Normen machineveiligheid Safety Integrated

Transcription

EN ISO 13849
EN 62061
Safety Integrated:
Normen machineveiligheid
Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL)
Safety Integrated – Normen Functionele Veiligheid
www.siemens.nl/industry/machineveiligheid
1
Het nut van veiligheidstechnologie
Veiligheid vraagt om bescherming tegen gevaar voor …
Mens
Milieu
Wettelijk verplichte bescherming
Machine
Proces
Economisch verantwoorde veiligheid
Gevaarlijke situaties die ontstaan door functiefouten
moeten worden voorkomen vóór dat ze optreden !
2
Functionele veiligheid heeft betrekking op…
… dat deel van de machine of productie-installatie waarbij de veiligheid
afhangt van het correct functioneren van besturingen en afschermingen
Dit voorkomt:
Mens
Machine
 Letsel (of dood) van mensen
 Vernietiging of beschadiging van
- productie-faciliteiten (machines) en
- productie-kwaliteit (productieverlies en uitval)
Functionele veiligheid moet
een integraal onderdeel zijn van elke machine !
3
Toenemend belang veiligheidstechniek
In veel productie-installaties schuilen gevaren voor mens en
machine.
Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke
situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken:
1e Wettelijke richtlijnen voor machinebouwers en installatiebeheerders
(Machinerichtlijn, CE-markering)
2e Economische gegronde redenen:
- b.v. het voorkomen van ongelukken en productiestilstand
- of het verhogen van de beschikbaarheid van de installatie
- machine en materiaal tegen schade behoeden (investering!)

Uw marktkansen worden verbetert dankzij de toenemende vraag
naar ‘veilige’ machines!
4
Veilige
g machines
Wat maakt een machine veilig?
??
 Veilig ontwerp
 Additionele
Additi
l veiligheidsmaatregelen
ili h id
t
l
 Bescherming voor het bedieningspersoneel
5
Veiligheid
g
begint
g
met bewustwording
g
©
Industriële
automatisering
6
Belangrijke
e a g j e wijzigingen
j g ge van
a wetgeving
etge g en
e normalisatie
o a sat e in de machinebouw
ac ebou
 Machinerichtlijn
 EN 60204-1 5e druk
 Categorie, SIL en PL
EN ISO 13849
 EN ISO 13849-1 (PL)
EN 62061
 EN 62061 (SIL)
 Welke methode kiezen: SIL of PL?
7
Normen
o e Functionele
u ct o e e Veiligheid
e g ed
Machinerichtlijn
EN 60204-1 5e druk
Categorie, SIL en PL
Welke methode kiezen: SIL of PL?
EN ISO 13849
EN 62061
EN ISO 13849-1 (PL) in detail
EN 62061 (SIL) in detail
8
Machinerichtlijn (2006/42/EG)
De belangrijkste feiten op een rij:
 Ingangsdatum: 29 december 2009
 Geen overgangstermijn
 Aangepaste eisen aan besturing
 Verdwijnen
j
van IIC verklaring
g
(IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten)
 Eisen ‘niet-voltooide machines’ (IIB machines) aangescherpt
 Montagehandleiding IIB machines
 TCD ‘niet-voltooide machines’ vereist
 Veiligheid wordt ‘meetbaar’
9
Overzicht belangrijkste normen Machinerichtlijn
Geharmoniseerd onder de EU Machinerichtlijn:
 EN ISO 12100-2010
(samenvoeging van EN ISO 12100 en EN ISO 14121,
overgangstermijn 3 jaar)
Leidraad voor risicobeoordeling
Basisbegrippen en algemene ontwerpbeginselen
 EN 60204-1
Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen
 EN ISO 13850 (voorheen
(
h
EN 418)
Veiligheid van machines - Noodstop - Ontwerpbeginselen
 EN ISO 13849-1/-2 (EN 954-1/-2)
Veiligheid
g
van machines - Veiligheidgerelateerde
g
g
g
gedeelten van besturingssystemen
g y
((SRP-CS))
 EN 61496-1
Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen Deel 1: algemene eisen en beproevingen
 EN 62061
Veiligheid van machines – Functionele veiligheid van veiligheidgerelateerde
elektrische-, elektronische- en programmeerbare elektronische besturingssystemen (SRECS)
10
Overzicht belangrijkste normen Machinerichtlijn
Niet geharmoniseerd onder de EU Machinerichtlijn:
 IEC 61508
Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/programmeerbare elektronische systemen
 IEC 61496-2, -3, -4
Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen Deel 2
2, -3,
3 -4
4-…
M
Meer
informatie:
i f
ti
www.newapproach.org
www.iso.org
11
Overzicht
Relevante machineveiligheid-normen voor functionele veiligheid
2006/42/EG
Machinerichtlijn 98/37/EG
EN 954
954-1:
1: 1996 (Cat)
Overgangsfase tot 31
31-12-2011
12 2011
EN ISO 13849-1 (PL)
PL
SIL
EN 62061 (SIL)
2006
2007
2008
2009
2010
2011
2012
Vanaf Januari 2012 mag EN 954-1 (Cat.) niet meer toegepast worden!
Hett uitfaseren
H
itf
van d
de EN 954
954-1
1 naar EN 62061 en EN ISO 13849
13849-1
1
heeft tot gevolg dat u nu moet overstappen naar SIL of PL
12
Hiërarchische structuur EN - Normen
EN IEC 61508
A-TYPE
Basisveiligheidsnormen
normen
EN ISO 12100-2010
(EN ISO 12100 + EN ISO 14121)
Basisontwerprichtlijnen en basisbegrippen voor machines
Veiligheidsaspect
V
ili h id
normen
Specifieke
normen
EN ISO 13849
B-TYPE
normen
B1 Normen
Behandeling van gemeenschappelijke gevaarzettende
aspecten
(EN 954)
EN 62061
B2 Normen
Algemeen toepasbare
veiligheidsvoorzieningen
b.v. EN ISO
13850
C-TYPE
normen
(EN 418)
(Noodstops)
Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten
b.v. EN 692
(machinegereedschappen – lasmachines)
13
Richtlijnen, wetten en normen
Machineveiligheid
g
Artikel 95
EG-verdrag
EG
verdrag
(machineveiligheid)
Artikel 137
EG-verdrag
EG
verdrag
(sociale veiligheid)
Kaderrichtlijn veiligheid
werknemers (89/391/EG)
Laagspannings
richtlijn
(2014/35/EU)
Machinerichtlijn
(2006/42/EG)
Geharmoniseerde
Europese normen
Richtlijn
arbeidsmiddelen
(2009/104/EG)
EN 62061
ISO 13849
Eventueel
andere
richtlijnen
Nationale
wetsvoorschriften
Gebruiker
Fabrikant
Scope vandaag: functionele veiligheid
volgens EN 62061 en EN ISO 13849
14
Geharmoniseerde normen
‘vermoeden
vermoeden van overeenstemming’
overeenstemming
Basisnormen voor veiligheidgerelateerde besturingsfuncties
Ontwerp- en risicobeoordeling van de machine
EN ISO 12100-2010 (EN ISO 12100 + EN ISO 14121, overgangsperiode tot eind 2013)
Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject
Functionele en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen
FunctioneleOntwikkeling en realisatie van veiligheidgerelateerde besturingssystemen
EN 62061: 2005
Veiligheid van machines
Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en
programmeerbare elektronische
besturingssystemen
EN ISO 13849-1: 2015
Veiligheidgerelateerde gedeelten van
besturingssystemen, deel 1: algemene
principes - Opvolger van EN 954-1: 1996
- Overgangsperiode tot dec. 2011
Willekeurige opbouwstructuren
(architecturen) Safety Integrity Level (SIL),
SIL 1, SIL 2 SIL 3
Bepaald architectuur (categorie)
Perfomance Level (PL)
PL a, PL b, PL c, PL d, PL e
Elektrische veiligheid
EN 60204-1
Elektrische onderdelen van
machines, deel 1: algemene eisen
15
Bijlagen Machinerichtlijn 2006/42/EG
 Nieuwe eisen aan de besturing
Defecten bedieningsfouten
bedieningsfouten,
- Defecten,
- Operationele- en noodstop
 Noodstop is geen vervanger van veiligheidsmaatregelen
(is voor beperken van letsel/schade na incident, of aanvullende beveiliging)
 Lijst van veiligheidscomponenten
16
Bijlage V Machinerichtlijn 2006/42/EG
Veiligheidscomponenten
 Eenheden voor veiligheidsfuncties
 Afschermingen
 Persoonsdetectie
 Noodstopvoorzieningen
 Tweehandenbediening
 Kleppen
Kl
mett storingsdetectie
t i
d t ti
 .…(momenteel zo’n 17 items)
17
Hoe maak je een machine veilig ?
Voorkomen van gevaarlijke situaties

