In het ontwerp van een veiligheidssysteem lijkt de meest logische stap: bij een storing maken we alles spanningsloos. Maar in de praktijk kan die reflex averechts werken. De natuurkunde stopt namelijk niet altijd op het moment dat de stroom eraf gaat.
De praktijkles van Trevor Kletz
Kletz beschreef een incident waarbij een computer bij een storing alle uitgangen naar nul stuurde voor een ‘veilige stop’. Inclusief de koeling. Terwijl de procesdruk gevaarlijk opliep, hield de software de koelwaterkraan potdicht. De operators konden niet ingrijpen; de computer volgde de geprogrammeerde logica, maar die logica hield geen rekening met de wetten van de chemie.
De norm versus de werkelijkheid
De norm (NEN-EN-IEC 60204-1) stelt dat een noodstop naar een veilige toestand moet leiden. Dat is niet automatisch hetzelfde als “stroom eraf”. Als een machine koeling, smering of remkracht nodig heeft om zonder schade tot stilstand te komen, dan moet de energie op die kritieke punten juist behouden blijven.
Mijn observatie
Het risico ontstaat wanneer de besturingslogica wordt ontworpen zonder de fysieke eigenschappen van de machine volledig mee te wegen. Software heeft geen intuïtie voor hitte of druk; het volgt de instructies. Als die instructies de noodzakelijke koeling uitschakelen, raakt het systeem buiten controle op het moment dat het juist veiligheid moet bieden.
De les
Echte veiligheid vraagt om inzicht in de bron. Het ontwerpen van een stop-functie is geen administratieve taak, maar een technische afweging van het hele proces. Begrijpen we wat de machine fysiek nodig heeft op het moment dat het misgaat? Dat inzicht is de enige weg naar een werkelijk veilige installatie.