Ett styrsystems säkerhet och tillförlitlighet

Ett styrsystem skall vara konstruerat och tillverkat så att riskfyllda situationer inte skall kunna uppstå. Framför allt skall det vara konstruerat och tillverkat så att

− det kan tåla avsedda påfrestningar under drift och yttre påverkan,

− fel i styrsystemets maskinvara eller programvara inte leder till riskfyllda situationer,

− fel i styrsystemets logik inte leder till riskfyllda situationer,

− rimligen förutsebara mänskliga misstag under handhavandet inte leder till riskfyllda situationer.

Särskild uppmärksamhet skall ägnas följande punkter: − Maskinen får inte starta oväntat.

− Maskinens parametrar får inte ändras på ett okontrollerat sätt, om en sådan ändring kan ge upphov till riskfyllda situationer.

− Maskinen får inte hindras från att stoppa om stoppkommandot redan har givits. − Ingen rörlig del av maskinen eller del som hålls av maskinen får falla eller

kastas ut.

− Automatiskt eller manuellt stopp av rörliga delar av vilket slag som helst skall kunna ske utan hinder.

− Skyddsanordningarna skall fortsätta att vara effektiva fullt ut eller utlösa stoppkommando.

− De säkerhetsrelaterade delarna av styrsystemet skall fungera på ett

sammanhängande sätt för en hel grupp av maskiner och/eller delvis fullbordade maskiner.

För trådlös styrning skall ett automatiskt stopp göras när korrekta styrsignaler inte går fram, inklusive kommunikationsbortfall.

§ 184 Styrsystemens säkerhet och tillförlitlighet

Maskinens styrsystem är det system som svarar på insignaler från maskindelar, operatörer från extern styrutrustning eller en kombination av dessa, och genererar motsvarande utsignaler till maskinens drivorgan så att maskinen fungerar på avsett sätt. Styrsystem kan bygga på olika teknologier eller kombinationer av teknologier, som kan vara mekaniska, hydrauliska, pneumatiska, elektriska eller elektroniska. Elektroniska styrsystem kan vara programmerbara.

För att säkerställa att en maskin totalt sett är säker är det en nyckelfaktor att styrsystemet är konstruerat och tillverkat utifrån att maskinen ska fungera säkert och tillförlitligt. Operatörer måste under alla omständigheter kunna säkerställa att maskinen fungerar säkert och på förväntat sätt vid alla tillfällen.

167

Kraven som anges i punkt 1.2.1 är tillämpliga på alla delar av styrsystemet, som i händelse av fel eller felfunktion kan föranleda risker för att maskinen uppför sig på oavsett eller oväntat sätt. Kraven är särskilt viktiga när det gäller konstruktion och tillverkning av styrsystemets säkerhetsrelaterade delar, såsom förreglingsanordningar och låsningsanordningar för skydd, skyddsanordningar eller nödstoppsdon, eftersom felfunktion hos sådana delar kan åstadkomma risksituationer när den motsvarande säkerhetsfunktionen förväntas fungera. Vissa säkerhetsfunktioner kan också vara driftsfunktioner, såsom tvåhandsmanöverdon för start.

I första stycket i punkt 1.2.1 och dess fjärde strecksats finns grundläggande krav på styrsystems tillförlitlighet och säkerhet. I andra stycket i punkt 1.2.1 och dess sjunde strecksats beskrivs de vanligaste riskfyllda händelserna och situationerna som måste undvikas.

Enligt första strecksatsen, i första stycket i punkt 1.2.1, måste ett styrsystem tåla avsedda påfrestningar under drift och yttre påverkan, även med beaktande av förutsebara onormala situationer – se § 160: kommentarer till allmän princip nr 2, och § 175: kommentarer till punkt 1.1.2 c). Styrsystemet måste därför kunna tåla de mekaniska verkningarna av att maskinen är i drift eller som kommer från miljön, såsom stötar, vibrationer och nötning. Ett styrsystem måste också tåla verkningarna av de inre och yttre förhållanden, som maskinen är avsedd att fungera i, såsom fukt, extrema temperaturer, frätande atmosfär och damm. Styrsystemets korrekta funktion får inte störas av elektromagnetisk strålning, oavsett om den genereras av maskinen eller av yttre faktorer under de förhållanden där maskinen är avsedd att användas – se § 233: kommentarer till punkt 1.5.11.