‘RIE’
(Risico Inventarisatie en Evaluatie)
Stappenplan:
1. Identificeren van het gevaar
2. Risicobeoordeling van het gevaar
(analyse)
(schatting / -evaluatie)
3 Bepaling
3.
B
li maatregelen
l voor risicoreductie
i i
d i
( d
(reductie:
i definities
d fi i i / maatregelen)
l )
1e Ontwerp / mechanische oplossingen
(b.v. afscherming met hek of beschermkap)
2e Elektronische en elektrische oplossingen
3e Organisatorische maatregelen
(b.v. gebruikershandleiding, training machine-operators)
De volgorde van uitvoering is dwingend voorgeschreven!
18
Risicobeoordeling
g begint
g
met g
gebruiksgrenzen
g
aangeven
g
van de machine !
 Waarvoor te gebruiken
 Onder welke omstandigheden
 Door wie te bedienen
 ….…
19
Risicobeoordeling
Ernst van de
verwonding
Hoe
ernstig
g
Frequentie en duur
van verblijf in de
gevaarlijke zone
Mogelijkheid om
schadelijk effect
te beperken of
uit te sluiten
• Zwaar
• licht
Hoe
vaak
Hoe
waarschijnlijk
• Vaak
• Zelden
• Bijna onmogelijk
• Mogelijk
20
Basisbegrippen en leidraad voor risicobeoordeling:
EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121)
De ‚3-stapsmethode‘: algemene ontwerpbeginselen
Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is n
aan het gevaar: inherent ontwerp, technische beveiligingsmaatregelen en
gebruiksinformatie.
Start
Stap 1: Risicoreductie door een veilige constructie/opbouw
Is het risico voldoende verminderd?
JA
NEE
Stap 2: Risicoreductie door technische beveiligingsmaatregelen
NEE
JA
Stap 3: Risicoreductie door gebruikersinformatie over de restrisico‘s
JA
NEE
Risicobeoordeling opnieuw uitvoeren
Einde
21
Basisbegrippen en leidraad voor risicobeoordeling:
EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121)
Principe voor risicobeoordeling:
Start
Bepaling van de grenzen van de machine/installatie
Risicoanalyse
Risicoreductie,
door het kiezen van de
jjuiste beveiliging(en)
g g( )
Risicobeoordeling
NEE
Identificatie van de gevaren van de machine/installatie
Voor elk gevaar:
risicoschatting en risico-evaluatie
Is het risico
voldoende
ld
d
gereduceerd?
JA
Einde
De machine is veilig,
het gevaar is teruggebracht
tot een aanvaardbaar
restrisico
22
Essentieel onderdeel bij het ontwerpen van machines:
Verificatie en validatieproces van besturingstechnische veiligheidsfuncties (V-model)
Verificatie(V model)
Risicobeoordeling
g
vd machine
vlgs EN ISO 12100
Machinevalidatie
Bestturingstechniische
veiligheidsfunctties
Ontw
werp en
engin
neering
Veiligheidsspecificaties
SRS*
SRS
Ei d
Einde
Gevalideerde
machine
Test van
specificaties
SRS
Architectuur
HW** en SW***
Integratie
test HW en SW
HW-ontwerp
HW-test
SW-ontwerp
Verificcatiie en
Validatie
St t
Start
SW-test
Realisatie
* SRS = Safety Requirement Specification
Verificatie / Validatie
Resultaat
** HW = Hardware
*** SW = Software
23
Normen
o e Functionele
e g ed
Machinerichtlijn
EN 60204-1 5e druk
EN ISO 13849
EN 62061
24
Belangrijkste wijzigingen EN 60204 – 5e druk
Veiligheid van machines – Elektrische onderdelen
 Betere aansluiting op de IEC 60364 reeks
((NEN 1010))
 Betere aansluiting op de IEC 61439 reeks
((schakelen verdeelinrichtingen)
g )
 Verdwijnen hoofdstuk 11 “elektronische uitrusting”
 Verwijzing naar EN 62061 en EN ISO 13849
25
EN 60204: ‘Hoofdnorm’
Hoofdnorm elektrische veiligheid van machines
EN 60204
elektrische veiligheid
van machines
hi
Elektrische installaties
Besturingen
Testen, keuren/valideren,
documenteren
‘NEN 1010’ voor specifiek
de Machinebouw m.b.t.
de elektrische aspecten
van machines
Afstemming tussen normen
voor besturingen met een
veiligheidsfunctie
EN ISO 13849-1 (EN 954)
en EN 62061
Procedures, markeringen /
waarschuwingen en
Specifieke elektrische
invulling van het Technisch
Dossier van de machine
26
Samenhang besturingsnormen
EN 62061
Veiligheids georiënteerde onderdelen
van een besturing
EN ISO 13849-1
EN 60204
elektrische veiligheid
van machines
hi
EN ISO 13850
Noodstop
(EN 418)
EN ISO 13851
2 handenbediening
(EN 574)
EN ISO 14118
onbedoeld starten
(EN 1037)
(EN 954)
g y
Besturingssysteem
met veiligheidsfunctie
EN ISO 14120: 2015
Afschermingen
(EN 953)
EN ISO 14119
blokkeerinrichting
afscherming (EN1088)
27
Normen
o e Functionele
e g ed
Machinerichtlijn
EN 60204-1 5e druk
EN ISO 13849
EN 62061
28
Indien de C-Norm geen klasse aangeeft
Bepaling betrouwbaarheidscategorie volgens EN 954-1
Methode volgens EN 954-1
B 1 2 3 4
S1
Methode voor de inschatting van de
betrouwbaarheid van een specifiek
veiligheidsbesturingscircuit.
P1
F1
Freque
entie en/of tijd in gevaarlijke zone
e
Ernst v
van de verwondin
ng
F2
P2
P1
Ernst van de verwonding
P2
S1: Licht, herstelbaar
Mogelijjkheid om gevaarr te voorkomen
S2
S2: Zwaar, onomkeerbare tot en met dodelijke
afloop
Frequentie en/of tijdsduur in gevaarlijke zone
F1: Zelden tot vaak
F2:
Frequent tot continue
Mogelijkheid om het gevaar te voorkomen
P1: Mogelijk onder bepaalde omstandigheden
P2: nauwelijks mogelijk
29
Systeemgedrag EN 954-1
954 1
Categorie
Samenvatting van de eisen
Systeemgedrag
B
Veiligheidsgerelateerde onderdelen van
de besturingen moeten zodanig zijn ontworpen, gebouwd, samengesteld, volgens
de relevante normen,, zodat deze de te
verwachten invloeden kunnen weerstaan
Een fout kan tot verlies van
de veiligheidsfunctie leiden
1
Eisen van categorie B;
Er moeten beproefde componenten en
veiligheidsprincipes worden gebruikt en
in acht worden genomen.
Zoals beschreven in categorie
B, maar met een hogere
mate van betrouwbaarheid
van de veiligheidsfunctie
2
Eisen van categorieën B en 1;
De veiligheidsfunctie moet in, voor de
machine geschikte tijdsintervallen, door
de machinebesturing worden gecontroleerd
Wanneer een fout optreedt
optreedt,
wordt het verlies van de
veiligheidsfunctie tijdens de
controletijdsinterval herkend
3
Een afzonderlijke fout in de b esturing kan
niet leiden tot verlies van de veiligheidsfunctie
4
Een afzonderlijke fout mag niet leiden tot verlies van de
veiligheidsfunctie. De enkele fout moet gedetecteerd
voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling
van fouten niet leiden tot verlies v.d. veiligheidsfunctie
Wanneer een afzonderlijke
fout optreedt, blijft de veiligheidsfunctie altijd behouden,
echter de fouten worden niet
allemaal gedetecteerd
Wanneer een samenloop van
fouten optreedt, blijft de veiligheidsfunctie behouden en
worden fouten tijdig herkend
Principe
Overwegend
gekenmerkt
door de
kwaliteit van de
componenten
Overwegend
gekenmerkt
door de
structuur van
de besturing
30
Betrouwbaarheidscategorieën
g
volgens
g
EN 954-1
Categorie 2
Eisen van categorie B en 1;
De veiligheidsfunctie moet in,
voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd
( b h
(vb.
hett sporadisch
di h openen van
veiligheidsdeuren /-hekken)
Eisen
Systeemgedrag
Principe
Wanneer een fout optreedt,
wordt het verlies van de
veiligheidsfunctie tijdens de
controletijdsinterval herkend
Veiligheid nog steeds
voornamelijk afhankelijk van de
kwaliteit van de componenten
Voorbeeld voor categorie 2
Dicht
3TK
28
Start
K1
Open
K1
M
Hekbewaking
K1
Systeem
Actuatoren
: v.b. volgens EN 418
: ”beproefde
p
componenten”
p
(v.b . magneetschakelaars)
Foutherkenning : v.b. door gebruik van veiligheidsrelais
31
Betrouwbaarheidscategorieën
g
volgens
g
EN 954-1
Categorie 4
Een enkele fout mag niet leiden tot
verlies van de veiligheidsfunctie
De enkele fout moet worden gedetecteerd tijdens of voordat een beroep op
de veiligheidsfunctie wordt gedaan
Is dit niet mogelijk, dan mag een
opeenstapeling van fouten niet leiden
tot een verlies van de veiligheidsfunctie
Eisen
Systeemgedrag
Principe
Voorbeeld voor categorie 4
S1
Wanneer een afzonderlijke
fout optreedt, blijft de veiligheidsfunctie altijd behouden en
de fouten worden tijdig herkend
Veiligheid gewaarborgd door
structuur van de besturing
K1
K2
Start
K1
K2
3TK28
M
S2
Dicht
K1
K2
Open
Hekbewaking
Systeem
: Redundant ontwerp
Actuatoren
: Redundant ontwerp
Foutherkenning : v.b. door gebruik van veiligheidsrelais
Aanvullende controle op onderlinge kruissluiting,
kortsluitdetectie en bewaakte start.
32
Methode volgens EN 62061 en EN ISO 13849-1
13849 1
 Er
is een berekenbare methode geintroduceerd voor
veiligheidgerelateerde
g
g
aspecten:
p
de “Safety
y Performance”
- EN 62061: Safety Integrity Level (SIL)
- EN ISO 13849-1: Performance Level (PL)
 EN 62061 en EN ISO 13849-1 definiëren beiden veiligheid:
- Een gevaarlijke situatie van een machine kan beschreven worden in
gedefinieerde veiligheidsfuncties.
veiligheidsfuncties
- Voor de gedefinieerde veiligheidsfuncties kan de vereiste
“Safety Performance” bepaald worden.
- De hoogte van de Safety Performance is afhankelijk van de kwaliteit van
de gebruikte componenten, de gebruikscyclus èn de mate van
diagnosemogelijkheden binnen de veiligheidsfuncties.
 Met SIL en PL is veiligheid meetbaar geworden !
33
Methode volgens EN 62061 en EN ISO 13849-1
13849 1
.… de vereiste Safety Performance is afhankelijk van de risico’s.
 Voorheen: Categorie (EN 954-1)
 Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur)
 Geen referentie voor de meetbaarheid van de risico’s
 Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level)
 Onafhankelijke oplossing (kwantitatieve waardebepaling)
 Systeemgedrag/architectuur wordt gecombineerd met
betrouwbaarheid (uitvalkans) van gebruikte componenten
 Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL !
34
Uitgangspunten voor SIL en PL met betrekking tot uitval/falen
Hoe lang bent u verantwoordelijk als fabrikant?
Hoe vaak mag een veiligheidsvoorziening weigeren per jaar?
Idem maar bij een zeer gering effect.
Hoeveel uren zitten er in een jaar?
Wat mag de kans op falen per uur zijn?
Risk Assessment Management
35
Wat is nieuw aan EN 62061 en EN ISO 13849?
 Berekening en bepaling van veiligheidsfuncties
(over de hele veiligheidsketen: Detecting – Evaluating – Reacting)
 Eisen aan de uitvalwaarschijnlijkheid
(PFHD / B10D / MTTF / DC / SFF / CCF / λ /…)
