Nieuw! ISO 14119:2013 voor blokkeerinrichtingen gekoppeld aan afschermingen

Pilz legt de belangrijkste technische verschillen uit tussen de oude norm EN 1088 en ISO 14119. De nieuwe norm “ISO 14119:2013 Veiligheid van machines - Blokkeerinrichtingen gekoppeld aan afschermingen - Grondbeginselen voor het ontwerp en de keuze, is er en zal volgend jaar de EN 1088 vervangen.

Hoewel er een overgangsperiode is van 18 maanden om van EN 1088 over te schakelen op ISO 14119, zullen machinebouwers die blokkeerschermen ontwerpen een voordeel hebben als ze zich meteen proberen te houden aan  ISO 14119. Er zijn technologieën die problemen kunnen overwinnen, zoals foutmaskering, en kunnen, als ze worden ingezet, extra gemoedsrust bieden alsook naleving van de strengere eisen van deze nieuwe norm.

In tegenstelling tot de oude norm EN 1088 omvat ISO 14119 ook aanvullende technologieën zoals RFID of elektromagnetische blokkering van afschermingen, classificeert deze norm blokkeerschakelaars en reguleert zij duidelijker de specificaties voor het installeren van afschermingen. Deze voorschriften zijn met name van belang ten aanzien van de beveiliging tegen manipulatie van afschermingen.

ISO 14119 komt in de plaats van alle nationale normen over dit onderwerp en heeft wereldwijde geldingskracht. Formeel betekent dit een enorme stap vooruit: de oude norm was uitsluitend Europees terwijl de nieuwe norm door ISO is gepubliceerd. Dit kan uiteindelijk leiden tot een makkelijkere acceptatie van veiligheid wereldwijd.

Er zijn te veel technische verschillen tussen EN 1088 en ISO 14119 om hier in detail te beschrijven, maar hier volgt een voorproefje van een paar van die verschillen.

1. Soorten blokkeerinrichtingen

Het eerste punt is dat ISO 14119 betrekking heeft op veel technologieën die nog niet beschikbaar waren toen ISO 1088 voor het eerst werd gepubliceerd. Type 3 & 4 (contactloze apparaten, niet-gecodeerd en gecodeerd) bestond niet in EN 1088 en voorbeelden van het gebruik daarvan worden gegeven in bijlage C en D van ISO 14119.

2. Coderingsniveaus

Een gecodeerde actuator wordt gedefinieerd als een actuator die speciaal is ontworpen (bijv. op basis van vorm, magnetische of radiofrequentie-RFID) om een bepaalde standschakelaar te activeren. Coderingsniveaus om overbrugging van afschermingen te voorkomen worden als laag niveau gedefinieerd (waarvoor 1 tot 9 codevariaties beschikbaar zijn), middelhoog niveau (waarvoor 10 tot 10000 codevariaties beschikbaar zijn) en hoog niveau (waarvoor meer dan 1000 variaties beschikbaar zijn). Hoog is van toepassing op uniek gecodeerde RFID-systemen; middelhoog is van toepassing op trapped key-systemen en sommige beperkte RFID-systemen; laag is van toepassing op magnetische reedschakelaars en opnieuw leerbare RFID-systemen.

3. Blokkering van afschermingen

Het type blokkering van afschermingen wordt uitgebreid van vermogen om te vergrendelen naar vermogen om te ontgrendelen, zodat deze ook bi-stabiele blokkeringen omvat waarbij vermogen kan worden toegepast om een veiligheidsschakelaar met draadspoel te blokkeren en te ontgrendelen; ook worden de omstandigheden waaronder het gebruik van elektromagnetische vergrendelingen (alleen het gebruik van elektromagnetische kracht zonder lipje) is toegestaan voor machineveiligheid in aanmerking genomen (bijv. door de afstand tot het gevaar, de stoptijd bij stroomuitval, bewaking van de houdkracht, duidelijke signalering als er een poging tot geforceerde betreding is gedaan, in aanmerking te nemen). Er wordt onderscheid gemaakt tussen vergrendeling ter bescherming van personeel (tegen letsel) en van processen (tegen onderbreking). Hoewel het de taak is van de C-norm van de machine of de ontwerper om de vereiste houdkracht voor een geblokkeerde afscherming te bepalen en het de verantwoordelijkheid is van de fabrikant van de blokkeerinrichting om de weerstand van het blokkeermechanisme tegen statische actiekracht te specificeren, biedt bijlage A tabel I.1 van ISO 14119 hulp op het gebied van typische statische actiekrachten gebaseerd op de richting van de openingskracht, de houding van de bediener en het type greep van de bediener (bijv. met een of met twee handen).

