Kronik: "En maskine kan aldrig være sikker"
"Cobots skubber sikkerhedsansvar" hedder det i en overskrift i denne avis.
I samme avis her der været adskillige omtaler i robotter i såvel lykkelige som ulykkelige sammenhænge.
Indledningsvist skal vi have fat i de rigtige betydninger af nogle meget vigtige definitioner, når det handler om at være sikker og om at skabe sikkerhed.
Sikker og sikkerhed
Ordet sikker skal beskrive en situation, hvor der ikke er nogen resterende risiko tilbage, og sikker kan ikke beskrives for en hel maskine ad gangen
En kaffemaskine er for eksempel sikker i relation til elektricitet, når stikproppen er trukket ud af stikkontakten, men man kan stadigvæk brænde sig på den resterende varme på kogepladen.
En robot er sikker, så længe den står på den palle den blev transporteret på. Når den er løsnet fra pallen så kan den vælte.
Når den er fastgjort til underlaget og installeret, så er den fortsat sikker imens transportbeslagene fortsat sidder på deres rette plads.
Den sikre tilstand er slut, når der bliver sat strøm på.
Herefter har den en grad af pålidelighed.
Robottens styresystemer
Generelt har en robot to adskilte styresystemer.
Det ene er at styresystem for den tilsigtede funktion, hvor personer ikke er inden for dens farlige område. Dette styresystem behøver ikke at have en speciel høj pålidelighed, idet en fejl i systemet ikke vil berøre operatørens sikkerhed.
Det andet er et styresystem beregnet for indlæring af robottens funktioner (teaching). Under denne driftsform er operatøren inden for robottens rækkevidde, og der kræves et højt niveau af pålidelighed (performance level eller Safety integrity level.
Pålidelighed måles i Performance Level (PL i henhold til ISO 13849-1 eller Safety integrity level SIL i henhold til IEC 62061 og er et udtryk for sandsynlighed for farlig fejl.
Højeste niveau af pålidelighed for styresystemer i industrimaskiner er PLe og SIL 3 med MTTFd på 1141 til 11410 år og typsisk er niveauet over 2000 år.
Det svarer til, at med 2000 sikkerhedsfunktioner på markedet skal man regne med mindst én farlig fejl per år.
En typisk robotcelle har adskillige elektriske sikkerhedsfunktioner, så den reelle risiko ligger adskilligt højere
En grundregel
Ovenstående er måske sort snak for de fleste robotkøbere, og dog har de et stort ansvar for at det er sikkerheds- og sundhedsmæssigt forsvarligt at anvende robotten.
Derfor gælder den fundamentale grundregel for risikoreduktion
Hvis der findes en farekilde og en person er inden for rækkevidde af faren fra denne farekilde så er der en risiko.
Hvis personen er placeret uden for rækkevidde af farekilden, eller farekilden er anbragt uden for rækkevidde af personen, så er der ingen risiko
Det er utrolig vigtigt at forstå de tre hovedbegreber i risikoreduktionsprocessen.
Hvis det ikke er muligt at opfylde grundreglen, så handler det om at reducere risikoen, så den resterende risiko er acceptable.
Rundsave til 14-årige
Til sammenligning er det lovligt at sælge en rundsav til en 14-årig dreng eller yngre, men han må ikke købe cigaretter - det er for farligt.
Risikoen ved anvendelse af rundsaven er åbenlys. Risikoen ved at ryge er ikke åbenlys og til stadighed under diskussion
Igen skal man huske at hvis det er meningen at anvende maskinen, så må man leve med en resterende risiko - absolut ingen maskiner er sikre i drift, og sikre styresystemer findes ikke.
I bund og grund handler det om at gøre den resterende risiko synlig og så lav som muligt
Begreber som sikkerheds plc, sikkerhedsrelæ, sikkerhedslysgitter er rent merkantile udtryk og udtrykker ikke sikkerhed - men grader af pålidelighed
Løbende test er et krav
Pålideligheden i alle sikkerhedsrelaterede komponenter er udtrykt ved PL eller SIL og MTTFd - principielt manglende sikkerhed.
Derfor skal denne type udstyr testes med passende mellemrum. Normalt skal lysgitre, lysbomme, og andre persondetekterende typer udstyr testes hver dag inden produktionen sættes i gang. Dette gælder overordnet fordi denne type udstyr gemmer på en andel af overvågningen, der kan indeholde sovende fejl.
Kravet til test gælder fordi langt de fleste af dem kun har personbeskyttende virkning, og ikke har driftsmæssig betydning.
Elektriske styresystemer, der har både den personbeskyttende og den driftsmæssige betydning har langt mindre sandsynlighed for at gå i stykker i den farlige situation. Forholdet mellem de to anvendelser anvendes, når fabrikanterne fastsætter testrutinerne.
Det tyske arbejdstilsyn foretog for nogle år siden en stikprøveundersøgelse af software i en bred vifte af industrimaskiner, og fandt større eller mindre fejl i 100 procent, hvilket er en ekstra årsag til grundig test efter ændring af software (i henhold til ABEK 1109 § 14 stk. 2.
Artiklen er en del af temaet Nyt Maskindirektiv.