 Naast bepaling van het vereiste veiligheidsniveau (beoordeling)
ook bepaling van het behaalde veiligheidsniveau: de toetsing
 Eisen aan de handelwijze
(projectmanagement testconcept
(projectmanagement,
testconcept, technische documentatie
documentatie, ….))
36
Normen EN 62061 en EN ISO 13849-1
13849 1 gebruiken veiligheidsfuncties/-systemen
veiligheidsfuncties/ systemen
Technische beveiligingsmaatregelen worden in normen EN 62061 en
EN ISO 13849
13849-1
1 gedefinieerd in veiligheidsfuncties (-systemen)
( systemen)
Een veiligheidsfunctie (-systeem)
 Voert veiligheidsfunctie uit (b.v. hekbewaking)
 Moet voor elk afzonderlijk gevaar beschreven worden
 Is opgebouwd uit subsystemen
 Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden
(wat is de uitvalkans)
Proces/routine voor elke veiligheidsfunctie (-systeem)
 Beschrijving/specificatie van de veiligheidsfunctie
 Bepaling van het vereiste veiligheidsniveau (beoordeling)
Ontwerp/opbouw
e p/opbou van
a de veiligheidsfunctie
e g e ds u c e
O
 Bepaling van het behaalde veiligheidsniveau (toetsing)
 Realisatie en testen van de veiligheidsfunctie
37
Opbouw
p
van veiligheidsfuncties/-systemen
g
y
Technische beveiligingsmaatregelen worden in normen
EN 62061 en EN ISO 13849-1
13849 1 gedefinieerd in veiligheidsfuncties ((-systemen)
systemen)
 Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een
veiligheidssysteem
 Een systeem is opgebouwd uit subsystemen
 Een subsysteem bestaat uit subsysteem-elementen
Veiligheidsfunctie
((Sensor 1))
Input / Detecting
(Sensor 2)
Subsysteem-elementen
L i / Evaluating
Logic
E l ti
(F-PLC /
veiligheidsrelais)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
38
Veiligheidsfuncties/-systemen
Veiligheidsfuncties/
systemen in de praktijk
De subsystemen van de veiligheidsfunctie
Detecting
 Input
/ detecting
(sensor, eindschakelaar, lichtscherm, .…)
 Logic / evaluating
(veiligheidsrelais, veiligheidsbesturing,…)
 Output / reacting
(contactor, frequentieregelaar, …)
Evaluating
Veiligheidsfunctie (-systeem)
Veiligheidsdeur
Subsysteem 1:
input / detecting
(sensoren)
Subsysteem 2:
logic / evaluating
(besturing)
Subsysteem 3:
output / reacting
(schakelen)
Motor
Reacting
of
 Voor elke veiligheidsfunctie moet een veiligheidsniveau
bepaald worden (hoe groot is de uitvalkans)
39
Voorbeeld: veiligheidsfunctie/-systeem
veiligheidsfunctie/ systeem
Doel van het ontwerp
Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde
veiligheidsniveau vervullen (SIL, PLr).
Voorbeeld
Veiligheidsfunctie:
„Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden.“
Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e
VeiligheidsV
ili h id
deur
iinputt / detecting
d t ti
(sensoren)
llogic
i / evaluating
l ti
(besturing)
off
t t / reacting
ti
output
(schakelen)
Motor
Ontworpen
voor SIL 3,
resp. PL e
40
Toetsing van het ontwerp
Kan het vereiste veiligheidsniveau (SIL,
(SIL PL) gerealiseerd worden?
Handelwijze
Berekening van de afzonderlijke subsystemen
(Detecting, Evaluating, Reacting)
 Behaald veiligheidsniveau (SILCL, PL)
V ili h id f
Veiligheidsfunctie
ti (-systeem)
(
t
)
Veiligheidsdeur
Subsysteem 1:
detecting
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
Motor
of
j j
((PFHD)
 Uitvalwaarschijnlijkheid
Berekening van het veiligheidssysteem
 Behaald veiligheidsniveau (SILCL,
(SILCL PL):
In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare
maximaal veiligheidsniveau van het veiligheidssysteem.
j j
PFHD: som van alle PFHD-waarden van de subsystemen
y
 Uitvalwaarschijnlijkheid
 Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste
(SIL, PL) van de veiligheidsfunctie?
41
Berekening van een subsysteem
Veiligheidsrelevante kengetallen voor een subsysteem:
 Behaald veiligheidsniveau (SILCL, PL)
 Uitvalwaarschijnlijkheid PFHD
Subsysteem 2
logic / evaluating
(besturing)
‚Kant en klaar‘ subsysteem
 Gegevens en certificaten van leverancier
of
‚Ontworpen‘ subsysteem
 Gegevens moeten berekend worden
 N
Norm EN ISO 13849 en EN 62061
beschrijven hoe.
(diagnosedekking, uitvalwaarschijnlijkheid
van componenten)
Subsysteem 1
input / detecting
(sensoren)
Subsysteem 3
output / reacting
(schakelen)
42
Waarschijnlijkheid
j j
van een gevaarlijke
g
j uitval per
p jaar
j
(PFY
(
D) / p
per uur (PFH
(
D)
EN ISO 13849-1 : PL
PL
EN 62061 : SIL
Gemiddeld gevaarlijk falen
per jaar (PFYD)*
Gemiddeld gevaarlijk falen
per uur (PFHD)**
a
0,1 ≤ PFYd < 1
10-5 ≤ PFHd < 10-4
b
0,03 ≤ PFYd < 0,1
3 x 10-6 ≤ PFHd < 10-5
c
0,01 ≤ PFYd < 0,03
10-6 ≤ PFHd < 3 x 10-6
d
0,001 ≤ PFYd < 0,01
10-7 ≤ PFHd < 10-6
2
e
0,0001 ≤ PFYd < 0,001
10-8 ≤ PFHd < 10-7
3
* PFYD = Probability of dangerous failure per year
** PFHD = Probability of dangerous failure per hour
1 jaar ≈ 10000 uur
SIL
1
IIn Amendment
A
d
t EN ISO 13849 2015 :
PFHD – waarde wordt nu ook binnen
PL-norm geïntroduceerd !
43
Vergelijk parameters EN ISO13849-1
ISO13849 1 versus EN 62061
EN 62061
EN ISO 13849-1
SIL - Safety Integrity Level
PL - Performance Level
Structuur
HFT
Cat. (architectuur)
Betrouwbaarheid
PFHD / λ
MTTFD / PFYD / λ
Diagnose
SFF (DC)
DC
Resistentie
CCF (ß-factor)
CCF
Proof-Test-Interval
Processen
T1 (gebruiksduur/
levensduur)
T2 (diagnose/test)
Handelwijze
Verificatie
T1 (= 20 jaar ‚fixed‘)
T2 (afh.v.d. Cat.)
Handelwijze
Verificatie
44
Bepaling van het Performance Level (PL)
St
Structuur
t
Bepaling van het vereiste Performance Level
van
a ee
een veiligheidsfunctie/-systeem:
e g e ds u ct e/ systee
 Met behulp
p van de risicograaf
g
((annex A))
 Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie
 Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie:
 Categorie
 MTTFD (mean time to dangerous failure)
 DC (diagnostic coverage)
 CCF (common cause failure)
Regel voor de PL van een veiligheidsfunctie: PL ≥ PLr
45
Riscograaf voor bepaling van het Performance Level (PL)
St
Structuur
t
Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e
Ernst van letsel
S
ernstig, (meestal blijvend),
incl. dood
S2
licht vaak herstelbaar letsel
licht,
S1
Frequentie / duur van
blootstelling
Lang / frequent tot continu
(≥1x per 15 min.)
per
Kort / zelden tot soms ((< 1x p
15min. / < 1/20 v.d. bedrijfstijd)
F1
S1
F2
Startpunt voor
schatting van
risicoreductie
S2
F1
F2
P1
Laag risico
F
Mogelijkheid tot
voorkomen
P
F2
nauwelijks mogelijk
P2
F1
Mogelijk onder
bepaalde voorwaarden
P1
In Amendment
EN ISO 13849 2015 :
PLr a
P2
PLr a
P1
PLr b
P2
P1
PLr c
PLr b
PLr d
PLr c
PLr e
PLr d
P2
P1
Indien:
‚waarschijnlijkheid
van optreden
van een
gevaarlijke
situatie‘
=
‚klein‘.
- voorwaarden gespecificeerd
voor blootstellingsgevaar (F)
- PLr-niveau’s gedefinieerd
voor kleine waarschijnlijkheid
j j
van optreden gevaarlijke situatie
P2
Hoog risico
46
Scope van EN ISO 13849
St
Structuur
t
Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van
besturingssystemen:
g y
SRP/CS - Safety-Related Parts of Control System
 Bepaling van het vereiste veiligheidsniveau (PL - Performance Level)
voor elke veiligheidsfunctie
 SRP/CS opbouw en ontwerpprincipes
 Validatie van
an SRP/CS
 Wijzigingen van SRP/CS
EN 13849 is opgedeeld in:
- EN ISO 13849 deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015)
- EN ISO 13849 deel 2:2003
2:2003, Validatie
47
Scope van EN 62061
St
Structuur
t
Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-,
programmeerbare
g
besturingssystemen:
g y
elektronische en elektronisch p
SRECS - Safety-Related Electrical Control Systems
 Bepaling
B
li van h
hett vereiste
i t veiligheidsniveau
ili h id i
(SIL - Safety
S f t Integrity
I t it Level)
L
l) voor elke
lk
veiligheidfunctie
 SRECS ontwerpstructuur
p
 Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849
 Validatie van SRECS
 Wijziging/aanpassing van SRECS
48
Bepaling
epa g van
a het
et vereiste
e e ste veiligheidsniveau:
e g e ds eau Sa
Safety
ety Integrity
teg ty Level
e e (S
(SIL))
St
Structuur
t
Het vereiste veiligheidsniveau (risico) wordt bepaald door:
Frequentie en duur van blootstelling
Risico
gerelateerd
aan het
geïdentificeerde
gevaar
=
Ernst van de
schade / letsel
Se
en
aan het gevaar
Fr
Waarschijnlijkheid van optreden
Pr
Mogelijkheid tot voorkomen
Av
Waarschijnlijkheid
van
optreden
49
Factoren voor het vaststellen van de SIL-Claim
 Se
: Ernstgraad van het letsel 1 t/m 4
 Fr
: Frequentie en duur van blootstelling 2 t/m 5
 Pr
: Waarschijnlijkheid van optreden 1 t/m 5
 Av
: Mogelijkheid tot voorkomen 1, 3 en 5
 Cl
: Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av)
St
Structuur
t
50
Bepaling
epa g van
a het
et vereiste
e g e ds eau Sa
Safety
ety Integrity
teg ty Level
e e (S
(SIL))
St
Structuur
t
Voorbeeld:
Bepaling
p
g vereiste Safety
y Integrity
g y Level (SIL
(
1 t/m SIL 3))
Frequentie / duur
van blootstelling
aan gevaar
(Frequency)
≤ 1 uur
> 1 uur tot ≤ 1 dag
> 1 dag tot ≤ 2 wkn.
> 2 wkn. tot ≤ 1 jaar
> 1 jjaar
Fr
5
5
4
3
2
+
Waarschijnlijkheid
van optreden van
gevaarlijke situatie
(Probability)
erg hoog
vaak
mogelijk
zelden
verwaarloosbaar
l
b
Ernst van letsel (Severity)
Dood, verlies van oog of ledematen
g
Permanent, verlies van vingers
Herstelbaar, medische behandeling door arts
Herstelbaar, eerste hulp
Pr
5
4
3
2
1
+
Mogelijkheid tot
voorkomen
Av
gevaar
(Avoidance)
onmogelijk
5
in bijzondere
3
gevallen mogelijk
mogelijk
1
Se
4
3
2
1
Ernst van
Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av
letsel
Se
3 tot 4
5 tot 7
8 tot 10
11 tot 13
14 tot 15
4
SIL 2
SIL 2
SIL 2
SIL 3
SIL 3
3
SIL 1
SIL 2
SIL 3
2
SIL 1
SIL 2
1
SIL 1
51
Bepaling van het vereiste veiligheidsniveau
van de veiligheidsfunctie / - systeem
St
Structuur
t
Annex A van norm EN 62061: Template voor SIL-bepaling
52
Electromechanische
ect o ec a sc e co
componenten:
po e te MTTFD op basis
bas s van
a B10
0D
B t
Betrouwbaarheid
b h id
B10-waarde
- Elektromechanische componenten zijn onderhevig aan slijtage.
- De uitvalkans voor elektromechanische componenten kan worden berekend
met de B10-waarde en de gebruikscyclus (nop – number of operations, aantal
