Mag een noodstop op een HMI geprogrammeerd worden?

Een noodstop mag absoluut niet op een HMI (touchscreen) worden geprogrammeerd. Dit is een van de meest fundamentele regels in machineveiligheid en het is streng verboden door de geldende normen.

De kern van de reden is dat een noodstop een hardwarematige, faalveilige (fail-safe) functie moet zijn, die volledig onafhankelijk is van software, PLC’s of HMI-systemen.

De belangrijkste norm die dit voorschrijft is de EN ISO 13850 (Veiligheid van machines – Noodstopfunctie – Ontwerpbeginselen). Een noodstop op een HMI voldoet op meerdere cruciale punten niet aan de eisen uit deze norm:

Principe van directe werking (Positive Opening): Een fysieke noodstopknop is zo ontworpen dat hij bij bediening een elektrisch circuit fysiek en gedwongen verbreekt. Een virtuele knop op een scherm stuurt enkel een signaal naar de besturing. Als de software, het besturingssysteem of het HMI-paneel zelf vastloopt of een storing heeft, komt dit signaal nooit aan.

Permanente beschikbaarheid: Een noodstop moet altijd en onmiddellijk beschikbaar zijn. Een HMI kan:

Vastlopen of crashen.

In een ander menu of scherm staan, waardoor de ‘knop’ niet zichtbaar is.

Uitvallen door een stroomstoring of defect aan het scherm. Een fysieke knop is altijd op dezelfde plek en direct operationeel.

Fysieke kenmerken en herkenbaarheid: De norm schrijft dwingend voor dat een noodstop een rode, paddenstoelvormige knop op een gele achtergrond moet zijn. Dit zorgt voor onmiddellijke, universele herkenbaarheid, zelfs in een panieksituatie. Een icoon op een scherm voldoet hier niet aan.

Vergrendeling (Latching): Een ingedrukte noodstop moet mechanisch vergrendeld blijven totdat deze bewust en handmatig wordt gereset (ontgrendeld). Deze handeling mag de machine niet direct herstarten. Een softwareknop heeft geen fysieke vergrendeling.

Conclusie

Een noodstopcircuit moet altijd een aparte, hard-wired stroomkring zijn die alle andere besturingen kan overrulen. Het is een laatste redmiddel dat moet werken, zelfs als de complete machinebesturing faalt. Een HMI-scherm is onderdeel van die machinebesturing en is daarom per definitie ongeschikt.

Het programmeren van een normale stopknop of een pauzefunctie op een HMI is uiteraard wel toegestaan, maar dit mag nooit worden verward met de noodstopfunctie.

Commenting is only possible when logged in.

Inloggen

Auteur

RichardMCV

Beheerder

Nadat ik in inraking kwam met het begrip Machineveiligheid ben ik mij verder gaan bekwamen in deze zeer interessante materie met als eerste cursus de Masterclass machineveiligheid.

Via de firma PILZ heb ik daarna achtereenvolgens de volgende certificaten behaald:

CMSE: Certified Machinery Safety Expert;
CECE: Certified Expert in CE Marking;
CEFS: Certified Expert in Functional Safety;
CESA: Certified Expert for security in Automation.

Deze certificaten worden wereldwijd erkend. De geldigheidsduur van deze certificaten bedraagt 4 jaar; daarna dient men weer opnieuw aan te tonen dat de kennis aanwezig is middels hercertificering.

Er zijn nog geen reacties op dit artikel geplaatst.

Mag een noodstop op een HMI geprogrammeerd worden?

Mag een noodstop op een HMI geprogrammeerd worden?

Conclusie

Reacties