Förord
Till alla som är involverade i skyddet av människor och utrustning på arbetsplatsen …
– Under de senaste åren har många industriella maskiner kraftigt förbättrat sin flexibilitet och produktivitet med införandet av olika elektroniska nya styrsystem. Införandet av avancerade komponenter och system har krävt nya metoder för att bedöma dess säkerhetsprestanda. Som ett resultat har stora krav på säkerhetsnormer för maskiner också krävts och vi följer ständigt uppdaterad information av riskbaserade, kvantitativa standarder från globala organisationer som IEC och ISO. Guidade metoder inom dessa standarder bidrar mycket till genomförandet av toppmoderna säkerhetslösningar och möjliggör nu ett förenklat urval av säkerhetskomponenter och system för att uppnå adekvat riskreduktion. Denna information syftar till att vara en objektiv och omfattande referens för personer som är involverade i att välja urvalet av trådlösa radiostyrningssystem för säkerhetskritiska tillämpningar.
Vi inom gruppen för tillverkaren av Säkra radiostyrningsutrustningar ”Autec safety remote control” hoppas att följande information hjälper dig med den uppgiften och vi uppskattar dina kommentarer och förslag som gör det möjligt för oss att fortsätta förbättra arbetet. Till alla våra värdefulla partners och kamrater – tack för ditt passionerade engagemang!
Har du frågat dig om din fjärrkontroll för din radiostyrningsutrustning överensstämmer med relevanta standarder och hur kan man veta om en fjärrkontroll är tillförlitlig och lämplig för maskinen?
Under de senaste åren har radiostyrningar blivit en allt mer vanligt förekommande påbyggnad för olika maskiner av alla storlekar. Med en sådan global acceptans från både konstruktör, beställare och slutanvändare av radiostyrningsutrustning har marknaden kommit att betrakta dem som bekvämt, säkert och pålitligt. Men med dagens globala marknadsplats är det inte alltid så enkelt.
Det mest grundläggande är att det finns ett arbetsgivaransvar som omfattar att de kan tillhandahålla en säker arbetsplats och att vi som tillverkare av radiostyrningsutrustning följer de regelverk som finns runt om i världen, kraven ökar samtidigt på arbetsgivaren ska kunna visa upp hur detta också uppnås och hur deras kontroller sker.
Vid val av all säkerhetsrelaterad utrustning som t.ex. radiostyrningsutrustning eller annat som ska påbyggas till en maskin eller annan utrustning som konstrueras bör kriterier och processer som används vid förstudie och behovsanalys vara direkt påvisbara.
Du bör därför alltid fråga dig om din radiostyrningsutrustning överensstämmer med relevanta standarder?
Det första steget borde därför vara att tillverkaren av den valda radiostyrningsutrustningen kan visa att systemet överensstämmer med alla gällande normer för den marknad utrustningen kommer att användas till.
Beroende på Lagar, Regler och relevans faller radiostyrningsutrusningen under flera olika kategorier:
➜ Radio emissions and immunity: dessa kraven tar upp risken för störningar av enheten med andra radioenheter och de hälsorisker som är förknippade med elektromagnetisk strålning. Till exempel, R&TTE-direktivet och dess harmoniserade standarder (EN 300220, EN 61000, EN301489), FCC del 15/90, AS4268.
➜ Functional safety: dessa krav är de mest komplexa och pekar direkt på möjlig risk för att enheten kan fungera felaktigt och kan orsaka farligt maskinbeteende, t.ex. EN ISO 13849-1, IEC62061, AS4024.
➜ Requirements specific to the lifting machine: dessa standarder kan åläggas särskilda krav för systemet på en mängd olika sätt, inklusive säkerhet, prestanda, fysiska parametrar, märkning, etc. Ett bra exempel är EN IEC60204 1/32, EN13557, AS 1418, ANSI ECMA 15: 2010
➜ Electrical safety: dessa krav syftar till att kontrollera risken för elektriska stötar och eld och är vanliga för mängder av elektrisk utrustning. Till exempel, lågspänningsdirektivet (EU) eller AS / NZS 3000 (Australien och Nya Zeeland).