schakelingen
g p
per jjaar).
)
- De B10-waarde wordt uitgedrukt in het aantal schakelcycli.
- Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een
levensduurtest een uitval vertoonde
vertoonde.
B10D
- Dat deel van de B10
B10-waarde
waarde van welke gevaarlijke uitval tot gevolg heeft
heeft.
- Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval.
Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval
- voor de B10D-waarde geldt dan: B10D = 2 x B10
53
Electromechanische
ect o ec a sc e co
componenten:
bas s van
a B10
0D
B t
Betrouwbaarheid
b h id
B10-waarden van SIRIUS industrieel schakelmateriaal:
3
54
Invloed van diagnose-mogelijkheden:
g
g j
Diagnostic
g
Coverage
g (DC)
( )
Di
Diagnose
De diagnosedekking-factor (DC) is de verhouding tussen het percentage
gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten
Diagnosedekking (Diagnostic Coverage DC)
Benaming
Bereik
Geen (=geen diagnosedekking)
0 < DC < 60 %
Laag
60 % ≤ DC < 90 %
Gemiddeld
90 % ≤ DC < 99 %
Hoog
In Amendment EN ISO 13849 2015 :
Meer gedetailleerde beschrijvingen
van de DC-waarden.
99 % < DC (≤99,9 %)
- Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie
met de architectuur (opbouw) van de veiligheidsbesturing
55
Bepaling van de ‘diagnosedekking’
diagnosedekking (Diagnostic Coverage) EN ISO 13849
Di
Diagnose
De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in
Annex E.1 en Tabel 10
56
Systeemgedrag
y
g
g volgens
g
categorieën
g
in relatie met diagnosedekking
g
g (DC)
( )
Di
Diagnose
Opbouw veiligheidsfunctie: (Detecting – Evaluating – Reacting)
 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar
Cat.2 / PL c / SIL 1
DC = geen (0)
(weinig diagnose mogelijk met enkelpolig circuit)
 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars
Cat.4 / PL e / SIL 3
DC = hoog (99 %)
( ti l di
(optimale
diagnose mogelijk
lijk d
door dubbelpolig
d bb l li circuit)
i it)
 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak.
Cat.3 / PL d / SIL 2
DC = gemiddeld (90 %)
(kans op mechanische fouten met bedieningssleutel van hekschakelaar)
 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak.
magneetschak
DC = laag (60 %)
(kans op diagnosefouten door openen 2e hek)
57
Bepaling van de ‘uitval door gemeenschappelijke oorzaak’
(Common Cause Failure - CCF) EN ISO 13849
Resistentie
Bepaling van het effect van een CCF met Annex F van de norm:
 CCF is van toepassing wanneer de veiligheidsfunctie die uit
meerdere kanalen is opgebouwd (dubbelpolig / redundant).
 Dit rekenkundige proces moet worden doorlopen voor het gehele systeem.
 Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet
geanalyseerd worden.
F.1
1 van de norm geeft een lijst met maatregelen/voorwaarden en
 Tabel F
bijbehorende puntenwaarde, gebaseerd op technisch inzicht.
En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van
gemeenschappelijke
pp j oorzaak.
uitval ontstaan door g
58
Resistentie
Criteria voor CCF-bepaling:
- Diversiteit
(verschillende technieken)
Waarden
bij elkaar
optellen voor
totaalscore
- Fysieke scheiding van de
signaallijnen (aparte kabels)
- Resultaten uit de Cause &
Effect analyse
- Beveiliging tegen overspanning
l d
- EMC iinvloeden
- Omgevingsfactoren
De totaalscore van genomen maatregelen geeft de mate aan van resistentie
tegen
g CCF:
S
Score
≥ 65
Voldoet aan de eisen
Score < 65
Proces mislukt, kies additionele maatregelen
59
(Common Cause Failure - CCF) EN 62061
Resistentie
Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm:
 CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit
 Dit rekenkundige proces moet worden doorlopen voor het gehele systeem
systeem.
 Tabel F1 van de norm - Criteria:
Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde,
gebaseerd op technisch inzicht
inzicht. En geeft van elke maatregel aan wat de bijdrage
ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak.
 Tabel F2 van de norm - CCF / ß-factor bepaling:
p
g
Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van
uitval ontstaan door gemeenschappelijke oorzaak.
60
Resistentie
Tabel F1 - criteria:
- Diversiteit
Waarden
bij elkaar
optellen voor
totaalscore
Effect analyse
T b l F2 - ß-factor:
Tabel
ßf t
Totaalscore
omrekenen
naar percentage
- EMC iinvloeden
l d
- Omgevingsfactoren
De totaalscore van genomen maatregelen geeft de mate aan
van resistentie tegen CCF
61
Praktijkvoorbeelden van veiligheidsfuncties (1)
Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden:
Betrouwbaarheid
Veiligheidsfunctie:
PL/SIL:
Structuur
Opbouw:
(is maximaal
realiseerbaar
veiligheidsniveau)
- Noodstopcircuit
Diagnose
Resistentie
DC (SFF):
CCF:
(*Indicatieve waarden
waarden.
Exacte waarde moet
bepaald worden m.b.v.
tabel in de norm)
(**Indicatieve
(**I
di ti
waarden.
d
Exacte waarde moet
tabel in de norm)
Hoog
(≥ 99 %)*
≥ 65 pt** (PL)
1%-10%** (SIL)
Geen
(< 60 %)*
n.v.t.
Hoog
(≥ 99 %)*
≥ 65 pt**
pt (PL)
1%-10%** (SIL)
Veiligheidsfunctie noodstop (dubbelpolig)
Subsysteem 1:
detecting
Subsysteem 2:
evaluating
of
(2NC)
PL e /
SIL 3
Subsysteem 3:
reacting
Dubbelpolig
(redundant)
- Cat.4 (PL)
- 2 channels/kanalen
- 2 componenten/contacten
(2x)
(vb: 2NC-noodstop
2NC noodstop - veiligheidsrelais - 2 magneetschak
magneetschak.))
Veiligheidsfunctie noodstop (enkelpolig)
Subsysteem 1:
detecting
Subsysteem 2:
evaluating
of
(1NC)
PL c /
SIL 1
Subsysteem 3:
reacting
(1x)
Enkelpolig
- Cat.1 (PL)
- 1 channel/kanaal
- 1 component/contact
(vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.)
Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld)
Subsysteem 1a:
detecting 1a
(2NC)
Noodstop 1
Subsysteem
1b:
detecting 1b
(2NC)
Subsysteem 2:
evaluating
of
Subsysteem 3:
reacting
PL e /
SIL 3
(2x)
Noodstop 2
(vb: 2 noodstoppen in serie
– veiligheidsrelais
- 2 magneetschak.)
Safety
Integrated – Normen
Functionele Veiligheid
Dubbelpolig
(redundant)
- Cat.4 (PL)
- 2 channels/kanalen
- 2 componenten/contacten
62
Betrouwbaarheid
Veiligheidsfunctie:
PL/SIL:
Structuur
Opbouw:
(is maximaal
realiseerbaar
veiligheidsniveau)
- Toegangscontrole
Diagnose
Resistentie
DC (SFF):
CCF:
waarden.
Exacte waarde moet
tabel in de norm)
(**Indicatieve
(**I
di ti
waarden.
d
Exacte waarde moet
tabel in de norm)
Veiligheidsfunctie hekbewaking (enkelpolig)
Subsysteem 1:
detecting
(1x)
(1NC)
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
of
PL c /
SIL 1
(1x)
Enkelpolig
- Cat.1 (PL)
- 1 channel/kanaal
Geen
(< 60 %)*
n.v.t.
Gemiddeld
(90 - < 99 %)*
≥ 65 pt** (PL)
1%-10%** (SIL)
(vb: 1NC
hekschak. - veiligheidsrelais - 1 magneetschak.)
1NC-hekschak.
Veiligheidsfunctie hekbewaking (1-schakelaar per hek)
Subsysteem 1:
detecting
(1x)
(2NC)
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
of
PL d /
SIL 2
(2 )
(2x)
Dubbelpolig
- max.Cat.3 (PL)
- 2 channels/kanalen ((SIL))
- 1 component/schakelaar
- beperkingen in
architectuur voor
‘schakelaar’ (SIL)
(vb: 1 hekschak.met 2NC - veiligheidsrelais - 2 magneetschak.)
Veiligheidsfunctie hekbewaking (2-schakelaars per hek)
Subsysteem
S
b
t
1:
1
detecting
+
(2x)
Subsysteem
S
b
t
2:
2
evaluating
of
S b
t
3
Subsysteem
3:
reacting
PL e /
SIL 3
(2x)
(vb: 2 schak.met 1-/2NC Safety
- veiligheidsrelais
magneetschak.)
Integrated –- 2
Normen
Dubbelpolig
(redundant+divers)
Hoog
(≥ 99 %)*
≥ 65 pt**
pt (PL)
1%-10%** (SIL)
- Cat.4 (PL)
- 2 channels/kanalen (SIL)
- 2 componenten/schak
63
Betrouwbaarheid
Veiligheidsfunctie:
PL/SIL:
(is maximaal
realiseerbaar
veiligheidsniveau)
- Toegangscontrole met twee hekken
(beide hekken worden niet frequent (< 1/uur) geopend/gebruikt)
Structuur
Opbouw:
Diagnose
Resistentie
DC (SFF):
CCF:
waarden.
Exacte waarde moet
tabel in de norm)
(**Indicatieve
(**I
di ti
waarden.
d
Exacte waarde moet
tabel in de norm)
Laag
(60 - < 90 %)*
≥ 65 pt** (PL)
1%-10%** (SIL)
Veiligheidsfunctie hekbewaking (hekken in serie geschakeld)
Subsysteem 1a:
detecting 1a
+
(hek 1)
Subsysteem
1b:
detecting 1b
+
(hek 2)
Subsysteem 2:
evaluating
of
Subsysteem 3:
reacting
PL d /
SIL 2
(2x)
Dubbelpolig
(redundant/divers)
- Cat.3 (PL)
- 1 of 2 componenten/schak.
(vb: 1-/2
1 /2 schak.p/hek met 1
/2NC – veiligheidsrelais - 2 magneetschak.)
1-/2NC
Serieschakeling van hekken is niet aan te bevelen, er kan een gevaarlijke situatie ontstaan!
Een persoon kan ingesloten raken in het gevaarlijke gebied !
- als na openen van het 1e hek een persoon ongemerkt door het 2e hek naar binnen gaat en dit hek achter zich sluit,
sluit
e
- kan de machine gestart worden zodra ‘iemand’ het 1 hek sluit en het veiligheidscircuit reset !
Let op: bij andere opbouw en gebruiksfrequentie van veiligheidsfuncties met hekken gelden afwijkende voorwaarden !
Voorbeelden:
- 2 hekken in serie geschakeld, welke beiden frequent ( ≥ 1/uur) geopend/gebruikt worden: DC = geen (0) / Cat. 2 / max. PL c / SIL 1
- 5 hekken in serie geschakeld, waarvan er 1 frequent en 4 sporadisch geopend/gebruikt worden: DC = laag (60 - < 90 %) / Cat. 3 / max. PL d / SIL 2
- 5 of meer hekken in serie geschakeld, ongeacht gebruik: altijd DC = geen (0) / Cat. 2 / max. PL c / SIL 1
- per situatie zal de DC/CCF-waarde bepaald moeten worden voor een correcte invulling van het veiligheidsniveau van de toepassing
64
Betrouwbaarheid
Veiligheidsfunctie:
PL/SIL:
Structuur
Opbouw:
(is maximaal
realiseerbaar
veiligheidsniveau)
- “eindschakelaars”
(met mechanisch gedwongen verbreekcontacten ! )
Diagnose
Resistentie
DC (SFF):
CCF:
waarden.
Exacte waarde moet
tabel in de norm)
(**Indicatieve
(**I
di ti
waarden.
d
Exacte waarde moet
tabel in de norm)
Veiligheidsfunctie hekbewaking (enkelpolig)
Subsysteem 1:
detecting
(1x)
(1NC)
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
of
PL c /
SIL 1
(1x)
Enkelpolig
- Cat.1 (PL)
- 1 channel/kanaal
Geen
(< 60 %)*
n.v.t.
Geen
(< 60 %)*
≥ 65 pt** (PL)
1%-10%** (SIL)
(vb: 1NC
eindschak. - veiligheidsrelais - 1 magneetschak.)
1NC-eindschak.
Veiligheidsfunctie hekbewaking (1-schakelaar per hek)
Subsysteem 1:
detecting
