Plausibiliteitcontrole voorkomt manipulatie

Behalve het weer, niets zo veranderlijk als de mens. Een scala aan eigenschappen maakt ons tot wat wij zijn. Met goede en minder goede kanten. Neem onze creativiteit die gepaard aan analytisch vermogen de mensheid als geheel vooruit heeft geholpen. Maar we hebben ook een andere kant die ons zeker als het gaat om veiligheid danig parten speelt.

Dit artikel komt uit de Safetywijzer

Want paar creativiteit aan ergernis, een kort lontje, ongeduld, luiheid of hoe je het ook wilt noemen en we ontwikkelen de neiging die fraaie eigenschap te benutten om situaties goedschiks of kwaadschiks naar onze hand te zetten. En ons vermogen om risico’s adequaat in te schatten – voor onszelf, anderen of de omgeving – blijkt dan vaak omgekeerd evenredig met onze zelfoverschatting.

Natuurlijk varieert de mate waarin die eigenschappen ons parten spelen van mens tot mens en van zoiets ongrijpbaars als gemoedstoestand. Van kleine ergernissen die al dan niet terecht opspelen, kun je machines in elk geval niet beschuldigingen. Hun functioneren kenmerkt zich door rechtlijnigheid en voorspelbaarheid. Om dat voor alle gebruikers van een machine ook zo te houden, wordt terecht veel aandacht besteed aan het beveiligen van machines.

omzilen

Toepassing van een tweehandenbediening heeft meestal een duidelijke (veiligheids)reden. Maar creativiteit kent geen grenzen.

Omzeilen en manipuleren

Nu is niet altijd evenveel aandacht weggelegd voor het voorkomen dat veiligheidsmaatregelen zijn te omzeilen of manipuleren. Dat geldt niet voor de producenten van de componenten die de toegang tot gevaarlijke machineonderdelen helpen beveiligen. Voor de componenten die elke serieuze fabrikant op de markt brengt, geldt dat ze technisch niet of nauwelijks te manipuleren zijn. De technologie is op orde en dat is een goede zaak omdat het veilig functioneren van de machine in kwestie zo is gewaarborgd.

Helaas is dan buiten de mens gerekend. Want kun je bijvoorbeeld de actuator van een deurbeveiligingsmechanisme van de machine schroeven en tegen de detector houden, dan kun je elke deur opendoen en openhouden. Dat lijkt vergezocht maar de praktijk is anders, ondanks hoge codering, transpondertechnologie, laserscanners en lichtgordijnen. Alle éénwegschroeven ten spijt, lichtschermen die tegenelkaar zijn bevestigd met tape of een tie-wrap en onder de machine liggen? De praktijk laat zien dat de creativiteit van de mens onbegrensd is. Het resultaat is dat de (veiligheids)besturing altijd een hoog signaal ziet en de machine ongehinderd kan blijven draaien. Natuurlijk, lichtschermen die zelf detecteren dat ze tegen elkaar worden gehouden zijn verkrijgbaar. Maar de ‘oplossing’ laat zich raden.

Anti-manipulatienorm

In de regelgeving rondom machineveiligheid wordt al het nodige verplicht. Ook als het gaat om manipulatie. Met de komst enkele jaren geleden van ISO 14119 (Veiligheid van machines – Blokkeerinrichtingen gekoppeld aan afschermingen – Grondbeginselen voor het ontwerp en de keuze) is zelfs een heuse anti-manipulatienorm in werking getreden. Deze opvolger van de EN1088 houdt nadrukkelijk rekening met menselijk gedrag en aan de machinebouwer de schone taak zich af te vragen hoe gebruikers met de machine omgaan.

3

ISO 14119 stelt nadrukkelijk dat maatregelen moeten worden getroffen tegen mogelijke manipulatie. 