4. Overbrugging van blokkeerinrichtingen

Paragraaf  7 stelt dat “de machine dusdanig moet zijn ontworpen dat hierdoor de aandrang om de blokkeerinrichtingen te overbruggen, wordt geminimaliseerd” en bepaalt verder dat “de blokkeerinrichting zo weinig mogelijk activiteiten tijdens bedrijf en andere levensstadia van de machine moet verstoren om elke stimulans om deze te overbruggen, te verminderen.” Er worden verschillende maatregelen beschreven om aan deze vereisten tegemoet te komen (bijvoorbeeld toegang tot de blokkeerinrichting te verhinderen, het gebruik van vervangende actuatoren door middel van coderingsniveaus te voorkomen, integratie van bewaking van overbrugging door cyclische tests). De implicatie is dat het in toenemende mate de verantwoordelijkheid van de ontwerper is om ervoor te zorgen dat geblokkeerde afschermingen niet kunnen worden overbrugd, wat op zijn beurt van de ontwerper vraagt dat hij begrijpt hoe de machine tijdens elk stadium van haar levensduur zal worden gebruikt (productie, onderhoud, instelling, reiniging enz.).

5. Het gebruik van foutuitsluitingen

Het gebruik van foutuitsluitingen werd lange tijd geregeld door IEC 62061 (max SIL 2), TR-ISO 23849 (PLd) en nu ook in EN ISO 13849-2 (bijlage D.8 een enkel mechanisch foutpunt (het lipje of de camera) kan bij PLe niet als fout worden uitgesloten). Deze beperking voor PLd voor foutuitsluitingen verschijnt nu in ISO 14119. Met andere woorden: om PLe te bereiken is het gebruik van ten minste twee inrichtingen verplicht; dat is één reden waarom we vaker zien dat er contactloze inrichtingen worden gebruikt voor PLe aangezien deze geen enkel mechanisch foutpunt hebben. Interessant is echter dat, hoewel de vergrendelfunctie afhankelijk is van een enkel mechanisch kanaal (de lip), deze in staat wordt gesteld om tot PLe te presteren onder het voorbehoud dat deze wordt gedefinieerd als vergrendeling tot een maximale nominale extractiekracht (die niet de gebruiker, maar de fabrikant kan aantonen door middel van herhaalbare, verifieerbare tests).

6. Testen van niet vaak gebruikte afschermingen

Sommige geblokkeerde afschermingen worden  niet vaak geopend. Om die reden is het nodig om deze geforceerd te testen door ze met regelmatige tussenpozen handmatig te openen en te sluiten om te controleren op een mogelijke opeenhoping van fouten.      ISO 14119 specificeert voor PLe een maandelijkse test en voor PLd een test om de twaalf maanden. Dit is van belang, ook voor tweekanaalssystemen, omdat fouten alleen aan het licht kunnen worden gebracht door een inspanning van de afschermingen te vergen. Het is aan te bevelen om het regelsysteem van een machine deze tests met de vereiste tussenpozen te laten uitvoeren, bijv. door een visuele display of een signaallampje. Het regelsysteem dient de tests te monitoren en de machine te stoppen als de test wordt overgeslagen of mislukt.