(1x)
(2NC)
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
of
PL c /
SIL 1
(2 )
(2x)
Dubbelpolig
- Cat.1 (PL)
- 2 channels/kanalen ((SIL))
- 1 component/schakelaar
- beperkingen in
architectuur voor
‘schakelaar’ (SIL)
(vb: 1 eindschak.met 2NC - veiligheidsrelais - 2 magneetschak.)
Veiligheidsfunctie hekbewaking (2-schakelaars per hek)
Subsysteem
S
b
t
1:
1
detecting
+
(2x)
Subsysteem
S
b
t
2:
2
evaluating
of
S b
t
3
Subsysteem
3:
reacting
PL e /
SIL 3
(2x)
(vb: 2 eindschak.met 1-/2NC
- veiligheidsrelais
- 2 magneetschak.)
Safety
Integrated – Normen
Dubbelpolig
(redundant+divers)
Hoog
(≥ 99 %)*
≥ 65 pt**
pt (PL)
1%-10%** (SIL)
- Cat.4 (PL)
- 2 componenten/schak
65
Vergelijking van de verschillende normen: uitgangspunt EN954-1
EN954 1
Risicocategorie Performance
v.d. besturing
Level
EN 954-1
EN ISO 13849
Safety
Integrity
Level
EN 62061
PFHD
(Waarschijnlijkheid
gevaarlijke uitval
per uur)
Omschrijving / architectuur
C t B
Cat.
PL a
--
Cat. 1
PL b
SIL 1
≥ 3x10-6 – < 10-5
p p ; testprocedures
p
en -pricipes;
Cat. 2
PL c
SIL 1
≥ 10-6 – < 3x10-6
Complete zelftest binnen één
cyclus, redundantie niet vereist
Cat. 3
PL d
SIL 2
≥ 10-7 – < 10-6
Redundantie, snelle foutherkenning,
additionele zelftests in diverse cycli
Cat. 4
PL e
SIL 3
≥ 10-8 – < 10-7
Verschillende hardware en software
≥ 10-55 – < 10-44
St d d b
Standaard
besturingen
t i
66
Vergelijking van de verschillende normen: uitgangspunt EN 62061 / EN ISO 13849
Risicocategorie Performance
v.d. besturing
Level
EN 954-1
EN ISO 13849
Safety
Integrity
Level
EN 62061
PFHD
(Waarschijnlijkheid
gevaarlijke uitval
per uur)
Relatie tot gevaarlijke uitval
Omschrijving
/ architectuur
C t B
Cat.
PL a
--
Cat. 1
PL b
SIL 1
≥ 3x10-6 – < 10-5
Cat. 2
PL c
SIL 1
≥ 10-6 – < 3x10-6
Cat. 3
PL d
SIL 2
≥ 10-7 – < 10-6
Niet meer dan
1 gevaarlijke
uitval
Redundantie,
snelle
foutherkenning,
v.d.
veiligheidsfunctie
per
100
jaar
additionele zelftests in diverse cycli
Cat. 4
PL e
SIL 3
≥ 10-8 – < 10-7
Niet meer dan
1 gevaarlijke
uitval
Verschillende
hardware
en software
v d veiligheidsfunctie per 1000 jaar
v.d.
≥ 10-55 – < 10-44
--
St(geen
Standaard
( d overeenstemming)
db
besturingen
t ti
i )
en -pricipes;
p p ; testprocedures
p
Niet meer dan 1 gevaarlijke uitval
v.d. veiligheidsfunctie per 10 jaar
Complete zelftest binnen één
cyclus, redundantie niet vereist
67
Voorbeeld 1: Project met meerdere subsystemen op basis van SIL
B t
Betrouwbaarheid
b h id
Veiligheidsfunctie
(Sensor 1)
Logic / Evaluating
Input / Detecting
(F-PLC /
veiligheidsrelais)
(Sensor 2)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
SIL-CL 2
SIL-CL 3
SIL-CL 1
PFHD = 2.10
2 10-7
PFHD = 3.10
3 10-8
PFHD = 1.10
1 10-6
PFHDT = 20.10
20 10-8 + 3.10
3 10-8 + 100
100.10
10-8 =
PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
68
B t
Betrouwbaarheid
b h id
Veiligheidsfunctie
(Sensor 1)
Logic / Evaluating
Input / Detecting
(F-PLC /
veiligheidsrelais)
(Sensor 2)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
SIL-CL 2
SIL-CL 3
SIL-CL 2
PFHD = 5.10
5 10-7
PFHD = 3.10
3 10-8
PFHD = 7.10
7 10-7
PFHDT = 50.10
50 10-8 + 3.10
3 10-8 + 70
70.10
10-8 =
PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
69
Normen
o e Functionele
e g ed
Machinerichtlijn
EN 60204-1 5e druk
EN ISO 13849
EN 62061
70
Beide normen beschrijven eisen aan de veiligheidsniveaus
van veiligheidsfuncties / veiligheidssystemen
EN 62061 (SIL) en EN ISO 13849 (PL) beschrijven de vereisten voor de
betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen:
PL a
SIL 1
PL b
PL c
SIL 2
PL d
SIL 3
PL e
Toenemende eisen aan de
betrouwbaarheid van
veiligheidsfuncties /
veiligheidssystemen
Alle fasen van de machine life-cycle
y
moeten hierbijj in acht genomen
g
worden:
 Vanaf het ontwerp en engineering
 Tot en met buitenbedrijfstelling
71
De eisen omvatten:
 Techniek (sterk afhankelijk van vereist veiligheidsniveau)
 Handelwijze
Eisen ten aanzien van techniek:
 Structuur van de hardware
 Mogelijkheid van foutherkenning
 Betrouwbaarheid van de onderdelen
(laag  hoog veiligheidsniveau)
(éénkanalig  tweekanalig)
(geen  omvangrijke diagnose)
(toenemend)
Structuur
Betrouwbaarheid
Eisen ten aanzien van de handelwijze:
 Projectmanagement
 Testconcept
p
 Technische documentatie, .…
Diagnose
Resistentie
Proof-Test-Interval
Processen
72
Toepassingsgebieden
p
g g
EN 13849
EN ISO 13849-1: Performance Level (PL)
 Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen.
 Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische
systemen zonder beperkingen worden toegepast.
 Gebruik van programmeerbare veilige elektronica kan
kan, echter met beperkingen:
 Voor bepaalde opbouwstructuren (architectuur)
 Tot en met PL d resp. SIL 2.
 Programmeerbare veiligheidsbesturingen (F
(F-PLC,
PLC etc.)
etc ) moeten voor PL e
voldoen aan IEC 61508.
 Berekeningsconcept van EN ISO 13849-1 is gebaseerd op (beperkt aantal) vast
gedefinieerde opbouwstructuren (architecturen).
 Minder uitgebreide berekeningen dan EN 62061 maar daardoor wel eenvoudiger.
 ‘PL’ kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een
veiligheidsfunctie verkregen worden (Detecting – Evaluating – Reacting).
 Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen.
 ….
73
Toepassingsgebieden EN 62061
EN 62061: Safety Integrity Level (SIL)
 Toepasbaar voor alle elektrischeelektrische , elektronische bestuingssystemen met elk mogelijke
opbouwstructuur (architectuur is minder gedefinieerd):
 van SIL 1 tot n met SIL 3.
g
veiligheidsbesturingen
g
g ((F-PLC)) moeten voldoen aan IEC 61508.
 Programmeerbare
 Is nauwkeuriger dan EN ISO 13849 maar vraagt meer rekenwerk.
 Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw
maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines.
 Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd.
 Alle fasen van de life-cycle van de machine worden beschreven:
ontwerp – inbedrijfstelling – gebruik – upgrades - uitbedrijfname.
uitbedrijfname
 ‘SIL’ kan alleen voor een gehele veiligheidsfunctie verkregen worden
(Detecting – Evaluating – Reacting). Voor afzonderlijke onderdelen geldt ‘SIL CL’.
 Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de
berekeningen van EN 62061 worden meegenomen.
 ….
74
Verschillen in toepassingsgebieden EN 62061 en EN ISO 13849
75
Mate van gevaarlijke uitval is leidraad bij beide normen
Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL
PerformanceLevel
EN ISO 13849 (PL)
Waarschijnlijkheid
gevaarlijke uitval per uur
(PFHD)
Safety Integrity Level
EN 62061 (SIL)
PL a
≥ 10-5 – < 10-4
--
PL b
≥ 3x10-66 – < 10-55
SIL 1
PL c
≥ 10-6 – < 3x10-6
SIL 1
PL d
≥ 10-7 – < 10-6
SIL 2
PL e
≥ 10-8 – < 10-7
SIL 3
76
Valkuilen
 Minder voorspelbaar en daarmee functioneel gedrag
 Bij een ontwerp kan men zich “rijk” rekenen op basis van faalkansen
faalkans cijfers en faalkans-berekeningen
faalkans berekeningen met betrekking
 Nog prille ervaring in faalkans-cijfers
tot machinebesturingen (verificatie-tools zijn niet heilig)
 Engineeringfouten
 Vergt vooral in het begin de nodige studie en extra werk
77
Belangrijkste termen en definities op een rij
 PFHD
Probability of dangerous Failure per Hour:
De waarschijnlijkheid van een gevaarlijk falen per uur
 PL
Performance Level: Prestatieniveau / veiligheidsniveau
 PLr
Required Performance Level:
Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL ≥ PLr)
 SIL
Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau
 SILCL
Safety Integrity Level - Claim
Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem
 MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten
 MTTFD Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout
 λD
Lambda Kans van
Lambda:
an gevaarlijke
ge aarlijke uitval
it al van
an een ssubsysteem(element),
bs steem(element) (λD = 1/ MTTFD )
 CCF
Common Cause Failure: (ook wel ß-factor genoemd), foutbestendigheid bij
meerdere kanalen / resistentie tegen falen
 DC
Diagnostic Coverage: (≈ SFF),
SFF) diagnosegraad of dekkinggraad tegen fouten/falen
 SFF
Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen ≈ DC),
het percentage van falen wat leidt tot niet-gevaarlijk falen
78
Beschikbare documentatie
Praktische uitvoering nieuwe machinerichtlijn
- Nederlandstalige normen overzichtsbrochure
EN 62061 en EN ISO13849-1 / EN954-1
- Overzichtsposter normen (A0-formaat)
- Relatie SIL versus PL
79
Trainingsaanbod Machineveiligheid:
www siemens nl/training/safety
www.siemens.nl/training/safety
Trainingsmogelijkheden voor machineveiligheid:
 Cursus Functionele veiligheid voor ontwerpers in de praktijk
- Ontwerpen van besturingstechnische veiligheidsfuncties volgens EN 62061 en EN ISO 13849-1
- Vanaf het opstellen van de Safety Requirements Specifications tot en met de verificatie en validatie
van veiligheidsfuncties
- Oefening en uitwerking aan de hand van praktijkcases
- Templates en checklist die direct in de dagelijkse praktijk kunnen worden toegepast
 Risicobeoordelingstraject-Management
- Het risicobeoordelingstraject (Risk Assessment Management): normconforme methodiek voor het
uitvoeren van de risicobeoordeling
g volgens
g
EN ISO 14121-1,, resp.
p EN ISO 12100:2010
 Normen cursussen
- De Machinerichtlijn (EN2006/42/EC) en CE-markering: actuele Europese richtlijnen voor
machineveiligheid en CE-markeringstraject.
- Functionele veiligheid: Europese normen voor
functionele veiligheid van machines en productieinstallaties volgens EN 62061 en EN ISO 13849-1
 Product
Product-/systeemtrainingen
/systeemtrainingen
- PROFIsafe / F-PLC / FH-PLC
- Modulair Safety Systeem / ASIsafe / Drives
 Technische Workshops
80
Machineveiligheid-workshops:
www.siemens.nl/workshop
81
Normen informatie op site Machineveiligheid:
www siemens nl/industry/machineveiligheid
82
Ondersteuning en ontwerpgemak: ‚Functional Examples‘:
p
www.siemens.nl/functional-examples
Compleet uitgewerkte applicatievoorbeelden met
g
- inclusief softwareprogramma’s
p g
veiligheidsfuncties