Dessa regler kan vara komplicerade och kan interagera med varandra. Det är också viktigt att erkänna att det krävs minimikrav för nämnda. Att uppfylla alla dessa krav räcker därför inte för att påvisa att en radiostyrning är ”Säker” eller med andra ord, att det skulle minska risken för att en vald toleransnivå är korrekt. Ett andra steg är att se till att radiostyrningen också följer den lämpliga skyddsnivå som uppstår efter utvärderingen av riskerna (”RiskAnalys” vilket är det rätta förfarandet och vad ska användas för denna uppgift), många bra Guidlines/Riktlinjer för hur du gör en korrekt utvärderingen finns att tillgå).
Hur kan man då se om en radiostyrning är lämplig eller ej? Och vad bör man se upp med?
Utseende på en radiostyrningsutrustning är en mycket dålig guide för att veta om nödvändig Säkerhetsnivå uppfylls eller ej. Vissa varumärken som marknadsförs som ”Säkra” radiostyrningssystem är direkt fundamentalt bristfälliga trots att de ser nämnvärt lika ut med andra radiostyrningssystem som uppfyller de ställda kraven.
Det finns dock två saker som kan undersökas med blotta ögat:
➜ Stopp-knappen ska vara av mekanisk spärrtyp. Som gäller för alla STOP knappar ska radiostyrningen ha positiva brytare och normalt stängda kontakter. När Stopp är aktiverad måste alltid Stopp-knappen återställas före ny uppstart, dessa knappar är ofta röda mot en gul botten på manöverenheten, även märkta med retur->pilar för återställningsriktning, med eller utan text för reset. Reset ska Alltid utföras manuellt före radiostyrningen kan användas igen. Om Stopp-knappen på ett radiokontrollsystem verkar vara en vanlig tryckknapp, då är ytterligare frågor berättigade att ställa.
➜ Använder radiostyrningen uppladdningsbara batterier? De flesta ”Säkra” radiostyrningar använder uppladdningsbara batterier av en enkel anledning – de sänder kontinuerlig när radiostyrningen är påslagen, det gäller även om inget funktion/kommando är aktiv. Detta är nödvändigt så att radiostyrningen misslyckas ”Säkert” i en händelse av att kommunikation mellan sändaren och mottagaren bryts. De radiostyrningsutrustningar som inte har uppladdningsbara batterier kan därför inte påstås uppfylla kraven då de överför funktion endast när ett kommando är givet. Även om detta resulterar i en mycket lägre strömförbrukning och längre batterilivslängd så minskar säkerheten dramatiskt. Utöver dessa enkla observationer bör beställaren därför fråga tillverkaren om de efterlever de obligatoriska standarderna som är upprättade för att kunna betrakta sin radiostyrningsprodukt som ”Säker”.
Säkerhetsnivån/skyddet i din radiostyrningsutrustning ska ha en nivå för feldetektering vilket bör bestämmas tidigt i projektet, normalt både för Stopp-funktionen och rörelsefunktioner, båda separerade från varandra. Tillverkarnas självbedömningar av säkerhetsprestanda är användbara, oberoende bedömningar från kvalificerade laboratorier, t.ex. notified bodies vilka är behöriga att kunna analysera ett systems olika säkerhetsnivåer. Att tillverkare av olika radiostyrningsutrustningar kan visa upp nämnda oberoende bedömning av teknikplattform ska ses som högt mervärde för beställaren.
Sammanfattning och väl värt att tillägga; det bästa försvaret för en beställare av en radiostyrning är att undvika att välja ett olämpligt system till sin maskin. Nämnda kan undvikas redan i ett tidigt skede genom att bygga upp sin kunskap runt tekniken så att valet inte baseras på bara pris och utseende, eller att nöja sig med att tillverkaren påstår att systemet uppfyller alla ställda direktiv. Beställaren ska först förvissa sig om att tillverkaren uppfyller de ställda kraven, betyder att krav på beställaren bör ställas att de håller sig till sunda principer.
Tillförlitlighet och Säkerhet!