7. Foutmaskering

Stel u een aantal geblokkeerde afschermingen voor die in één circuit terugkoppelen naar een veiligheidsrelais. Er kan in één van de afschermingen een fout optreden (bijvoorbeeld kortsluiting op één of een paar normaal gesloten contacten in een blokkeerschakelaar vanwege een contactlas of vocht), die alleen door het veiligheidsrelais wordt gedetecteerd wanneer zo'n afscherming met een fout wordt geopend. Het veiligheidsrelais ziet dan wel dat een van de kanalen open is, maar niet dat dit ook geldt voor het andere (het relais verwacht te zien dat beide open zijn). Het veiligheidsrelais zal dus én het gekoppelde deel van de machine afsluiten én “blokkeren” omdat het een fout heeft geregistreerd. Als de bediener de afscherming sluit, blijft de fout geregistreerd in het veiligheidsrelais, waardoor een reset en een herstart wordt verhinderd. In veel gevallen zal de bediener dit niet nader onderzoeken - misschien dat hij probeert om de afscherming, tevergeefs, opnieuw te openen en te sluiten waarna hij misschien probeert om andere nabijgelegen afschermingen te openen en te sluiten en de fout als bij toverslag verdwijnt doordat een van de andere werkende blokkeerschakelaars ervoor zorgt dat het bijbehorende paar contacten dat het relais herkent als werkend op datzelfde moment opengaan en de machine opnieuw kan worden gestart - maar, zonder dat de bediener er weet van heeft, heeft het veiligheidssysteem een nu ongedetecteerde fout vermeerderd die het veiligheidssysteem in werkelijkheid slechter doet presteren. Er hoeft nog maar één fout bij te komen en de veiligheidsfunctie is verloren. Dit fenomeen heet “foutmaskering”.

Historisch gezien is de praktijk van serieel bedrade veiligheidsschakelaars ontstaan omdat het geld bespaarde op kabels en veiligheidsrelais en omdat zo'n tweekanaalsbedrading zich vertaalde in categorie 3 van de inmiddels ingetrokken norm EN 954-1 (voor meer dan één schakelaar in een reeks, EN 954-1 degradeerde categorie 4 naar categorie 3). Categorie 3 leeft voort in de norm EN ISO 13849-1, waarin clausule 6.2.6 vereist dat er aan specifieke voorwaarden moet worden voldaan wil categorie 3 van toepassing zijn. Deze voorwaarden zijn onder meer dat een enkele fout niet mag leiden tot een verlies van de veiligheidsfunctie, dat een opeenstapeling van niet-gedetecteerde fouten kan leiden tot een verlies van de veiligheidsfunctie en, wat belangrijk is als aanvulling op en aanscherping van de vereisten van de hierboven genoemde EN 954-1, dat ten minste 60% van de fouten in een diagnosesysteem moet worden gedetecteerd (DC = laag). Het vermogen van een systeem om 60% van gevaarlijke fouten te detecteren kan worden verminderd door foutmaskering, waardoor de foutendekking en daarmee het prestatieniveau spectaculair kan teruglopen.

De verwachting was dat ISO 14119 in gedetailleerde mate foutmaskering aan de orde zou stellen - en tot op zekere hoogte doet zij dat ook. Dit is de woordelijke tekst uit het definitieve concept van EN ISO 14119:

“8.6 Logische serieschakeling van blokkeerinrichtingen
Logische serieschakeling van blokkeerinrichtingen betekent dat normaal gesloten contacten serieel zijn bedraad of dat normaal open contacten parallel zijn bedraad. Als blokkeerinrichtingen met redundante contacten logisch in serie zijn geschakeld, kan de detectie van een enkele fout worden gemaskeerd door activering van een willekeurige blokkeerinrichting die logisch in serie is geschakeld met de defecte blokkeerinrichting op het veiligheidsgerelateerde besturingssysteem.

Het is te voorzien dat gedurende de foutopsporing (probleemoplossing) door de bediener een van de afschermingen waarvan de blokkeerinrichtingen logisch in serie zijn geschakeld met de defecte blokkeerinrichting wordt geactiveerd. In dat geval wordt de fout gemaskeerd en wordt het effect op de waarde van de foutendekking in aanmerking genomen.

Voor een serieschakeling moet de maximale gelijkspanning (zie ISO 13849-1 of IEC 62061) in aanmerking worden genomen.

OPMERKING:  Een technologisch rapport dat gaat over logische serieschakeling van inrichtingen is in voorbereiding.”