I andra och tredje strecksatserna i första stycket i punkt 1.2.1 behandlas styrsystems funktion i händelse av fel i maskinvara eller programvara. I dessa krav beaktas risken för att det uppstår fel i styrsystemet exempelvis på grund av fel på en mekanisk, hydraulisk, pneumatisk eller elektrisk komponent eller ett fel i programvaran i ett programmerbart system. Styrsystem måste vara konstruerade och tillverkade så att, om sådana fel eller felfunktioner uppstår, så leder de inte till riskfyllda situationer enligt vad som beskrivits i andra stycket i punkt 1.2.1 – se också § 205: kommentarer till punkt 1.2.6.

Om en maskin börjar fungera på ett riskfyllt sätt kan situationen fås under kontroll exempelvis genom att stoppa funktionen, bryta kraftförsörjningen till den eller på annat sätt förhindra den riskfyllda funktion som uppstår. Om maskinens relevanta funktioner kan fortsätta trots att det finns en störning, exempelvis genom dubblerad uppbyggnad, måste det finnas ett medel för att upptäckta störningen så att nödvändiga åtgärder kan vidtas för att uppnå eller upprätthålla säkert tillstånd.

De medel som kan användas för att uppfylla detta krav beror på typen av styrsystem, vilken del av styrsystemet det gäller och vilka risker som kan uppstå vid störning. Tänkbara medel är följande:

− Uteslutning eller minskning av sannolikheten för fel eller felfunktion, som kan påverka säkerhetsfunktionen, genom att använda särskilt tillförlitliga komponenter och genom att tillämpa välbeprövade säkerhetsprinciper, såsom principen om att en komponent har positiv mekanisk koppling till en annan komponent.

168

− Användning av standardkomponenter och där styrsystemet kontrollerar säkerhetsfunktionerna med lämpliga intervall.

− Redundans av styrsystemets delar så att ett enkelt fel eller enkel felfunktion inte leder till att säkerhetsfunktionen förloras. Genom teknisk mångfald hos redundanselementen kan man undvika fel av en gemensam orsak s.k. common cause failures (CCF).

− Automatisk övervakning för att säkerställa att störningar upptäcks och att de nödvändiga skyddsåtgärderna inleds för att förebygga berörda risker. Skyddsåtgärderna kan innefatta stopp av den farliga processen, hinder för återstart eller utlösning av ett larm.

Dessa metoder kan tillämpas i olika kombinationer.

Den prestandanivå, som krävs för en viss säkerhetsrelaterad del av styrsystemet, beror på hur allvarlig den berörda risken är och måste fastställas på grundval av tillverkarens riskbedömning. I standarder typ C för vissa maskinkategorier finns vägledning om kraven för styrsystemets olika säkerhetsrelaterade delar.

Det måste göras en validering av hur styrsystemets säkerhetsrelaterade delar kan nå den prestandanivå som krävs, med beaktande av den maskin- och programvara som används.

Specifikationer för konstruktion av säkerhetsrelaterade delar i styrsystem finns i standarden EN ISO 13849-1115 och standarden EN 62061116.

I fjärde strecksatsen i första stycket i punkt 1.2.1 behandlas rimligen förutsebara mänskliga misstag under handhavande. För att detta krav ska uppfyllas måste styrsystemen så långt det är möjligt konstrueras med feltolerans. I det ingår åtgärder som upptäckt av fel och lämplig återkoppling till operatörerna för att underlätta att fel kan rättas till.

Allmänna principer för mänsklig samverkan med maskiner för att minimera operatörsfel anges i standarden EN 894-1117.

Tredje stycket i punkt 1.2.1. behandlar en särskild riskkälla, som är förknippad med trådlösa styrsystem såsom fjärrkontrollsystem, vilka använder radio-, ljus- eller ljudsignaler, för att kontrollera felaktiga signaler eller kommunikationsavbrott mellan styrutrustningen och den maskin som ska styras. Observera att punkt 3.3 innehåller ytterligare krav för fjärrkontrollsystem för mobila maskiner.

1.2.2 Manöverdon . . .

115 _{EN ISO 13849-1:2008 – Maskinsäkerhet – Säkerhetsrelaterade delar av styrsystem – Del 1:}

Allmänna konstruktionsprinciper (ISO 13849-1:2006).

116 _{EN 62061:2005 – Maskinsäkerhet – Funktionssäkerhet hos elektriska, elektroniska och}

programmerbara elektroniska säkerhetskritiska styrsystem(IEC 62061:2005).

117 _{EN 894-1:1997+A1:2008 – Maskinsäkerhet – Ergonomiska krav på utformning av}

avläsningsinstrument (display) och manövreringsorgan – Del 1: Allmänna principer för samspelet människa – Avläsningsinstrument – manövreringsorgan.