Functiebeschrijving van de veiligheidsfunctie

Hardware opbouw

Uitgewerkte softwareprogramma van de
beschreven veiligheidsfunctie (indien van
toepassing; beschrijvend, te downloaden
en op DVD)

SIL en PL-berekeningen
 Aansluitschema‘s
83
Meer informatie: www.siemens.nl/industry/machineveiligheid
y
g
84
Normen
o e Functionele
e g ed
Machinerichtlijn
EN 60204-1 5e druk
EN ISO 13849
EN 62061
85
Performance Level PL - EN ISO 13849-1
 Berekenbare veiligheid:
- op basis van faalkans van componenten en systemen
in combinatie met architectuur-eigenschappen
Risico van de
totale
installatie
Restrisico
(daadwerkelijk
aanwezig
g
restrisico)
Aanvaardbaar
risico
i i
Toenemend risico
Noodzakelijke risicovermindering
Daadwerkelijke risico vermindering
Andere technieken,
(mechanisch, optisch, ..)
Electronische en elektrische
veiligheidssystemen
Externe voorzieningen en
organisatorische maatregelen
86
Parameters binnen EN ISO 13849-1
13849 1 - Overzicht
EN ISO 13849-1
PL - Performance Level
Structuur
Cat. (architectuur)
Betrouwbaarheid
MTTFD / PFYD / λ
Diagnose
DC
Resistentie
CCF
Proof-Test-Interval
Processen
T1 (= 20 jaar ‚fixed‘)
T2 (afh.v.d. Cat.)
Handelwijze
Verificatie
87
Scope van EN ISO 13849
St
Structuur
t
Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van
besturingssystemen:
g y
SRP/CS - Safety-Related Parts of Control System
 Bepaling van het vereiste veiligheidsniveau (PL - Performance Level)
voor elke veiligheidsfunctie
 SRP/CS opbouw en ontwerpprincipes
 Validatie van
an SRP/CS
 Wijzigingen van SRP/CS
EN 13849 is opgedeeld in:
- EN ISO 13849 deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015)
- EN ISO 13849 deel 2:2003
2:2003, Validatie
88
Toepassingsgebieden EN ISO 13849
St
Structuur
t
Veiligheidgerelateerde onderdelen van besturingssystemen (SRP/CS):
 BedieningsB di i
en signaleringsapaaratuur
i
l i
t
(b
(b.v. ttweehanden-bedieningsunit,
h d b di i
it h
hekk
vergrendelingen)
 Elektrische beveiligingsapparatuur (b.v. lichtscherm), drukgevoelige schakelmatten
 Besturingscomponenten (b.v. verwerkingsunit voor het verwerken van
veiligheidssignalen, dataverwerking, bewaking, etc.)
 Schakelapparatuur (b.v. relais, kleppen, etc.)
 Elektrische- en niet elektrische apparatuur (b.v. onderdelen van besturingssystemen
opgebouwd met pneumatiek,
pneumatiek hydrauliek)
Veiligheidsfuncties in machines:
- Van
V eenvoudig
di (b
(b.v. kkoffie
ffi automaat
t
t off automatische
t
ti h deur)
d )
- Tot een productieproces (b.v. verpakkings-, drukpers-, spuitgietmachines)
89
Opbouw
p
g
y
((SRP/CS)) binnen EN ISO 13849
Technische beveiligingsmaatregelen worden in normen
EN ISO 13849
13849-1
1 gedefinieerd in veiligheidsfuncties ((-systemen)
systemen)
 Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een
veiligheidssysteem
Veiligheidsfunctie
((Sensor 1))
Input / Detecting
(Sensor 2)
L i / Evaluating
Logic
E l ti
(F-PLC /
veiligheidsrelais)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
90
13849 1 (1)
Definities en gebruikte termen:
PL: Performance Level
Structuur
- Prestatieniveau voor de veiligheid van veiligheidsfuncties (Safety Performance)
- Mate voor risicoreductie (PL a = laagste, … , PL e = hoogste)
- Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten
Betrouwbaarheid
PLr: Required Performance Level
- Minimaal vereist veiligheidsniveau van een veiligheidsfuncties (met PL ≥ PLr)
Betrouwbaarheid
PFY : Probability of Failure per Year
PFYD: Probability of dangerous Failure per Year
- De waarschijnlijkheid van een gevaarlijk falen per jaar
- Rekenwaarde
91
13849 1 (2)
Betrouwbaarheid
MTTF : Mean
M
Ti
Time To
T Failure
F il
MFFTD : Mean Time To Dangerous Failure
- MTTF : Tijd tot het optreden van een fout (eerste fout!)
- MTTFD : Tijd tot het optreden van een gevaarlijke fout
- MTBF : Mean Time Between Failure – Tijd tussen het optreden van twee fouten
- MTTR : Mean Time To Repair – Tijd tot reparatie (onderhoud/service)
- MTBF = MTTF + MTTR
- MTBF>>MTTR, MTTR kan verwaarloosd worden, dus MFBF ≈ MTTF
- MTBF waarden: opgave van fabrikant
Betrouwbaarheid
λ en λD : Lambda
- λ : Uitvalkans van een subsysteem(element)
- λD : Uitvalkans voor gevaarlijke uitval van een subsysteem(element)
- Relatie met MTTF: MTTF = 1 / λ (en MTTFD = 1 / λD)
- Rekenwaarde
92
13849 1 (3)
DC: Diagnostic Coverage
Diagnose
- Factor voor diagnosedekking in %
- Is verhouding tussen aantal gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten
- Bepaling
p
g DC: opgave
pg
van fabrikant
CCF (of ß-factor): Common Cause Failure
Resistentie
- Fout ontstaan vanuit een gemeenschappelijke oorzaak
- Overwegend
O
d bepaald
b
ld d
door d
de realisatie
li ti en uitvoering
it
i
- Checklist van EN ISO 13849-1, Annex F
- Bepaling CCF: opgave van fabrikant
Proof-Test-Interval
T1 en T2: Tijden voor de gebruiksduur en het testen
- T1: ‘Proof-Test-Interval’ - Gebruiksduur/levensduur van het component / SRP/CS (jaren)
- T2: ‘Proof-Test’ - Diagnose- testinsterval; een zich herhalende test van het component /
s steem (schakelcycli)
systeem
(schakelc cli)
- Bepaling T1: opgave van fabrikant
- Bepaling T2: door machinebouwer/gebruiker
93
Hoe werkt bijj de EN ISO-13849-1 de bepaling
p
g van het Performance Level (PL)
( )
Processen
Handelwijze EN ISO 13849-1 /-2:
Stap 1: Bepaling van veiligheidsfuncties/-systemen
Stap 2: Specificatie van het vereiste Performance Level PLr (PL-required)
Stap 3: Ontwerp en technische realisatie van de veiligheidsfunctie
Stap 4: Specificatie van het Performance Level en de architectuur/opbouwstructuur
Stap 5: Validatie (EN ISO 13849-2)
13849 2)
 Toetsing/verificatie na elke stap !
94
Bepaling van veiligheidsfuncties/
veiligheidsfuncties/-systemen
systemen
Bepaling van veiligheidsfuncties/-systemen:
 Risicobeoordeling van de machine
 Zijn er vereiste veiligheidsfuncties die onder ‘C-normen’ vallen
 Voorbeelden
V b ld van veiligheidsfuncties
ili h id f
ti ((zie
i ook
k iin norm EN60204
EN60204-1):
1)
- Stopfunctie
- Start/herstartfunctie
- Handmatige resetfunctie
- Mutingfunctie
- Noodstopfunctie (EN ISO 13850)
- ...
95
Bepaling van het Performance Level (PL)
St
Structuur
t
Bepaling van het vereiste Performance Level
van
a ee
een veiligheidsfunctie/-systeem:
e g e ds u ct e/ systee
 Met behulp
p van de risicograaf
g
((annex A))
 Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie
 Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie:
 Categorie
 MTTFD (mean time to dangerous failure)
 DC (diagnostic coverage)
 CCF (common cause failure)
Regel voor de PL van een veiligheidsfunctie: PL ≥ PLr
96
Riscograaf voor bepaling van het Performance Level (PL)
St
Structuur
t
Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e
Ernst van letsel
S
ernstig, (meestal blijvend),
incl. dood
S2
licht vaak herstelbaar letsel
licht,
S1
Frequentie / duur van
blootstelling
Lang / frequent tot continu
(≥1x per 15 min.)
per
Kort / zelden tot soms ((< 1x p
15min. / < 1/20 v.d. bedrijfstijd)
F1
S1
F2
Startpunt voor
schatting van
risicoreductie
S2
F1
F2
P1
Laag risico
F
Mogelijkheid tot
voorkomen
P
F2
nauwelijks mogelijk
P2
F1
Mogelijk onder
bepaalde voorwaarden
P1
In Amendment
EN ISO 13849 2015 :
PLr a
P2
PLr a
P1
PLr b
P2
P1
PLr c
PLr b
PLr d
PLr c
PLr e
PLr d
P2
P1
Indien:
‚waarschijnlijkheid
van optreden
van een
gevaarlijke
situatie‘
=
‚klein‘.
- voorwaarden gespecificeerd
voor blootstellingsgevaar (F)
- PLr-niveau’s gedefinieerd
voor kleine waarschijnlijkheid
j j
van optreden gevaarlijke situatie
P2
Hoog risico
97
Definitie van ‘gemiddelde tijd tot gevaarlijk falen’
van een enkel kanaal (MTTFD )
B t
Betrouwbaarheid
b h id
MTTFD : Tijdsaanduiding voor het gebruiksduur zonder dat een gevaarlijke fout
in één enkel kanaal van het besturingssysteem
g y
optreedt
p
MTTFD van elk kanaal
Benaming
Bereik
Laag
g
3 jjaar ≤ MTTFD < 10 jjaar
Gemiddeld
10 jaar ≤ MTTFD < 30 jaar
Hoog
30 jaar ≤ MTTFD < 100 jaar
MTTFD voor elk kanaal is aangepast
naar max. MTTFD = 2500 jaar
- Wordt
W dt hoofdzakelijk
h fd k lijk b
bepaald
ld d
door d
de kkwaliteit
lit it van d
de componenten.
t
- Is een statistische gemiddelde waarde en geen gegarandeerde levensduur.
98
Betekenis van MTTFD
B t
Betrouwbaarheid
b h id
Niet
acceptabel
Laag
g
Gemiddeld
Hoog
Niet realistisch
99
Bepaling van MTTFD
B t
Betrouwbaarheid
b h id
Hiërarchische procedure voor bepaling van MTTFD:
1e : Gebruik gegevens van de fabrikant of
2e : Gebruik de methoden in Annex C en -D van de norm of
3e : Kies 10 jaar
 Volgorde is dwingend voorgeschreven !
100
Electromechanische
ect o ec a sc e co
componenten:
bas s van
a B10
0D
B t
Betrouwbaarheid
b h id
B10-waarde
- Elektromechanische componenten zijn onderhevig aan slijtage.
- De uitvalkans voor elektromechanische componenten kan worden berekend
met de B10-waarde en de gebruikscyclus (nop – number of operations, aantal
schakelingen
g p
per jjaar).
)
- De B10-waarde wordt uitgedrukt in het aantal schakelcycli.
- Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een
levensduurtest een uitval vertoonde
vertoonde.
B10D
- Dat deel van de B10
B10-waarde
waarde van welke gevaarlijke uitval tot gevolg heeft
heeft.
- Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval.
Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval
- voor de B10D-waarde geldt dan: B10D = 2 x B10
101
Electromechanische
ect o ec a sc e co
componenten:
bas s van
a B10
0D
B t
Betrouwbaarheid
b h id
B10-waarden van SIRIUS industrieel schakelmateriaal:
3
102
Architectuur g
gebaseerd op
p bestaande categorie
g
B en 1
B t
Betrouwbaarheid
b h id
Systeem
input / detecting
(sensoren)
VeiligheidsVeiligheids
deur
logic / evaluating
(besturing)
output / reacting
(schakelen)
Motor
1/MTTFD Totaal = 1/MTTFD Detecting + 1/MTTFD Evaluating + 1/MTTFD Reacting
(MTTFD in jaren)
103
Voorgeschreven architectuur categorie 2
B t
Betrouwbaarheid
b h id
Veiligheidsdeur
input
p / detecting
g
(sensoren)
logic
g / evaluating
g
(besturing)
output
p / reacting
g
(schakelen)
Motor
of
Voor het
V
h t bewaken
b
k en testen
t t van de
d veiligheidsfunctie
ili h id f
ti zijn
ij gekwalificeerde
k lifi
d
componenten en systemen vereist