Selectie

Het begint uiteraard met de selectie van de veiligheidscomponenten. Die moeten op hun taak berekend zijn en bijvoorbeeld onder invloed van de heersende bedrijfs- en omgevingsomstandigheden correct blijven functioneren. Factoren die hierbij een rol kunnen spelen zijn bijvoorbeeld elektromagnetische compatibiliteit, temperatuur en trillingen. Ook kunnen installaties onder hoge druk en met agressieve middelen worden gereinigd. Gaat een veiligheidscomponent stuk als gevolg van omstandigheden die bij het normale gebruik van de machine horen, dan is de machinebouwer die de component heeft geselecteerd daarvoor verantwoordelijk. Want stel dat een mechanische schakelaar sneuvelt en onbekend is of de contacten open of gesloten zijn. Zijn de contacten dicht dan blijft de machine draaien ook als de deur wordt geopend die door deze schakelaar wordt bewaakt. Gaat een component onveilig stuk als gevolg van een onjuiste selectie dan valt dat de machinebouwer te verwijten.

Verantwoordelijkheid

In de aanloopfase naar ‘kapot’ zal een veiligheidscomponent – ongeacht traditionele of moderne technologie – mogelijk slecht gaan functioneren met onverwachte machinestops als gevolg. In de praktijk wordt een slecht functionerende veiligheidscomponent vaak overbrugd – gemanipuleerd dus. En ook hier vraagt de ISO 14119 van de machinebouwer dit te voorkomen. De veiligheidscomponenten dienen binnen de mechanische toleranties te worden gebruikt om te voorkomen dat ze ooit slecht zullen functioneren. De ISO 14119 legt eigenlijk een heel stuk verantwoordelijkheid met betrekking tot manipulatie bij de machinebouwer. Vroeger, voordat deze norm er was kon je een tot manipulatie uitnodigende machine aan een gebruiker leveren en die moest maar zien hoe hij de machine veilig hield.

Motivatie wegnemen

De machinebouwer moet ook voorkomen dat het machineontwerp ‘uitnodigt’ tot manipulatie door de motivatie voor ‘redelijkerwijs voorzienbare manipulatie’ weg te nemen. Denk aan het vermijden van onnodige wachttijden. Stel dat een ruimte met enige regelmaat moet worden betreden voor onderhouds-, inspectie of andere doeleinden. Sowieso zorgt de machinebouwer dat de aanvraagknoppen om de ruimte te betreden naast de deur zitten en niet op een andere onlogische locatie rondom de machine. Als nu het aanvraagsignaal wordt gegeven en de gevaarlijke beweging in kwestie onmiddellijk stopt, dan moet het niet zo zijn dat de operator door een vertraging de ruimte pas na een halve minuut kan betreden.

4Hoe plausibel is het nu eigenlijk dat lichtscherm B wordt onderbroken zonder dat deur is geopend? 

Is dat wel het geval dan mag de machinebouwer zich aanrekenen dat dit tot irritatie leidt en mogelijkerwijs tot manipulatie van de beveiliging. Analyse van een proces kan ook uitwijzen dat de operator wellicht meteen na het stopsignaal de ruimte kan betreden. Simpelweg omdat de gevaarlijke beweging zo ver van de toegang zit dat deze al is gestopt voor de operator of onderhoudstechnicus de locatie heeft bereikt.

De technologie van vandaag maakt het bovendien mogelijk alternatieve bedrijfsmodi toe te passen die zelf kunnen worden toegespitst op de competenties en verantwoordelijkheden van individuele medewerkers. Het is tenslotte niet altijd noodzakelijk of gewenst een hele installatie stil te leggen. Dat kan ook met de aard van de werkzaamheden in een beveiligde zone te maken hebben. Een machine moet wellicht – deels – functioneren om werkzaamheden uit te kunnen voeren. Is bekend wie waarom de gevaarlijke zone betreedt dan kan al dan niet met hold-to-run-voorzieningen en/of verlaagde snelheid de machine deels in bedrijf blijven.

Hoe plausibel?

Een geërgerde operator kan in een zeker geval besluiten om een toegangsbeveiliging maar van de machine af te halen en dusdanig te manipuleren dat dit niet word geconstateerd. Hij of zij is het beu om voor een correctieve actie onnodig lang te wachten op toegang. Maar om de correctieve actie uit te voeren moet ook nog een lichtscherm worden onderbroken. Dat weghalen zou te veel opvallen. Maar hoe plausibel is het dan eigenlijk dat het lichtscherm wordt onderbroken, maar de toegangsdeur niet open is geweest? Sterker nog, zelfs al zou de deurbeveiliging correct functioneren en niet zijn gemanipuleerd dan is het net zo onwaarschijnlijk dat dit optreedt. Dit zou in een dergelijk geval een indicatie kunnen zijn dat de deurbeveiliging mankementen vertoont.