Många ”osäkra” radiostyrningssystem kan man tyvärr finna på många olika applikationer idag eftersom många beställare ej är medvetna om vilka krav som ställs, eller att de helt saknar kunskapen att kunna ställa de rätta säkerhetsfrågorna som deras maskin/utrustning kräver. I vissa fall kan bristen även omfatta dålig uppmärksamhet hos tillverkaren av radiostyrningssystemet vilket medför att de rätta säkerhetsfrågor aldrig lyfts vilket vilket också kan få konsekvens i den totala byggkvaliteten av maskinen, något som i förlängningen slutanvändaren blir medveten om när något säkerhetskritiskt för maskinen uppstår. I andra fall kan slutanvändaren vara ganska nöjd med den dagliga användningen av en ”icke säker” radiostyrningsutrustning. Detta är inte förvånande då prestanda under felförhållanden är väldigt annorlunda för grundläggande funktionalitet. Som med de flesta säkerhetsfrågor, ouppmärksamhet för maskinens säkerhetsbehov kan nämnda gå ostraffat under en mycket lång tid – bristerna exponeras bara när något går fel, ibland med mycket tragiska konsekvenser..
Som beskrivs i detta första stycke ”säkerhet med radiostyrning” innebär nämnda olika aspekter som grundläggande.
Nästa ämne omfattar ”Säkerhet i digital Kommunikation” där vi utforskar koncept relaterad till radiotransmission. Detta är av stor betydelse och säkerhetsrelaterad.
Felsäker radiostyrning:
Den primära säkerhetsfunktionen för radiostyrning måste vara förmågan att operera maskinen säkert. Skydd av Stopp-funktionen mot fel är därför klart kritisk. Det bör dock noteras att skydda Stopp-systemet är inte tillräckligt för att uppnå ett säkert system då det är beroende av att den mänskliga operatören ska kunna vidta lämplig och aktuell åtgärd i en nödsituation. Operatören kanske inte är närvarande, eller ej är medveten om risken, reagerar kanske inte i tid, eller kanske till och med vidtar åtgärder som gör risken mycket högre vilket kan skapa allvarliga konsekvenser.
Några fördelar kan uppnås genom att säkerställa att en outnyttjad sändare stängs av automatisk med inbyggd automatisk avstängningsfunktion (som då initierar ett Stopp), lämpligt om systemet varit outnyttjat under en längre tidsperiod. Men återigen, det är inte ensamt tillräckligt.. Radiokontrollsystemet måste skyddas mot fel som orsakar initiering av oväntad rörelse utan att operatören behöver aktivera Stoppet ”Av den anledningen” Tänk säkerhetsprestanda för en fjärrkontroll baserad på två möjliga misslyckanden:
➜ Stoppfunktionen misslyckades.
➜ Oavsiktlig rörelse från stillastående orsakat av ett fel (även kallat UMFS skydd).
Dubbla Stopp-utgångar:
En av de mest förutsägbara farliga ”Fel” som kan uppstå i en radiostyrning är att stopputgången ej stängs av vid behov. Nämnda problem hanteras av att systemet har två Stopp-utgångar, vilka båda självständigt kan ta maskinen till ett säkert tillstånd. Även om detta är en definitiv förbättring utöver de system som endast har en enskild utgång är det ej en komplett systemlösning. Det krävs i tillägg tillförlitlig detektering av Stopp-utgångarna. Om detektering ej finns av Stopp-utgångarna skulle konsekvensen bli att radiostyrningssystemet arbetar utan skyddet av den andra Stopp-utgången. En manuell inspektion av utgångarna kan avslöja problem, men det är ofta opraktiskt att schemalägga manuella inspektioner med täta intervaller för att säkerställa att eventuella fel kan upptäckas före ett andra fel inträffar. Det är nödvändigt för ett kontrollsystem att själv kunna upptäcka att ett misslyckande har inträffat för att förhindra maskinen från att fungera medan endast en utgång är aktiv. Denna duplicering med feldetektion kan även benämnas ”redundans med självövervakning” och borde vara självklart för att få kalla en radiostyrning ”Säker” för användning av olika lyftapplikationer eller andra farliga rörliga maskiner. Stopp-utgångarna från en radiokontrollmottagare/basstation kan utnyttja en speciell klass av reläutgångar som kallas ”Säkerhetsrelän”. Trots att namnbetydelse, deras design är Säkrare än ett vanligt relä så finns det fortfarande risk för svetsning, spole-brott eller andra mekaniska fel som kan uppstå. Det som gör dem annorlunda är att funktionen är känd som “forcibly guided contacts”, detta namn är mer vägledande för deras verkliga funktion. Om en uppsättning kontakter störs i läget ON kan den andra uppsättningen inte återgå till normalt stängt läge (som kan uppstå med standardreläer, särskilt de med litet kontaktavstånd). Det här innebär att styrsystemet kan med viss säkerhet veta vilken uppsättning av relä kontakter som arbetar genom kontinuerlig övervakning av den andra uppsättningen. Detta förenklar konstruktion av en robust säkerhets styrkrets då en kontaktuppsättning används för strömväxling och den andra uppsättningen används för övervakning. En annan systemlösning kan omfatta användandet av fasta utgångar som kontinuerligt övervakas av att elektroniken deaktiveras om ett fel upptäcks.
