Maskinsikkerhed Aps DaU Safety konference Functional safety og remote access - forenelige mål? 1
Maskinsikkerhed ApS 2
Opgaver Maskinsikkerhed og CE-mærkning - Risikovurdering - Dokumentation og brugsanvisninger - Projektering af sikringsløsninger - Kontrol af maskiner, FAT, SAT, ibrugtagning - Indkøb af sikre maskiner - ATEX: zoneklassificering og eksplosionssikring - PED Trykudstyr - LVD Elektriske produkter - Undervisning - Juridisk assistance og sagsbehandling 3
Hvorfor remote access / Fordele: tele-service? Hurtig service, løbende kontrol og fejlsøgning, dvs højere oppetid og lavere serviceomkostninger Ulemper: Nye fejlkilder, også vedr sikkerhed 4
Forudsætninger ændres De fleste maskiner er designet til kun at kunne startes fra betjeningspanelet: Dvs operatøren har fuldt opsyn med det farlige område. Remote access / teleservice ændrer på dette, også sikkerhedsmæssigt. 5
Hvad ser vi derude? Flere og flere maskiner på nettet Meget få med en gennemtænkt plan Jeg har ingen ulykker endnu, men en hel del tilløb 6
Hvad ser vi derude? - Hvornår starter USA mandag morgen? 4 ringede, man nåede at stoppe de sidste 18 robotter - Maskinen kører baglæns, hvad den kun måtte hold-to-run. Der blev bare indlæst nye registre i PLCen. - Robot under udvikling brænder huller i gulvet med en klasse 4 laser. 7
Hvad ser vi derude? - En programmør i Danmark måtte genstarte linien i USA igen og igen: Der var hele tiden problemer med sikkerhedskredsen - Smeden sætter anlæg i passiv på PCen så der kan laves service. På trods af passiv kan maskinen styres fra kontrolrum OG 12 hjemmeadresser. Tilløb til ulykke uden nye aktioner 8
Hvorfor? Vi gør klar til en SAT-test, og snakker med fabrikanten. Pludselig starter maskinen med åbne låger og uden operatør. Der sidder en mand med en PC. Er der fjernstyring? Nej, siger fabrikanten. Er det der ikke et modem? Tjah, jo? Manden med PCen siger at det sætter de altid i tavlen, det er meget nemmere. Mon fjernstyring er risikovurderet og behandlet i brugsanvisningen? 9
Ansvar for en maskines indretning Fabrikanten har det fulde ansvar for at hans maskiner overholder alle relevante krav når maskinen overdrages til brugeren
Ansvar for maskiner i brug Arbejdsgiveren har det fulde ansvar for at hans maskiner overholder alle relevante krav når maskinen bruges Når brugeren laver ændringer er brugeren fabrikant af ændringerne
Remote access / tele-service Maskindirektivet har ikke behandlet emnet særskilt Jeg har fundet 2 standarder og et forslag DS/EN ISO 10218-2 Robotceller DS/EN 415-10 Generelt Pakkemaskiner pren ISO 18217 Træmaskiner Kantlimere Der kan være andre og flere på vej 12
Standarder frivillige, MEN! - Standarder er frivillige, for ikke at standse den teknologiske udvikling - Standarder viser state-of-the-art, dvs det niveau man kan forvente - Hvis fabrikanten bruger andre løsninger, skal han have dokumenteret at hans løsning er mindst lige så god: I hans risikovurdering
Høst af løsninger Høst af løsninger fra andre standarder: Gode løsninger kan bruges, når forudsætningerne også passer: Husk: man selv bevisbyrden Prøv at lave en risikovurdering! 14
Remote access / tele-service DS/EN ISO 10218-2 Robotceller Ikke rigtigt defineret, men: 5.6.5 Hvis en robotcelle skal fjernstyres af en operatør, der er fysisk væk fra robotten (fx i et fjernt kontor), kræves følgende: 15
Remote access / tele-service DS/EN 415-10 Generelt - Pakkemaskiner 3.12 Teleservice: Styringsform for en maskine, hvor fejl kan diagnosticeres, parametre ændres og maskinfunktioner kan initieres fra et fjerntliggende sted Note 1 : Indsamling af data eller overvågning maskinparametre betragtes ikke som Teleservice. (HMH: Hvis det ikke er farligt). 16
Remote access / tele-service pren ISO/DIS 18217 Kantlimere 3.3.13 Tele-service: Ekstern maskindiagnose (herunder fejlfinding), softwareopdatering og fjernstyring fra fabrikantens servicecenter 17
Remote access / tele-service pren ISO/DIS 18217 Kantlimere 3.3.13 Tele-service: Ekstern maskindiagnose (herunder fejlfinding), softwareopdatering og fjernstyring fra fabrikantens servicecenter HMH: Andre end fabrikanten må også! Snak med din leverandør. 18
Sammenstilling af de 3 Bemærk: Ovenstående er kun et uddrag 19
Standardernes løsninger Ikke ret gennemarbejdede: Dette er et helt nyt arbejdsfelt for myndigheder og standardiseringsgrupper (men åbenbart ikke for programmørerne). 20