De echte gedetailleerde behandeling over het aantal inrichtingen dat serieel kan worden geschakeld vindt u in het aanstaande technische rapport ISO/PDTR 24119 - Veiligheid van machines - Beoordeling van foutmaskering bij serieschakeling van blokkeerinrichtingen voor afschermingen met potentiaalvrije contacten. Dit rapport wordt momenteel door een commissie beoordeeld en zal naar verwachting op zeer korte termijn beschikbaar zijn. Eenvoudiger gesteld: als er meer dan één afscherming is die vaak wordt geopend (eens per uur), valt het niveau van de foutendekking naar nul, wat in EN ISO 13849-1 resulteert in een maximale PL c. Het moet nog worden bezien wat ISO/TR 14119 precies heeft te zeggen over de maximaal haalbare PL in het geval van verschillende geschakelde infrequent bediende afschermingen, maar dat zal hoogstwaarschijnlijk PL d zijn waar nauwkeurige analyse mogelijk is (bijvoorbeeld het aantal afschermingen, het type schakelaars, type bedrading, afstand tussen afschermingen en toegankelijkheid van afschermingen), anders zal het hoogstwaarschijnlijk PL c zijn. Het is zeker niet mogelijk om PL e te halen met meer dan één seriegeschakelde afscherming, in elk geval niet als er gebruik wordt gemaakt van een op spanningsvrijheid gebaseerde technologie voor blokkeerschakelaars.

Er zijn drie industrieel beschikbare opties voor het tegengaan van foutmaskering:

1.              Afzonderlijke bedrading of gelokaliseerde zonering

PDP20 F mag Schakel het aantal spanningsvrije blokkeerinrichting niet in serie, of houd dit aantal in elk geval beperkt, sluit ze afzonderlijk aan op afzonderlijke veiligheidsrelais op afzonderlijke uitgangen op veiligheidscontrollers of breng kleine groepen in één zone bijeen

2.              Intelligente blokkeerinrichtingen

Gebruik inrichtingen die niet zijn gebaseerd op spanningsvrije contacten, maar op zelfmonitorende getransistoriseerde uitgangen (OSSD's) - deze worden doorgaans aangetroffen op contactloze RFID-schakelaars, die inwendige fouten zelf kunnen opsporen. Deze kunnen in serie worden geschakeld en handhaven de hoogst mogelijke diagnostische niveaus om PL e. te bereiken. PSENcode-schakelaars (RFID-standbewaking van scheidende afschermingen met zelfbewakende OSSD's)

PSENslock (solenoïdesloten met ingebouwde RFID-standbewaking van scheidende afschermingen met zelfbewakende OSSD's)

PSENsgate(solenoïdevergrendeling, opdracht om te ontgrendelen, noodstop, ontsnapping vanuit de gevarenzone en RFID-systeem voor standbewaking van scheidende afschermingen met zelfbewakende OSSD's)

PSENini (inductieve veiligheidssensoren voor bewaking van veilige stand, bijv. uitgangsstand robot, met zelfbewakende OSSD-uitgangen

 3.              Veilige verspreide I/O-systemen

PDP67 in combinatie met PNOZmulti

Blokkeringen (en andere inrichtingen zoals lichtgordijnen, noodstoppen, met twee handen te bedienen organen enz.) verspreiden over de machine kan veilig met een faalveilig netwerk - in feite adresseert het netwerk inrichtingen die in een keten rondom de machine zijn aangesloten en kan het onderscheid maken tussen alle ingangen en op fouten testen (bijvoorbeeld door middel van testpulsen). Hiervoor zijn diverse oplossingen, meestal gebaseerd op knooppunten waar inrichtingen ofwel worden “geadresseerd” ofwel een specifieke ingangsidentiteit op het netwerk krijgen (meestal door middel van software).

Afsluitende opmerking

ISO 14119:2013 biedt machinebouwers en -gebruikers een veel breder gebruiksspectrum voor een breder spectrum van technologieën bij het blokkeren van afschermingen. Ook legt het meer verantwoordelijkheden in handen van de ontwerper om voorziene, opzettelijke overbrugging van afschermingen te voorkomen en zal de manier waarop blokkeerinrichtingen voor afschermingen over verschillende machines worden geschakeld veranderen.

Pilz GmbH was betrokken bij het opstellen van de conceptnorm.