Den generella standarden IEC 61000-6-7 för immunitetsfordringar på utrustning för säkerhetskritiska system i industrin, som i Sverige har beteckningen SS-EN 61000-6-7, omfattar produkter för användning i system med säkerhetsfunktion, som ska användas i industrimiljö och som ska uppfylla fordringarna i IEC 61508 eller motsvarande teknikområdesspecifika standarder.

 

Redan tidigare har de två generella immunitetsstandarderna kompletterats med en om immunitet hos utrustning för kraft- och transformatorstationer (IEC 61000-6-5, SS-EN 61000-6-5) och en om immunitet mot nukleär elektromagnetisk puls, HEMP (IEC 61000-6-6, ej svensk standard). SS-EN 61000-6-7 skiljer sig dock från de övriga fyra generella immunitetsstandarderna genom att den inför ett nytt funktionsvillkor (performance criterion) och att den uttalat är kopplad till en annan typ av standarder, nämligen till IEC 61508 och de standarder som bygger på den.

Säkerhetskritiska system

Mot slutet av förra seklet gick det inte att längre att undvika att använda elektronik och programvarustyrd utrustning för säkerhetsfunktioner i industrin. Samtidigt hade några förskräckande olyckor i processindustrier illustrerat behovet av att koppla ihop risker och skadeverkningar med systematiska krav på tillförlitlighet hos apparater och system med säkerhetsfunktioner. Ett svar på detta blev standarden IEC 61508, där den första delen kom 1998.

 

IEC 61508 är standarden för säker funktion hos elektriska, elektroniska och programmerbara säkerhetskritiska system. Den bygger på en metod för klassning av sannolikhet och följdverkan som resulterar i ett system med säkerhetsnivåer, SIL. Principerna i IEC 61508 används sedan i motsvarande standarder för särskilda teknikområden, t ex IEC 61511 för processindustri och IEC 62061 för maskiner. Även dessa är fastställda som svensk standard, SS.

 

IEC 61508 och dess efterföljare utgår från överväganden utifrån vad som krävs för en viss tillämpning och från konstruktionen av de elektriska och elektroniska systemen med säkerhetsfunktionen. Av detta följer bland annat en beskrivning av den EMC-miljö som gäller där utrustningen ska arbeta. Immunitetsfordringarna kan därför vara olika för olika delar av det system som har betydelse för säkerheten, beroende på var de är placerade och på hur kraftmatningen är ordnad.

Ett särskilt villkor

De ”vanliga” generella immunitetsstandarderna ger tre villkor, A, B och C för hur produkten uppför sig när den utsätts för störningar vid provningen. Vid A fungerar den som avsett under och efter provningen och ingen försämring av egenskaperna eller förlust av funktioner accepteras, som går utanför vad tillverkaren angett för produkten när den används som avsett. Vid B ska produkten fungera som avsett efter provningen, på samma sätt som vid A, och driftläget ska bibehållas men försämrade egenskaper kan under vissa förhållanden accepteras under provningen. För C tillåts en tillfällig förlust av funktion under provningen, förutsatt att produkten därefter återgår till normal funktion, antingen av sig själv eller efter ingripande utifrån.

 

I generella standarden för produkter med säkerhetsfunktion införs ett nytt funktionsvillkor, kallat DS. Det gäller bara för funktioner med betydelse för säkerheten och ersätter det tidigare FS, som förekommit i någon standard. Ingen skillnad görs mellan transienta och kontinuerliga fenomen. För DS gäller att funktioner som har säkerhetsbetydelse kan få påverkas tillfälligt eller permanent om produkten vid provningen reagerar på en störning på så sätt, att den antar definierade värden, lägen osv som ligger inom specifikationerna, men kan ligga utanför de gränser som gäller vid normal drift. De antagna lägena ska kunna detekteras och produkten ska stanna där eller nå dit inom en angiven tid.

 

SS-EN 61508-2 är den del i 61508-serien som innehåller de egentliga systemfordringarna och där EMC-frågan behandlas. Där anges att man, om det inte finns någon säkerhetsmarginal inte ska tillåta någon påverkan (som enligt villkoret A) och om det finns en säkerhetsmarginal ska tillämpa villkoret DS. B och C inte är lämpliga för funktioner med säkerhetsbetydelse.

 

SS-EN 61000-6-7 är alltså en generell standard och om det finns någon passande produktstandard, tar denna över. Det är så biblioteket med EMC-standarder är uppbyggt. För utrustning för mätning, styrning och för laboratorieändamål finns det en serie produktstandarder, IEC 61326, som behandlar EMC. Den omfattar till exempel sensorer, ställdon och programmerbar styr- och reglerutrustning och har tagits fram inom den tekniska kommitté inom IEC som arbetar med utrustning för industriell automation och processtyrning (IEC TC 65) och har också antagits som europeisk och svensk standard.

