deze beperking voor PLd voor foutuitsluitingen verschijnt nu in
ISO 14119. Met andere woorden: om PLe te bereiken is het gebruik van ten minste
twee inrichtingen verplicht; dat is één reden waarom we vaker zien dat er
contactloze inrichtingen worden gebruikt voor PLe aangezien deze geen enkel
mechanisch foutpunt hebben. Interessant is echter dat, hoewel de
vergrendelfunctie afhankelijk is van een enkel mechanisch kanaal (de lip), deze
in staat wordt gesteld om tot PLe te presteren onder het voorbehoud dat deze
wordt gedefinieerd als vergrendeling tot een maximale nominale extractiekracht
(die niet de gebruiker, maar de fabrikant kan aantonen door middel van
herhaalbare, verifieerbare tests).
Testen van niet vaak gebruikte afschermingen
Sommige
geblokkeerde afschermingen worden niet
vaak geopend. Om die reden is het nodig om deze geforceerd te testen door ze
met regelmatige tussenpozen handmatig te openen en te sluiten om te controleren
op een mogelijke opeenhoping van fouten. ISO 14119 specificeert voor PLe een maandelijkse test en voor PLd
een test om de twaalf maanden. Dit is van belang, ook voor tweekanaalssystemen,
omdat fouten alleen aan het licht kunnen worden gebracht door een inspanning
van de afschermingen te vergen. Het is aan te bevelen om het regelsysteem van
een machine deze tests met de vereiste tussenpozen te laten uitvoeren, bijv.
door een visuele display of een signaallampje. Het regelsysteem dient de tests
te monitoren en de machine te stoppen als de test wordt overgeslagen of
mislukt.
Foutmaskering
Stel u een aantal
geblokkeerde afschermingen voor die in één circuit terugkoppelen naar een
veiligheidsrelais. Er kan in één van de afschermingen een fout optreden
(bijvoorbeeld kortsluiting op één of een paar normaal gesloten contacten in een
blokkeerschakelaar vanwege een contactlas of vocht), die alleen door het
veiligheidsrelais wordt gedetecteerd wanneer zo'n afscherming met een fout
wordt geopend. Het veiligheidsrelais ziet dan wel dat een van de kanalen open
is, maar niet dat dit ook geldt voor het andere (het relais verwacht te zien
dat beide open zijn). Het veiligheidsrelais zal dus én het gekoppelde deel van
de machine afsluiten én “blokkeren” omdat het een fout heeft geregistreerd. Als
de bediener de afscherming sluit, blijft de fout geregistreerd in het
veiligheidsrelais, waardoor een reset en een herstart wordt verhinderd. In veel
gevallen zal de bediener dit niet nader onderzoeken - misschien dat hij
probeert om de afscherming, tevergeefs, opnieuw te openen en te sluiten waarna
hij misschien probeert om andere nabijgelegen afschermingen te openen en te
sluiten en de fout als bij toverslag verdwijnt doordat een van de andere
werkende blokkeerschakelaars ervoor zorgt dat het bijbehorende paar contacten
dat het relais herkent als werkend op datzelfde moment opengaan en de machine
opnieuw kan worden gestart - maar, zonder dat de bediener er weet van heeft,
heeft het veiligheidssysteem een nu ongedetecteerde fout vermeerderd die het veiligheidssysteem
in werkelijkheid slechter doet presteren. Er hoeft nog maar één fout bij te
komen en de veiligheidsfunctie is verloren. Dit fenomeen heet “foutmaskering”.
Historisch gezien
is de praktijk van serieel bedrade veiligheidsschakelaars ontstaan omdat het
geld bespaarde op kabels en veiligheidsrelais en omdat zo'n
tweekanaalsbedrading zich vertaalde in categorie 3 van de inmiddels ingetrokken
norm EN 954-1 (voor meer dan één schakelaar in een reeks, EN 954-1 degradeerde
categorie 4 naar categorie 3). Categorie 3 leeft voort in de norm EN ISO
13849-1, waarin clausule 6.2.6 vereist dat er aan specifieke voorwaarden moet
worden voldaan wil categorie 3 van toepassing zijn. Deze voorwaarden zijn onder
meer dat een enkele fout niet mag leiden tot een verlies van de
veiligheidsfunctie, dat een opeenstapeling van niet-gedetecteerde fouten kan
leiden tot een verlies van de veiligheidsfunctie en, wat belangrijk is als
aanvulling op en aanscherping van de vereisten van de hierboven genoemde EN
954-1, dat ten minste 60% van de fouten in een diagnosesysteem moet worden
gedetecteerd (DC = laag). Het vermogen van een systeem om 60% van gevaarlijke
fouten te detecteren kan worden verminderd door foutmaskering, waardoor de
foutendekking en daarmee het prestatieniveau spectaculair kan teruglopen.
De verwachting was
dat ISO 14119 in gedetailleerde mate foutmaskering aan de orde zou stellen - en
tot op zekere hoogte doet zij dat ook. Dit is de woordelijke tekst uit het
definitieve concept van EN ISO 14119:
“8.6 Logische serieschakeling van blokkeerinrichtingen
Logische serieschakeling van blokkeerinrichtingen betekent dat normaal gesloten contacten serieel zijn bedraad of dat normaal open contacten parallel zijn bedraad. Als blokkeerinrichtingen met redundante contacten logisch in serie zijn geschakeld, kan de detectie van een enkele fout worden gemaskeerd door activering van een willekeurige blokkeerinrichting die logisch in serie is geschakeld met de defecte blokkeerinrichting op het veiligheidsgerelateerde besturingssysteem.