5Tabel 3 uit ISO 14119 geeft aan hoe vergrendelingen afhankelijk van het type tegen manipulatie moeten worden beschermd. Een van de aanbevolen principes en maatregelen die wordt genoemd onder de linkerkolom is het controleren van de plausibiliteit. 

Plausibiliteitscontrole

In de tabel in de ISO 14119 die vermeldt welke principes en maatregelen kunnen worden genomen om manipulatie van verschillende typen vergrendelingen te voorkomen, wordt het controleren van plausibiliteit aanbevolen als additionele maatregel. Maar hoe die plausibiliteitscontrole dan zou moeten worden uitgevoerd staat in de ISO 14119 niet beschreven. Toch is het implementeren van plausibiliteitscontrole heel eenvoudig. Een machine maakt meestal gebruik van twee soorten logische systemen: de machinebesturing en het veiligheidssysteem. De machinebesturing is verantwoordelijk voor alle ingewikkelde taken en processen. Het niet erg intelligente veiligheidssysteem wacht tot een ingang laag wordt en laat dan de machine stoppen. Deze beide systemen zijn alleen gekoppeld als het veiligheidssysteem de machine actief moet laten stoppen. De afhandeling daarvan (stopcategorie 1) neemt de machinebesturing voor zijn rekening.

Uitvoering

Het recept voor plausibiliteitscontrole: Neem één draadje uit elke veiligheidsfunctie en verbind dit met één ingang van de machinebesturing. Laat vervolgens de machinebesturing oordelen of het ‘plausibel’ is dat lichtscherm A elke cyclus wordt onderbroken, deur B eenmaal per uur wordt geopend, deur C eenmaal per dag enzovoort. Je moet natuurlijk wel iets programmeren en daarbij bepalen wanneer de machine een melding/alarm zal geven:

  • Let op! 50% time-out deur C. Machinestop over 9 min, 8 min, 7 min en verder tot 0.

De machinebouwer kan dus bepalen na hoeveel tijd een melding verschijnt en of de machine dan meteen stopt of dat er een korte tijd gaat aflopen waarbinnen de gebruiker de kans krijgt om de situatie te herstellen. Een lasersnijmachine zou je bijvoorbeeld een heel korte time-out kunnen geven en daarna een onmiddellijke machinestop. Een verpakkingsmachine geef je een lange time-out en je geeft de gebruiker de kans om de toestand te normaliseren. Zo ontdekt de machine zelf in korte tijd of een veiligheidscomponent mogelijk werd gemanipuleerd. Heel wat beter dan deuren die weken of maanden gemanipuleerd blijven zonder dat iemand het ontdekt. En wellicht wordt dit pas duidelijk pas als iemand hierdoor letsel oploopt.

6De machinebouwer kan bij plausibiliteitscontrole bepalen na hoeveel tijd een melding verschijnt en of de machine dan meteen stopt of dat de gebruiker de kans krijgt om de situatie te herstellen. 

Kan op manipulatie nihil

Plausibiliteitscontrole kost niks, althans bijna niets aan hardware: een paar kabeltjes en een paar I/O. Het programmeren kost wel iets maar de software die op plausibiliteit controleert is redelijk eenvoudig. De ISO 14119 verlangt minimale fysieke controle-intervallen voor veiligheidscomponenten: eenmaal per jaar voor PLd en eenmaal per maand voor PLe. Dus kijken of bij het openen van de deur de actuator van de veiligheidssensor wordt gescheiden en of de machine daarbij zal stoppen. Deze fysieke handelingen worden overbodig bij plausibiliteitscontrole. Periodieke checks zijn dan niet meer nodig en dat levert weer geld op. Het is een optelsom. Wanneer je ergonomisch ontwerpt, én state-of-the-art veiligheidscomponenten toepast, én plausibiliteitscontrole integreert, dan is de kans op manipulatie nihil. En dat is toch wat we allemaal willen. Thuiskomen na een werkdag met alle tien vingers er nog aan.