 

Standarderna i 61326-serien innehåller mer specifik information om t ex mätuppställningar och om hur mycket som störningar får inverka på produkternas uppträdande och prestanda. Som flera andra produktstandarder består den av en första, allmän del och ett antal separata, särskilda delar som för vissa produktslag gäller tillsammans med den allmänna delen. Det är bara det, att det för system och utrustning med säkerhetsfunktion finns två särskilda delar: SS-EN 61326-3-1 och SS-EN 61326-3-2.

Begränsade eller obegränsade störningar

Antingen kan man beakta den elektromagnetiska miljön som den är, utan att införa några begränsningar. Man tar då hänsyn till alla elektromagnetiska fenomen som kan uppträda, vilket i industrimiljö kräver en hög grad av immunitet. Detta är utgångspunkten för SS-EN 61326-3-1. Eller också begränsar man störningarna till en lägre, specificerad nivå med hjälp av särskilda installations- och skyddsåtgärder. Det angreppssättet ligger till grund för SS-EN 61326-3-2.

 

Båda två omfattar i princip samma typer av produkter, men vilken som är lämpligast att använda beror alltså på förhållandena på platsen där produkterna ska användas. Detta ställer därmed vissa krav på tillverkaren/leverantören och på beställaren och på kommunikationen dem emellan.

 

Båda standarderna anger störningsnivåer och mätmetoder, men i SS-EN 61326-3-2 förutsätts alltså att man vidtagit åtgärder för att hålla nere störningarna. Standarden ger en lista på sådana åtgärder, bland annat begränsad användning av radiosändare, separation mellan kraft- och kommunikationskablar och ändamålsenligt skydd mot överspänningar, inklusive åskskydd. Även regelbundet underhåll nämns. Som exempel på var sådana åtgärder vidtas, nämns i standarden processindustrin, särskilt läkemedelsindustrin och kemisk och petrokemisk industri. Fast i t ex stål- och metallindustri finns det områden där störkällorna kvarstår.

Den andra standarden, SS-EN 61326-3-1, gäller då för utrustning med säkerhetsfunktion som används på övriga platser i industrier. Med industrimiljö menas även i denna standard ungefär att anläggningen har ett eget lågspänningsnät och att det förekommer störande utrustning och stora induktiva och kapacitiva laster. Den är därför både mer omfattande och strängare i sina fordringar. Ett exempel är tåligheten mot elektromagnetiska fält mellan 80 MHz och 1 GHz, där SS‑EN 61326‑3‑1 sätter gränsen 20 V/m medan SS-EN 61326-3-2 nöjer sig med 10 V/m. Ett annat är att SS-EN 61326-3-1 också anger provningar av immunitet mot störningar från radiosändare med olika frekvenser. Beträffande provningar hänvisar båda delarna till andra standarder, huvudsakligen i IEC 61000-4-serien (SS-EN).

Relaterade risker

Man kan jämföra med den uppdelning som görs i den allmänna EMC-standarden för elektrisk utrustning för mätning, styrning och för laboratorieändamål, alltså (SS-EN) IEC 61326-1. Den ger tabeller med krav på immunitet mot olika slags störningar, uppdelat på de tre olika EMC-miljöerna Basic, Industrial och Controlled. Basic motsvarar det som i de generella standarderna kallas anges som bostäder, kontor, butiker och liknande, medan de båda övriga motsvarar dem som behandlas i 61326-3-1 respektive 61326-3-2. Dock är gränserna striktare i dessa, eftersom det där handlar om produkter med säkerhetskritisk funktion.

 

För den som vill sätta sig in mera i frågan, finns standarden SS-EN 61000-1-2 som lägger fast en metodik för att, med avseende på EMC, möta fordringarna i IEC 61508 eller motsvarande standarder för särskilda teknikområden. Den grundläggande tanken är att det säkerhetsrelaterade systemets funktion inte ska påverkas av elektromagnetiska störningar på ett sådant sätt, att det kan leda till en oacceptabel risk för skada på person eller miljö. Därför måste man börja med att definiera den säkerhetsrelaterade funktion som produkten har i den tänkta tillämpningen. Man ska också komma ihåg att störningarna både kan komma utifrån, t ex som överspänningar på nätet, och uppstå i den egna anläggningen.

 

Säkerheten för personer, för anläggningen och dess drift och för den omgivande miljön är inte bara beroende av tåligheten mot elektromagnetiska störningar. Det finns även andra slags hot, som kommit att uppmärksammas mera de senaste åren. Ett omtalat sådant gäller cybersäkerheten. Prioriteringarna där är lite annorlunda i en processindustri, än t ex i ett försäkringsbolag och sambandet mellan IT-säkerheten (i processindustrisammanhang allt oftare kallat OT-säkerhet) och säkerhetskritiska funktioner behandlas i IEC TR 63069.

 

Detta hänger nära samman med riskbedömning, och olika metoder för hur man gör en sådan gås igenom och jämförs i standarden SS-EN 31010. En särskild fråga är hur man hanterar tillförlitligheten i system där okända faktorer kan ha ett avgörande inflytande. Detta behandlas i standarden SS-EN IEC 62853.

 

Thomas Borglin
SEK Svensk Elstandard