Dubbla ingångar:
För att skydda manöverkontrollen mot fel av att dess elektroniska kretsar kan orsaka oväntade rörelse kan fjärrkontrollerna använda dubbla funktionsingångar. Vissa typer använder en fysiskt aktuator (t.ex. knapp) som driver två separata kanaler för bekräftelse av kommandot. Några modeller använder två elektriskt och mekaniskt separerade manöverdon
som driver de två kontrollkanalerna för att bekräfta varje kommando vilket ger högre säkerhetsnivå eftersom skyddet också ges mot mekaniska fel (t.ex.som brutna fjädrar, misslyckade kontakter, eller kabelbrott).
Dubbla avkodare:
Som nämns tidigare och som omfattar om en radiostyrning ska benämnas ”Säker” ska den ha en passiv Stoppfunktion, d.v.s. mottagaren måste få en giltig ”Meddelande” från sändaren inom a viss tidsperiod annars ska den gå in i ett säkert Stoppläge. Mottagaren/basstationen lyssnar på inkommande meddelanden och bestämmer om de är giltiga eller ej, dessa benämns avkodare. Om Stopp-systemet ska skyddas mot fel så krävs det att avkodaren är likadant skyddat. Detta kräver att duplicering av avkodaren (arkitektur med dubbla kanaler, enligt EN ISO 13849 terminologi) och sätta en mekanism på plats, båda avkodarna godkänner att ett giltigt meddelande har mottagits = Stopp aktiveras. Det finns flera tillverkare av radiokontrollsystem som påstås vara ”Felsäker”, dock uppfyller de ej dessa kriterier – de har enkla avkodarmönster. Om det bara finns en enda avkodare och avkodningen misslyckas och kanske Stopp-kretsen inte fungerar korrekt blir det problem. Ett system av denna typ är sårbar för program eller korrupt data, slumpmässig maskinvaruuppdelning och systematiska fel på grund av programvara och / eller datafel. Situationen är liknande om vi anser skyddet mot oväntad rörelse. Återigen, i ett enda avkodningssystem finns det inget som kan förhindra avkodarens fel från att initiera oväntade rörelser. För att skydda sig mot nämnda krävs det duplicering av inte bara Stopp-funktionaliteten för avkodaren utan även av alla säkerhetsfunktioner som implementerats i systemet. Dubbelavkodning av systemet är viktigt för att skydda sig mot hårdvarufel: båda måste komma överens om ett kommando.
Fortsättningsvis kan detta inte göra någonting mot andra orsaker som fel eller systematiska fel, t.ex. mjukvarufel. Om båda avkodarna har ett o-kodat problem vid en specifikt temperatur, båda kommer då att misslyckas vid den temperaturen. Återigen, om detsamma är felaktigt och programmet körs på båda avkodarna och de alltid kommer överens – men att de båda kan ha fel! Watchdog timers, program checksums och andra tekniker kan då minska risken delvis, men det är osannolikt att de kan göra det till önskad nivå. För högre nivåer av integritet för avkodare (dekoder-ers) bör dessa vara ”olika”, vilket betyder att både hårdvara och programvaran som körs måste vara olika. Detta är en av de viktigaste teknikerna som används för att uppnå säkerhet i ett fjärrkontrollsystem.