gebruik veiligheidscomponenten, failsafe besturing / veiligheidsrelais !
104
Voorbeeld: MTTFD op basis van B10D
B t
Betrouwbaarheid
b h id
 Op basis van 10 % uitval van een groep identieke componenten
 Bij contactoren en relais afhankelijk van het aantal keer schakelen en
de daarbij optredende condities
 MTTFD = B10D x tcyclus : (0,1 x d x h x 3600)
- B10D in aantal schakelingen
- tcyclus in seconden
- d : dagen per jaar
per dag
g
- h : uren p
- Als i.p.v. B10D alleen B10 is gegeven neem 2 x B10
105
Berekening
B t
Betrouwbaarheid
b h id
 PFHD B10 in aantal schakelingen
(10.000.000)
 tcyclus in seconden
(circa 5 seconden)
 d : dagen per jaar
(365 dagen continu)
 h : uren per dag
(24 uur)
 B10D = 2 x B10 = 2 x 10.000.000 = 20.000.000
 MTTFD = B10D x tcyclus : (0,1 x d x h x 3600)
 MTTFD = 2.106 x 95 : ((0,1 x 365 x 24 x 3600))
 MTTFD ≈ 30 jaar
106
Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFYD))* / per uur (PFHD))**
B t
Betrouwbaarheid
b h id
MTTFD uitgedrukt in de kans op een gevaalijke uitval per jaar PFYD en per uur PFHD
in relatie tot het Performance Level (PL)
( )
EN ISO 13849-1 : PL
Gemiddeld gevaarlijk
falen per jaar (PFYD)
Gemiddeld gevaarlijk
falen per uur (PFHD)
SIL
a
0,1 ≤ PFYD < 1
10-5 ≤ PFHD < 10-4
b
0,03 ≤ PFYD < 0,1
3 x 10-6 ≤ PFHD < 10-5
In-Amendment EN ISO 13849 2015 :
PFHD – waarde wordt nu ook binnen
1
PL-norm
geïntroduceerd !
c
0,01 ≤ PFYD < 0,03
10-6 ≤ PFHD < 3 x 10-6
d
0,001 ≤ PFYD < 0,01
10-7 ≤ PFHD < 10-6
2
e
0,0001 ≤ PFYD < 0,001
10-8 ≤ PFHD < 10-7
3
PL
* PFYD = Probability of dangerous failure per year
** PFHD = Probability of dangerous failure per hour
1 jaar ≈ 10000 uur
107
Performance Level in relatie met de kans op
p gevaarlijke
g
j uitval per
p uur (PFH
(
D)
B t
Betrouwbaarheid
b h id
PFHD = Probability of Dangerous Failure per Hour:
EN ISO 13849
hanteert max. MTTFD = 100 jaar
108
Invloed van diagnose-mogelijkheden:
g
g j
Diagnostic
g
Coverage
g (DC)
( )
Di
Diagnose
De diagnosedekking-factor (DC) is de verhouding tussen het percentage
gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten
Diagnosedekking (Diagnostic Coverage DC)
Benaming
Bereik
Geen (=geen diagnosedekking)
0 < DC < 60 %
Laag
60 % ≤ DC < 90 %
Gemiddeld
90 % ≤ DC < 99 %
Hoog
Meer gedetailleerde beschrijvingen
van de DC-waarden.
99 % < DC (≤99,9 %)
- Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie
met de architectuur (opbouw) van de veiligheidsbesturing
109
Bepaling van ‘Diagnosedekking’
(Diagnostic Coverage - DC)
Di
Diagnose
Hiërarchische procedure voor bepaling van DC:
1e : Gebruik gegevens van de fabrikant of
2e : Gebruik methode uit Annex E van de norm of
3e : Kies DC = 0
 Volgorde is dwingend voorgeschreven !
110
Bepaling van de ‘diagnosedekking’
diagnosedekking (Diagnostic Coverage) EN ISO 13849
Di
Diagnose
De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in
Annex E.1 en Tabel 10
111
Performance Level in relatie met DC, Categorie en MTTFD
Kwaliteit
MTTFD
PL
B
Categorie (Architectuurkeuze)
1
2
2
3
3
4
10-4
a
laag
3 tot 10 jaar
10-5
b
c
gemiddeld
10 tot 30 jjaar
10-6
P
F
H
D
d
10-7
e
hoog
h
30 tot 100 jaar
Di
Diagnose
10-8
geen
geen
laag gemid.
gemid laag gemid.
gemid hoog
DC inschatting
112
Systeemgedrag
y
g
g volgens
g
categorieën
g
in relatie met diagnosedekking
g
g (DC)
( )
Di
Diagnose
Opbouw veiligheidsfunctie: (Detecting – Evaluating – Reacting)
 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar
Cat.2 / PL c / SIL 1
DC = geen (0)
(weinig diagnose mogelijk met enkelpolig circuit)
 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars
Cat.4 / PL e / SIL 3
DC = hoog (99 %)
( ti l di
(optimale
diagnose mogelijk
lijk d
door dubbelpolig
d bb l li circuit)
i it)
 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak.
DC = gemiddeld (90 %)
(kans op mechanische fouten met bedieningssleutel van hekschakelaar)
 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak.
magneetschak
DC = laag (60 %)
(kans op diagnosefouten door openen 2e hek)
113
Resistentie
Bepaling van het effect van een CCF met Annex F van de norm:
 CCF is van toepassing wanneer de veiligheidsfunctie die uit
 Dit rekenkundige proces moet worden doorlopen voor het gehele systeem.
F.1
1 van de norm geeft een lijst met maatregelen/voorwaarden en
 Tabel F
bijbehorende puntenwaarde, gebaseerd op technisch inzicht.
En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van
gemeenschappelijke
pp j oorzaak.
uitval ontstaan door g
114
Resistentie
- Diversiteit
Waarden
bij elkaar
optellen voor
totaalscore
Effect analyse
l d
- EMC iinvloeden
- Omgevingsfactoren
De totaalscore van genomen maatregelen geeft de mate aan van resistentie
tegen
g CCF:
S
Score
≥ 65
Voldoet aan de eisen
Score < 65
Proces mislukt, kies additionele maatregelen
115
Systeemgedrag in relatie met Categorie, PL, MTTFD , DC en CCF
Categorie
CCF
DC gem.
van
elk
kanaal
1
-
-
geen
geen
2
laag
Overwegend
gekenmerkt door
de kwaliteit van de
componenten
Principe
MTTFD
B
2
3
3
4
Zie
Annex F
Zie
Annex F
Zie
Annex F
Zie
Annex F
gemiddeld
laag
gemiddeld
hoog
Overwegend
gekenmerkt door de
laag
PL a
Niet
beschreven
PL a
PL b
PL b
PL c
Niet
beschreven
gemiddeld
PL b
Niet
beschreven
PL b
PL c
PL c
PL d
Niet
beschreven
Niet
beschreven
PL c
PL c
PL d
PLd
PL d
PL e
hoog
116
Systeemgedrag in relatie met Categorie, PL, MTTFD , DC en CCF
Categorie
CCF
DC gem.
van
elk
kanaal
1
-
-
geen
geen
2
laag
Overwegend
gekenmerkt door
de kwaliteit van de
componenten
Principe
MTTFD
B
2
3
3
4
Zie
Annex F
Zie
Annex F
Zie
Annex F
Zie
Annex F
gemiddeld
laag
gemiddeld
hoog
Overwegend
gekenmerkt door de
laag
PL a
Niet
beschreven
PL a
PL b
PL b
PL c
Niet
beschreven
gemiddeld
PL b
Niet
beschreven
PL b
PL c
PL c
PL d
Niet
beschreven
Niet
beschreven
PL c
PL c
PL d
PLd
PL d
PL e
hoog
117
Validatie van SRP/CS binnen EN ISO 13849
P
Processen
De validatie van SRP/CS moet uitgevoerd worden volgens het validatieplan:
 Prestatie
Prestatie-eisen
eisen
 Gebruiks- en gebruiksomgeving voorwaarden
 Veiligheidsprincipes
 Beproefde componenten
 Foutinschatting en foutuitsluiting
 Analyses, tests, toetsing/verificatie
 Documenteren (vastleggen / ‚bewijs‘)
De validatie moet onder vastgestelde omgevingscondities worden uitgevoerd.
De validatie moet worden uitgevoerd met behulp van tests en analyses
analyses.
Hoeveel hiervan uitgevoerd moeten worden is afhankelijk van:
 De veiligheidsgerelateerde onderdelen
 Systeemtype
 Gebruikte technologie
 Omgevingscondities (EMC / trillingen / klimaat /…)
118
p
g
p
j p
Performance Level Calculator IFA: http://www.dguv.de/ifa/de/pra/drehscheibe/index.jsp
PL aflezen
2e stap
Legende
1e stap
MTTFd instellen
119
Normen
o e Functionele
e g ed
Machinerichtlijn
EN 60204-1 5e druk
EN ISO 13849
EN 62061
120
Safety
Sa
ety Integrity
teg ty Level
e e (S
(SIL)) - EN 6
62061
06
 Berekenbare veiligheid:
- op basis van faalkans van componenten en systemen
in combinatie met hardware-fouttolerantie eigenschappen
(in mindere mate: architectuur)
Risico van de
totale
installatie
Restrisico
(daadwerkelijk
aanwezig
g
restrisico)
Aanvaardbaar
risico
i i
Toenemend risico
Andere technieken,
veiligheidssystemen
121
Parameters EN 62061 - Overzicht
EN 62061
SIL - Safety Integrity Level
Structuur
HFT
Betrouwbaarheid
PFHD / λ
Diagnose
SFF (DC)
Resistentie
CCF (ß-factor)
Proof-Test-Interval
Processen
T1 (gebruiksduur/
levensduur)
T2 (diagnose/test)
Handelwijze
Verificatie
122
IEC 61508 de veiligheidsparaplu
g
p
p voor software en elektronica
St
Structuur
t
123
Risicobeoordeling
g volgens
g
IEC 61508
St
Structuur
t
Risico van de
totale
installatie
Restrisico
(daadwerkelijk
aanwezig
restrisico)
Aanvaardbaar
risico
Toenemend risico
Andere technieken,
veiligheidssystemen
Failsafe (F-) Systeem:
Eigenschap van een systeem dat gebruik maakt van een dusdanige
opbouw en technische maatregelen
maatregelen, zodat het ontstaan van
gevaarlijke situaties uitgesloten is of teruggebracht worden tot een
aanvaardbaar risico
124
Focus
Produce
ent/
Fabrikan
nt
Overzicht van normen voor functionele veiligheid
g
IEC 61508
(700 pagina’s)
IEC 61511
Procesindustrie
Focus
Systeem integratorr/
Machin
nebouwer
St
Structuur
t
IEC 62061
(100 pagina’s)
ISO 13849
IEC 61513
EN 954
Nucleaire industrie
(tot 31-12-2011)
IEC 60601
Medische sector
… etc. ...
Toepasbaar voor
veiligheidsgerelateerde
elektrische- en elektronische
besturingssystemen
(SRECS)
ProcesIndustrie
Toepasbaar voor elektrische/ elektronische- én andere
veiligheidsgerelateerde
besturingssystemen (pneumatiek,
hydrauliek, mechanisch, etc.)
(SRP/CS)
Productie-industrie
(machinebouw)
125
Verschillen en overeenkomsten tussen IEC 61508 en EN 62061
St
Structuur
t
IEC 61508 (Basisnormen)
 Voor fabrikanten van besturingen en eventueel gebruikers ervan
 Beschrijft gedetailleerde eisen voor het systeem, subsysteem en componenten
 Beschrijft algemene eisen zonder specifieke toepassingseisen
EN 62061 (Applicatienorm)
 Beschrijft hoe een systeem opgebouwd kan worden met bestaande
y
en hoe zijn
j veiligheidseisen
g
((SIL)) bepaald
p
kunnen worden
subsystemen
 Beschrijft de eisen voor het ontwerp van de subsystemen alleen voor
“niet complexe subsystemen” (niet voor programmeerbare elektronica)
 Voor complexe systemen/subsystemen (b.v. veiligheids-PLC) wordt aangenomen
dat deze voldoen aan de eisen van IEC 61508.
Een systeem dat ontworpen is volgens EN 62061 voldoet
ook aan de relevante eisen volgens IEC 61508
126
Scope van EN 62061
St
Structuur
t
Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-,
programmeerbare
g
besturingssystemen:
g y
elektronische en elektronisch p
SRECS - Safety-Related Electrical Control Systems
 Bepaling
B
li van h
hett vereiste
i t veiligheidsniveau
ili h id i
(SIL - Safety
S f t Integrity
I t it Level)
L
l) voor elke
lk
veiligheidfunctie
 SRECS ontwerpstructuur
p
 Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849
 Validatie van SRECS
 Wijziging/aanpassing van SRECS
127
Structuur van EN 62061 (1)
St
Structuur
t
Functional Safety Management (FSM)
 Managementactiviteiten
g
en technische verantwoording
g ten aanzien van de
functionele veiligheid: verantwoordelijkheden
 Opstellen van het veiligheidsplan
Specificeren van de eisen aan veiligheidsfuncties
(SRCF - Safety-Related Control Function)
 Methode en uitgangspunten voor het opstellen van de veiligheidsvereisten
(SRS - Safety Requirements Specifications)
Ontwerp en integratie van de veiligheidgerelateerde elektrische besturingssystemen (SRECS)
 Systeemarchitectuur/-opbouw
Systeemarchitectuur/ opbouw
 Hardware en Software
 Toetsing/verificatie
Gebruikersinformatie van de machine
 Bedieningshandleiding en service/onderhoudinstructies
128
Structuur van EN 62061 (2)
St
Structuur
t
Validatie van de SRECS
 Proceseisen voor de validatie
 Inspectie en testen van SRECS ‘in bedrijf’
A
Aanpassingen/wijzigingen
i
/ ij i i