“8.6 Logische serieschakeling van blokkeerinrichtingen
Logische serieschakeling van blokkeerinrichtingen betekent dat normaal gesloten contacten serieel zijn bedraad of dat normaal open contacten parallel zijn bedraad. Als blokkeerinrichtingen met redundante contacten logisch in serie zijn geschakeld, kan de detectie van een enkele fout worden gemaskeerd door activering van een willekeurige blokkeerinrichting die logisch in serie is geschakeld met de defecte blokkeerinrichting op het veiligheidsgerelateerde besturingssysteem.
Het is te voorzien
dat gedurende de foutopsporing (probleemoplossing) door de bediener een van de
afschermingen waarvan de blokkeerinrichtingen logisch in serie zijn geschakeld
met de defecte blokkeerinrichting wordt geactiveerd. In dat geval wordt de fout
gemaskeerd en wordt het effect op de waarde van de foutendekking in aanmerking
genomen.
Voor een
serieschakeling moet de maximale gelijkspanning (zie ISO 13849-1 of IEC 62061)
in aanmerking worden genomen.
OPMERKING: Een technologisch rapport dat gaat over
logische serieschakeling van inrichtingen is in voorbereiding.”
De echte
gedetailleerde behandeling over het aantal inrichtingen dat serieel kan worden
geschakeld vindt u in het aanstaande technische rapport ISO/PDTR 24119 -
Veiligheid van machines - Beoordeling van foutmaskering bij serieschakeling van
blokkeerinrichtingen voor afschermingen met potentiaalvrije contacten. Dit
rapport wordt momenteel door een commissie beoordeeld en zal naar verwachting
op zeer korte termijn beschikbaar zijn. Eenvoudiger gesteld: als er meer dan één afscherming is die vaak
wordt geopend (eens per uur), valt het niveau van de foutendekking naar nul,
wat in EN ISO 13849-1 resulteert in een maximale PL c. Het moet nog worden
bezien wat ISO/TR 14119 precies heeft te zeggen over de maximaal haalbare PL in
het geval van verschillende geschakelde infrequent bediende afschermingen, maar
dat zal hoogstwaarschijnlijk PL d zijn waar nauwkeurige analyse mogelijk is
(bijvoorbeeld het aantal afschermingen, het type schakelaars, type bedrading,
afstand tussen afschermingen en toegankelijkheid van afschermingen), anders zal
het hoogstwaarschijnlijk PL c zijn. Het is zeker niet mogelijk om PL e te halen
met meer dan één seriegeschakelde afscherming, in elk geval niet als er gebruik
wordt gemaakt van een op spanningsvrijheid gebaseerde technologie voor
blokkeerschakelaars.
Er zijn drie
industrieel beschikbare opties voor het tegengaan van foutmaskering:
1. Afzonderlijke
bedrading of gelokaliseerde zonering
PDP20 F mag
Schakel het aantal spanningsvrije blokkeerinrichting niet in serie, of houd dit
aantal in elk geval beperkt, sluit ze afzonderlijk aan op afzonderlijke
veiligheidsrelais op afzonderlijke uitgangen op veiligheidscontrollers of breng
kleine groepen in één zone bijeen
2. Intelligente
blokkeerinrichtingen
Gebruik
inrichtingen die niet zijn gebaseerd op spanningsvrije contacten, maar op
zelfmonitorende getransistoriseerde uitgangen (OSSD's) - deze worden doorgaans
aangetroffen op contactloze RFID-schakelaars, die inwendige fouten zelf kunnen
opsporen. Deze kunnen in serie worden geschakeld en handhaven de hoogst
mogelijke diagnostische niveaus om PL e. te bereiken. PSENcode-schakelaars
(RFID-standbewaking van scheidende afschermingen met zelfbewakende OSSD's)
PSENslock (solenoïdesloten
met ingebouwde RFID-standbewaking van scheidende afschermingen met
zelfbewakende OSSD's)
PSENsgate(solenoïdevergrendeling,
opdracht om te ontgrendelen, noodstop, ontsnapping vanuit de gevarenzone en
RFID-systeem voor standbewaking van scheidende afschermingen met zelfbewakende
OSSD's)
PSENini (inductieve
veiligheidssensoren voor bewaking van veilige stand, bijv. uitgangsstand robot,
met zelfbewakende OSSD-uitgangen
3. Veilige verspreide I/O-systemen
PDP67 in
combinatie met PNOZmulti
Blokkeringen (en
andere inrichtingen zoals lichtgordijnen, noodstoppen, met twee handen te
bedienen organen enz.) verspreiden over de machine kan veilig met een
faalveilig netwerk - in feite adresseert het netwerk inrichtingen die in een
keten rondom de machine zijn aangesloten en kan het onderscheid maken tussen
alle ingangen en op fouten testen (bijvoorbeeld door middel van testpulsen).
Hiervoor zijn diverse oplossingen, meestal gebaseerd op knooppunten waar
inrichtingen ofwel worden “geadresseerd” ofwel een specifieke ingangsidentiteit
op het netwerk krijgen (meestal door middel van software).
Afsluitende opmerking
ISO 14119:2013
biedt machinebouwers en -gebruikers een veel breder gebruiksspectrum voor een
breder spectrum van technologieën bij het blokkeren van afschermingen. Ook legt
het meer verantwoordelijkheden in handen van de ontwerper om voorziene,
opzettelijke overbrugging van afschermingen te voorkomen en zal de manier
waarop blokkeerinrichtingen voor afschermingen over verschillende machines
worden geschakeld veranderen.
Pilz GmbH was
betrokken bij het opstellen van de conceptnorm.
Geen opmerkingen:
Een reactie posten