Standardernes løsninger Nogle krav er urimeligt skrappe: pren ISO 18217 Kantlimere - Maskinen skal være tømt for emner før der logges på - Nødstop skal være aktiveret under teleservice Kan ikke bruges ved de fleste maskiner. Er ikke et krav ved robotter og pakkemaskiner 21
Standardernes løsninger Andre er rigeligt friske: Robot med personer i cellen: De skal bare have hver sit panel/3-poskontakt, hastigheden reduceres og de unødvendige funktioner være slukket: Hvad med klasse 4-laseren? Hvad med aluminiumssaven (8.000 o/min)? 22
Hvad vil jeg gøre fremover? Jeg ville nok kigge i alle 3, selv om det var en robot-celle eller en pakkemaskine der skulle designes / risikovurderes Der er problemer og løsninger at høste i dem alle. 23
Holder dine forudsætninger? Kender han til virtuel sikkerhed på robotten, sikkerhedskredsen, hvorfor dele af styringen er dubbleret, hvor mange gange man må purge en gasstyring? Hvad står der i brugsanvisningen? 24
Procesanlæg Kraftværker Fødevareindustrier Medicinalindustri Kemisk industri.. Lukkede anlæg: Tanke, pumper og rør 25
Proces-anlæg HVIS man har en troværdig lock out på et lukket proces-anlæg, kan man jo lave hvad som helst hjemmefra: Der er jo aldrig personer i det farlige område; og ALT er jo vel gennemtænkt (risikovurderet??) med automatiske styringer via recepter og driftsplaner, og med styring fra kontrolrummet. 26
Proces-anlæg Idéer til risikovurderingen: IKKE uddybende Fra standarderne: Kun i manuel mode? Nej, hvorfor det? Identifikation af de enkelte maskiner/linier: Ja, selvfølgelig Lokal styring har forrang? Ja, selvfølgelig Kun for en tømt maskine: Nej, hvorfor det? Kun med nødstop aktiveret: Nej, hvorfor det? Kun én styring af gangen: Kun hvis der er risiko Angivelse af om maskinen er i teleservice: Kun hvis der er risiko Brugsanvisning for begge ender: JA, helt klart 27
Proces-anlæg Procesindustrien kan tage de enkelte krav og så vurdere i forhold til det konkrete anlæg: Genstart af CIP-anlæg (sker ofte automatisk alligevel) Logning af alle sessioner (har man ikke det af kvalitetsårsager?) Træning af dem der styrer? Kan / må de det de gør? Er maskinens lock out troværdig? Kan vi stole på kundens lock out? 28
Lock out: Troværdigt? På Nordsøen fandt jeg en lock outplan, som jeg faktisk troede på Det har jeg til gode i land. 29
Remote access / tele-service De gennemførte løsninger? En enkelt var tæt på: - Robotcelle med egne uddannede operatører; høj lock out disciplin, og - Offentlig adgang til automatiske maskiner 30
Better Place batteriskiftestationer 31
Better Place batteriskiftestationer Planlagt 20 stationer rundt om i landet Overvåget døgnet rundt af 2 mand på Nørrebro i København Næsten alle funktioner skulle kunne fjernstyres (Desværre nåede vi ikke at implementere løsningerne) 32
Better Place Alt under niveau lavet efter DS/EN ISO 10218-2 Robotceller + supplerende risikovurdering: 2 mand i cellen under fjernstyring, hver sit håndpanel: Troværdig lock out lavet i designet (Nøgle til døren var i tavlen) 33
Better Place Offentlig adgang? Skal blive i bilen men. (god risikovurdering) Sikkerhedskredsen aktiveres når: - Døren åbnes under et batteriskift - Personer udenfor bilen - Nødstop-knap aktiveres Genstart via telecom og kamera 34
Tele-service med kamera? Med kamera opnås: fuldt opsyn med det farlige område Hvad hvis kameraet fryser? Hvad hvis billedet forsinkes? 35
Hvordan gør du så i praksis, næste gang du designer Remote? Tænk dig om, og lav en plan: - Hvad skal være omfattet? - Hvad vil du kunne styre og hvordan? - Hvilke forudsætninger kan du opstille? - Hvilke forudsætninger tror du på? Risikovurder og høst løsninger fra standarderne + sund fornuft 36
Hvornår skal fabrikanten lave risikovurdering? Projektstart Slut-levering Fabrikantens risikovurdering Rød er lovpligtig 37
Hvornår skal køber bruge fabrikantens risikovurdering? Projektstart Slut-levering Fabrikantens risikovurdering Plan før ordre Købers APV m AmO (Projekt Det gode indkøb ) Lovpligtig kontrol før første brug 1109 14 38
Konklusion Remote access / tele-service er kommet for at blive Det kan sagtens laves forsvarligt Det kan indføres på eksisterende udstyr (men er noget nemmere på nyt) I må mere end I tror, men ikke så meget som I allerede gør 39
Konklusion Fabrikanterne og brugere skal have styr på risikovurderingen OG hvilke forudsætninger der kan holde (pas på med forventeligt misbrug) Mange af jer har noget at tage fat i når I kommer hjem: Ikke kun bøvl men også nye muligheder 40