163

i forbindelse med dele af styresystemet vil kunne give anledning til en farlig situation,

når den tilsvarende sikkerhedsfunktion derefter skal fungere. Visse

sikkerhedsfunktioner kan også være driftsfunktioner som f.eks. en tohåndsbetjent

startanordning.

Første afsnit i punkt 1.2.1 og dets fire led indeholder de grundlæggende krav til

styresystemernes pålidelighed og sikkerhed. I andet afsnit i punkt 1.2.1 og dets syv

led beskrives de primære farlige hændelser og situationer, der skal undgås.

Ifølge første led i første afsnit af punkt 1.2.1 skal styresystemer kunne modstå

tilsigtede driftsbelastninger og ydre påvirkning, idet der tages hensyn til forudseelige

unormale situationer – jf. § 160: kommentarer til bilag I, Generelle principper, punkt 2,

og § 175: kommentarer til bilag I, punkt 1.1.2, litra c). Styresystemet skal dermed

være i stand til at modstå de mekaniske virkninger, der genereres af selve maskinens

drift eller af dens omgivelser såsom stød, vibrationer og slitage. Styresystemer skal

kunne modstå virkningerne af de indre og ydre forhold, hvorunder maskinen skal

fungere, som f.eks. fugt, ekstreme temperaturer, ætsende atmosfærer og støv.

Styresystemernes korrekte funktion må ikke påvirkes af elektromagnetisk stråling,

uanset om den kommer fra dele af maskinen selv eller fra ydre elementer i de forhold,

hvorunder maskinen skal bruges – jf. § 233: kommentarer til bilag I, punkt 1.5.11.

Andet og tredje led i første afsnit af punkt 1.2.1 omhandler styresystemets opførsel i

tilfælde af fejl i hardware eller software. I disse krav tages der hensyn til muligheden

for, at der opstår fejl i styresystemet på grund af f.eks. svigt i en mekanisk, hydraulisk,

pneumatisk eller elektrisk komponent eller en fejl i softwaren i et programmerbart

system. Styresystemer skal konstrueres og fremstilles, så de i tilfælde af, at sådanne

fejl opstår, ikke fører til farlige situationer som dem, der er beskrevet i andet afsnit af

punkt 1.2.1 – jf. også § 205: kommentarer til bilag I, punkt 1.2.6.

De farlige funktioner i maskinen kan bringes under kontrol ved f.eks. at standse

funktionen, fjerne energitilførslen fra funktionen eller hindre funktionens farlige

handling. Hvis de relevante funktioner i maskinen kan fortsætte trods det, at der

opstår en fejl, f.eks. ved hjælp af en redundant opbygning, skal der være et middel til

at finde fejlen, så der kan tages de nødvendige skridt til at opnå eller opretholde en

sikker tilstand.

Midlerne til at overholde dette krav afhænger af styresystemets type, den

omhandlede del af styresystemet og de risici, der kunne opstå i tilfælde af svigt.

De metoder, der kan bruges, er følgende:

−

udelukkelse eller reduktion af sandsynligheden for fejl eller svigt, som kan

påvirke sikkerhedsfunktionen, ved hjælp af anvendelse af særligt pålidelige

komponenter og anvendelse af velafprøvede sikkerhedsprincipper som f.eks.

princippet om én komponents positive mekaniske virkning på en anden

komponent

−

anvendelse af standardkomponenter suppleret med, at styresystemet

kontrollerer sikkerhedsfunktionerne med passende intervaller

−

redundante dele af styresystemet, så en enkelt fejl eller et enkelt svigt ikke

fører til, at sikkerhedsfunktionen sætter ud. Teknisk forskellighed blandt de

redundante elementer kan bruges til at undgå almindelige svigt med samme

årsag.