aan de
d SRECS
 Proceseisen voor aanpassingen
 Analyseren van de impact van de wijziging
Documentatie
 Algemene richtlijnen en eisen
Risk Assessment Management
129
Opbouw
p
g
y
((SRECS)) binnen EN 62061
St
Structuur
t
 Een
veiligheidsfunctie (SRECS) wordt uitgevoerd
als een veiligheidssysteem
 Data-overdracht tussen de subsystemen wordt meegenomen in berekening
(kabel(s), bussysteem)
Data overdracht
Data-overdracht
Veiligheidsfunctie (SRECS)
(Sensor 1)
Input / Detecting
(Sensor 2)
Logic / Evaluating
(F-PLC /
veiligheidsrelais)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
130
Parameters binnen EN 62061 (1)
St
Structuur
t
SIL: Safety Integrity Level
- Mate voor risicoreductie (SIL 1 = laagste, … , SIL 3 = hoogste)
- Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen
systematische fouten
Structuur
SIL CL: Safety Integrity Level – Claim Limit
- Maximaal haalbare SIL voor een subsysteem(element)
- Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligetoevallige en
systematische fouten
- De laagste SIL CL bepaald het maximaal haalbare SIL
- Bepaling SIL CL: opgave van fabrikant of door berekening
Structuur
HFT: Hardware Fault Tolerance
- Hardware fouttolerantie – De mogelijkheid van een hardware-unit om de vereiste
veiligheidsfunctie uit te kunnen blijven voeren bij optreden van een fout
- Opbouwstructuur
O b
t t
(1-/2-kanaals,
(1 /2 k
l redundantie)
d d ti )
- Toepasbaar op eenvoudige componenten/apparatuur en voor complexe (pogrammeerbare)
apparatuur (redundante CPU)
131
Betrouwbaarheid
PFH : Probability of Failure per Hour
PFHD: Probability of dangerous Failure per Hour
- De waarschijnlijkheid van een gevaarlijk falen per uur
- Bepaling PFHD: opgave van fabrikant
Betrouwbaarheid
λ en λD : Lambda
- λ : Uitvalkans van een subsysteem(element)
- λD : Uitvalkans voor gevaarlijke uitval van een subsysteem(element)
- Rekenwaarde
Diagnose
SFF: Safe Failure Fraction
- Percentage van falen wat leidt tot niet-gevaarlijk falen (%)
- Is verhouding tussen veilig falen en niet-veilig
niet veilig falen
- Komt overeen met DC (Diagnostic Coverage) waarde uit EN ISO 13849-1
- Bepaling SFF (DC): opgave van fabrikant
132
CCF (of ß-factor): Common Cause Failure
Resistentie
- Fout ontstaan vanuit een gemeenschappelijke oorzaak
- Overwegend bepaald door de realisatie en uitvoering
- Checklist van EN 62061, tabel F1/F2
- Waarden ß-factor: 1%, 2%, 5% of 10%
- Bepaling CCF: opgave van fabrikant
Proof-Test-Interval
(0,01 / 0,02 / 0,05 of 0,1)
T1 en T2: Tijden voor de gebruiksduur en het testen
- T1: ‘Proof-Test-Interval’ - Gebruiksduur/levensduur van het component
p
/ SRECS
(in jaren)
- T2: ‘Proof-Test’ - Diagnose- testinsterval; een zich herhalende test van het
component / systeem (schakelcycli)
- Bepaling
p
g T1: opgave
pg
van fabrikant
- Bepaling T2: door machinebouwer/gebruiker
133
Ontwerpproces voor SRECS binnen EN 62061
Ontwerpproces SRECS:
Processen
1: Vaststellen van SRECS voor elke veiligheidsfunctie (SRCF)
p
van SRCF in functies: functieblokken ((FB))
2: Opdelen
3: Gedetailleerde veiligheidseisen voor elk functieblok (FB)
4: FB’s omzetten in subsystemen en kans op gevaarlijke uitval (PFHD)
5: Toetsing / verificatie (formules)
6: Component-selectie voor het subsysteem of ontwikkeling van een subsysteem
7: Opbouw van diagnosefuncties
8: SIL bepaling
9: Documenteren van SRECS architectuur/opbouw
10: Implementatie van SRECS
134
Ontwerpproces voor SRECS binnen EN 62061
Processen
Ontwerpproces SRECS – schematische voorstelling
135
Bepaling
epa g van
a het
et vereiste
e g e ds eau Sa
Safety
ety Integrity
teg ty Level
e e (S
(SIL))
St
Structuur
t
Het vereiste veiligheidsniveau (risico) wordt bepaald door:
Frequentie en duur van blootstelling
Risico
gerelateerd
aan het
geïdentificeerde
gevaar
=
Ernst van de
schade / letsel
Se
en
aan het gevaar
Fr
Waarschijnlijkheid van optreden
Pr
Mogelijkheid tot voorkomen
Av
Waarschijnlijkheid
van
optreden
136
Factoren voor het vaststellen van de SIL-Claim
 Se
: Ernstgraad van het letsel 1 t/m 4
 Fr
: Frequentie en duur van blootstelling 2 t/m 5
 Pr
: Waarschijnlijkheid van optreden 1 t/m 5
 Av
: Mogelijkheid tot voorkomen 1, 3 en 5
 Cl
: Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av)
St
Structuur
t
137
Bepaling
epa g van
a het
et vereiste
e g e ds eau Sa
Safety
ety Integrity
teg ty Level
e e (S
(SIL))
St
Structuur
t
Voorbeeld:
Bepaling
p
g vereiste Safety
y Integrity
g y Level (SIL
(
1 t/m SIL 3))
Frequentie / duur
van blootstelling
aan gevaar
(Frequency)
≤ 1 uur
> 1 uur tot ≤ 1 dag
> 1 dag tot ≤ 2 wkn.
> 2 wkn. tot ≤ 1 jaar
> 1 jjaar
Fr
5
5
4
3
2
+
Waarschijnlijkheid
van optreden van
gevaarlijke situatie
(Probability)
erg hoog
vaak
mogelijk
zelden
verwaarloosbaar
l
b
Ernst van letsel (Severity)
Dood, verlies van oog of ledematen
g
Permanent, verlies van vingers
Herstelbaar, medische behandeling door arts
Herstelbaar, eerste hulp
Pr
5
4
3
2
1
+
Mogelijkheid tot
voorkomen
Av
gevaar
(Avoidance)
onmogelijk
5
in bijzondere
3
gevallen mogelijk
mogelijk
1
Se
4
3
2
1
Ernst van
Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av
letsel
Se
3 tot 4
5 tot 7
8 tot 10
11 tot 13
14 tot 15
4
SIL 2
SIL 2
SIL 2
SIL 3
SIL 3
3
SIL 1
SIL 2
SIL 3
2
SIL 1
SIL 2
1
SIL 1
138
Bepaling van het vereiste veiligheidsniveau
van de veiligheidsfunctie / - systeem
St
Structuur
t
Annex A van norm EN 62061: Template voor SIL-bepaling
139
EN 62061 - Hardware fouttolerantie architectuur: Safe Failure Fraction ((SFF))
Verhouding tussen veilig
en niet-veilig falen SFF *
(≈ DC)
Di
Diagnose
H d
Hardware
ffouttolerantie
tt l
ti
0
1
2
(1 uit 1)
(2 uit 1)
(3 uit 1)
< 60 %
X**
SIL 1
SIL 2
60 %≤ SFF< 90%
SIL 1
SIL 2
SIL 3
90 %≤ SFF< 99%
SIL 2
SIL 3
SIL 3*** (4)
≥ 99 %
SIL 3
SIL 3*** (4)
SIL 3*** (4)
* SFF Safe Failure Fraction
** Niet toegestaan behalve onder bijzondere voorwaarden
(o.a.:’beproefde componenten’ zoals b.v. noodstop, Type-A apparatuur, mechanische comp.)
*** SIL 4 is niet toegepast in de EN 62061
140
Resistentie
Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm:
 CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit
 Dit rekenkundige proces moet worden doorlopen voor het gehele systeem
systeem.
 Tabel F1 van de norm - Criteria:
Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde,
gebaseerd op technisch inzicht
inzicht. En geeft van elke maatregel aan wat de bijdrage
ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak.
 Tabel F2 van de norm - CCF / ß-factor bepaling:
p
g
Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van
uitval ontstaan door gemeenschappelijke oorzaak.
141
Resistentie
Tabel F1 - criteria:
- Diversiteit
Waarden
bij elkaar
optellen voor
totaalscore
Effect analyse
T b l F2 - ß-factor:
Tabel
ßf t
Totaalscore
omrekenen
naar percentage
- EMC iinvloeden
l d
- Omgevingsfactoren
De totaalscore van genomen maatregelen geeft de mate aan
van resistentie tegen CCF
142
Berekening van de kans op gevaarlijke uitval λD voor SRECS
op basis van B10D
B t
Betrouwbaarheid
b h id
EN 62061 biedt de mogelijkheid om de kans op gevaarlijke uitval van een
subsysteem(element)
y
(
) te berekenen op
p basis van B10D-waarden:
- Dit wordt gebruikt voor (elektromechanische) componenten waarvan alleen een
B10D-waarde bekend is.
- Met behulp van de gebruikscyclus (aantal schakelingen) en het percentage
gevaarlijke uitval is vervolgens λD te bepalen (kans op gevaarlijk falen per uur, PFHD).
3
143
Berekening van de kans op gevaarlijke uitval λD voor SRECS
op basis van B10D
B t
Betrouwbaarheid
b h id
Voorbeeld:
- Veiligheidsfunctie hekbewaking met een
hekschakelaar met aparte bedieningssleutel
Veiligheidsdeur
Subsysteem 1:
detecting
Subsysteem 2:
evaluating
Subsysteem 3:
reacting
Motor
- Beschouw nu alleen: subsysteem 1 ‘Detecting’:
- Uit tabel SIRIUS B10-waarden: B10 = 1.10E+6 schakelcycli, % gevaarlijke uitval = 20%
Aantal schakelingen C = 10 per uur
Omrekenformules:
λ = 0,1 x C / B10
λD = gevaarlijke uitval % x λ
λ = 0,1 x C / B10
= 0,1 x 10 / 1.10E+6 = 1.10E-6
λD = 20% x λ
= 0,2 x 1.10E-6
= 2.10E-7
(= PFHD)
= PFHD
144
B t
Betrouwbaarheid
b h id
Veiligheidsfunctie
(Sensor 1)
Logic / Evaluating
Input / Detecting
(F-PLC /
veiligheidsrelais)
(Sensor 2)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
SIL-CL 2
SIL-CL 3
SIL-CL 1
PFHD = 2.10
2 10-7
PFHD = 3.10
3 10-8
PFHD = 1.10
1 10-6
PFHDT = 20.10
20 10-8 + 3.10
3 10-8 + 100
100.10
10-8 =
PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
145
B t
Betrouwbaarheid
b h id
Veiligheidsfunctie
(Sensor 1)
Logic / Evaluating
Input / Detecting
(F-PLC /
veiligheidsrelais)
(Sensor 2)
Subsysteem
Output / Reacting
(Relais / drive)
Systeem
SIL-CL 2
SIL-CL 3
SIL-CL 2
PFHD = 5.10
5 10-7
PFHD = 3.10
3 10-8
PFHD = 7.10
7 10-7
PFHDT = 50.10
50 10-8 + 3.10
3 10-8 + 70
70.10
10-8 =
PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
146
Relatie tussen SIL-waarden en de kans op
p gevaarlijke
g
j uitval
Performance
Level
EN ISO 13849
Safety
Integrity
Level
EN 62061
PL a
--
PL b
SIL 1
PFHD
(Waarschijnlijkheid
gevaarlijke uitval
per uur)
B t
Betrouwbaarheid
b h id
Relatie tot gevaarlijke uitval
≥ 10-5 – < 10-4
--
(geen overeenstemming)
≥ 3x10-6 – < 10-5
Niett meer d
Ni
dan 1 gevaarlijke
lijk uitval
it l
PL c
SIL 1
≥ 10-6 – < 3x10-6
PL d
SIL 2
≥ 10-7 – < 10-6
PL e
SIL 3
≥ 10-8 – < 10-7
v.d. veiligheidsfunctie
g
p
per 1000 jjaar
147
Validatie (1)
P
Processen
De validatie moet uitgevoerd worden volgens het validatieplan:
 Zowel voor hardware en software
 Functionele testen
 EMC test
 Fouttest met ‘echte’ gesimuleerde fouten
 Test softwarebouwstenen (Siemens)
 Test eigen software
 Onafhankelijkheid
 Verantwoordelijkheden
 Wijzigingen / aanpasingen
 Documenteren (vastleggen / ‚bewijs‘)
Doel is te toetsen of voldaan is aan alle vereiste veiligheidsaspecten
die opgenomen zijn in de Safety Requirement Specifications (SRS)
148
Validatie (2)
P
Processen
De validatie moet uitvoerig worden gedocumenteerd:
((in het TCD - Technisch Constructie Dossier))
 Aanpassing/updaten van het gemaakte validatieplan
 Updaten van gewijzigde hardware en software
 Geteste veiligheidsfuncties
pp
inclusief calibratiegegevens
g g
 Gebruikte testapparatuur
 Testresultaten
 Verschillen in waarden tussen verwachte- en daadwerkelijke resultaten
 Door wie is de validatie uitgevoerd en wanneer?
Het up-to-date houden van het Technisch Constructie Dossier is een must!
149
EN ISO 13849
EN 62061
Safety Integrated:
Normen machineveiligheid
Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL)
150

Normen machineveiligheid Safety Integrated

Transcription

Similar documents

ABIFLEXX ROBOTIC SYSTEMS

[email protected] 02/778.62.55

Preview

Road safety – EU 27

Standing up for occupational hygiene

6.24 Wartel kogelkraan

PiXeL - 2 - Fotovrienden Rijkevorsel

VeBONieuws januari 2011

i am pure photography

WTCB CSTC