Dubbla koder:
Vi har sett vikten av att säkerställa att ett meddelande är mottaget och avkodade korrekt samt hur detta kan uppnås genom att använda dubbla avkodare. Det kan tyckas vara tillräckligt skydd och att det inte är nödvändigt att ha dubbla koder för sändning av ett meddelande. Det finns dock en hel del motiveringar för detta argument ”om vi stänger av strömmen till sändaren med hjälp av en avstängningsknapp eller kodnyckel kommer enheten sluta att sända ”. Med dubbla koder i mottagaren vet vi att minst en av dem kommer att upptäcka förlusten av kommunikation och orsaka ett passivt Stopp. Sammanfattat så uppnår vi en grundläggande nivå av fel som skydd vad det gäller ”Passivt” stoppsystem med dubbla koder och avkodare. Situationen förändras om vi vill ha det för att säkerställa UMFS-skyddet och Aktivt stoppskydd. Låt oss anta att det mottagna meddelandet var korrekt strukturerad och skickad, men innehöll fel kommandon eftersom det var en fel i kodningselektroniken hos sändaren ”i en sådan situation med dubbla koder kommer nämnda inte att vara till någon hjälp ”. Det krävs därför att det finns viss redundans i kodare för sändarenheten för att skydda systemet mot att initiera oväntade rörelse på grund av ett fel. Samma övervägning på vanliga orsaker som misslyckanden och systematiska fel.
Dubbla utgångar:
Utgångarna i mottagaren/basstationen måste dupliceras för att kunna säkerställa att minst en utgång öppnas för att sluta i samband vid ett fel. Om vi ska skydda oss mot oväntad rörelse (UMFS) krävs det dubbla utgångar för att få aktivera rörelsekommandon på maskinen. Detta kan ha formen av att man duplicerar varje kommandot individuellt, men det finns en balans att nå mellan tillförlitlighet och säkerhet. Om vi duplicerar varje produkt så dubblar vi också komplexiteten. Och om vi inte övervakar duplicerad utdata för möjliga misslyckande så har endast en liten fördel vunnits. En kompromiss som uppnår hög säkerhet med liten tillförd komplexitet är att tillhandahålla ytterligare utdata som tar bort kraft från alla rörelser om icke rörelsekommandon är aktiva. På detta sätt är systemet skyddat mot vissa utmatningsfel som t.ex. kortslutningar med ett relativt enkelt system. Om Bekräftelse dupliceras och övervakas, en hög skyddsnivå mot oväntade rörelser har då skapats.
Funktionssäkerhet: principer/referenser för Säkerhetselektronik idag !
Två stora globala trender har blivit uppenbara under senare år och de påverkar fortfarande tekniska beslut. Mer elektriska och elektroniska samt programmerbara system är nu integrerade i alla typer av olika maskiner. Trenden började för några decennier sedan inom bilindustrin med system som t.ex. krockkuddar, spärrbromsar, dragstyrning och stabilitetskontroll som äntligen kunde säkerställa att hög prestanda och att tillförlitlighet och säkerhet nu samexisterade. Sedan dess har elektroniska system inkluderats i designen av många andra tillverkningsområden. Deras effektivitet och bevisat värde är obestridliga och de är nu så utbredda att det också visat sig vara kostnadseffektivt. Den andra trenden är fokus på säkerheten. Följaktligen, internationella standarder har verkställts och är idag strängare med mer exakta krav och begränsningar med fokus på just säkerheten som den viktigaste målsättningen för produktens livscykel. Som ett resultat har tekniken samtidigt vidareutvecklas med avsikt att tillämpas och höja säkerheten, vilket kan beskrivas i allmänhet som ”minskningen av risk till en acceptabel nivå”. De två trenderna påverkade också maskinsektorn, inklusive lyft och materialhanteringsmaskiner, såväl som tillverkningsmaskiner där de mekaniska aspekterna traditionellt segrade över andra. Vid utveckling och tillverkning av maskiner, elektriska, elektroniska och programmerbara system likväl. Att erbjuda ökade säkerhetsnivåer som utformas och integreras är en självklarhet idag. Tillverkare för industriell radiostyrningsutrustning har följt samma väg, systemen integreras mer och mer, elektronik och förbättring av ”Funktionssäkerhet” hos dessa system likaså. Med Funktionssäkerhet omfattar definitionen idag ”the safety resulting from the correct functioning of a control system in response to input signals thus reducing external risks to a tolerable level”.
Vill du veta mera? Tveka då inte att kontakta oss för kompletterande information eller guidning så du kommer rätt direkt från start för ditt projekts förstudie och behovsanalysarbete.