11-5-2011
Besturingsnormen van het eerste uur
PL en SIL is meer dan rekenen alleen
• Pouw Jongbloed
NEN-EN 954-1
elektrische veiligheid van machines
Besturingssysteem met veiligheidsfunctie
NEN-EN 418
NEN-EN 574
NEN-EN 953
noodstop
2 handbediening
afschermingen
NEN-EN 1037 onbedoeld starten
Vervangende B-normen SIL (IEC 61508) IEC 62061 Safety-related parts of control systems
Verwijzing naar
ISO 13849-1&2
elektrische veiligheid van machines
Besturingssysteem met veiligheidsfunctie
ISO 13851
Noodstop (NEN-EN 418)
2 handbediening (NEN-EN 574)
NEN-EN 953 afschermingen
IEC 62061 (SIL)
A
Pneumatisch, hydraulisch, mechanisch, etc.
Volledig toepasbaar t/m PL e
Niet toepasbaar
B
Elektromechanisch en niet complexe elektronica
Met opgeven architectuur t/m PL e
Alle architecturen t/m SIL 3
C
Complexe elektronica (b.v. programmeerbaar)
Met opgeven architectuur t/m PL d
Alle architecturen t/m SIL 3
D
A gecombineerd met B
Met opgeven architectuur t/m PL e
Volledig toepasbaar **
E
B gecombineerd met C
Met opgeven architectuur t/m PL d
Alle architecturen t/m SIL 3
A gecombineerd met C of A en B gecombineerd met C
Met opgeven architectuur t/m PL d *
Volledig toepasbaar **
F
onbedoeld starten (NEN-EN 1037)
blokkeerinrichting afscherming
* In combinatie met 62061 t/m PL e
• Hoe lang bent u verantwoordelijk als fabrikant van machines? • Hoe vaak mag een veiligheidsvoorziening weigeren in die periode? • Idem maar bij een zeer gering effect. • Wat is dan de kans op falen per uur?
** Gebruik voor A-deel 13849-1
Risicograaf categorie & PL
Gemiddeld kans op gevaarlijk falen Uren 365 x 24 ~ 10000
Uitgangspunten PL en SIL m.b.t. falen
ISO 13849-1 (PL)
NEN-EN 1088
Jaren
blokkeerinrichting afscherming
Gebruikte technologie
ISO 14118
Gemiddeld kans op gevaarlijk falen van een veiligheidsfunctie op basis van :
NEN-EN 1088
Toepassingsgebieden PL en SIL PL (aangepaste EN 954)
NEN-EN-IEC 60204
ISO 13850
Einddatum EN-954-1: 31-12-2011
NEN-EN-IEC 60204
Principeschema categorie B en 1
Gemiddeld kans op gevaarlijk falen van een veiligheidsfunctie per uur: = Performan- Safety inte1 grity level aantal uren ce level
meerdere keren per In een periode van Niet jaar 0- 10000 (104) uur toegekend
Niet toegekend
10-5
NEN-EN 954-1
NEN-EN ISO 13849-1 PLr
Niet toegekend
In een periode van 1 tot en met 10 jaar
≤ PFHd PL a In een periode van 104 t/m t/ 105 uur < 10-44
Niet t toegekend k d
In een periode van 10 t/m 100 jaar
In een periode van 10-6 ≤ PFHd PL b 105 t/m 106 uur < 10-5
SIL 1
In een periode van 100 t/m 1000 jaar
In een periode van 10-7 ≤ PFHd PL d 106 t/m 107 uur < 10-6
SIL 2
In een periode van In een periode van 10-7 ≤ PFHd PL e 1000 t/m 10000 jaar 107 t/m 108 uur < 10-8
SIL 3
PL c
F1 S1 S: Ernstgraad S1: Licht, herstelbaar S2: Ernstig waaronder de dood F: Blootstelling F1: Zelden tot soms F2: Vaak tot continu P: Gevaarsafwending P1: Mogelijk P2: Niet of nauwelijks mogelijk
F2 F1 S2 F2
P1 P2 P1
Gering risco
a b
P2 P1
c
P2 P1
d
P2
e hoog risico
Voorbeeld categorie B (schijn-veiligheidscategorie)
Voorbeelden categorie 1 (Redundantie en diversiteit)
1
11-5-2011
M A C H I N E
MTTFd op basis van B10d
Vastlassen contacten
Architectuur categorie B en 1 (EN-ISO 13849)
Op basis van 10 % uitval van een groep identieke componenten Bij schakelaars, relais, ventielen, etc. afhankelijk van het aantal keer schakelen en de daarbij optredende condities Ingang (Sensor)
Logica
Uitgang (Relais)
MTTFd = B10d x tcyclus : (0,1 x d x h x 3600)
MACHINE
tcyclus in seconden
B10d het gemiddeld aantal schakelingen waarbij een gevaarlijk falen optreed
d : dagen per jaar
1/MTTFd = 1/MTTFdS + 1/MTTFdL + 1/MTTFdU MTTFd in jaren
h : uren per dag Als i.p.v. B10d alleen B10 is gegeven neem 2 x B10
Voorbeeld Sistema Categorie 1 - PLc
Kengetallen Moellercontactors
Gemiddelde tijd tot gevaarlijk falen MTTFd van elk kanaal Benaming
Bereik
Laag
3 jaar ≤ MTTFd < 10 jaar
Gemiddeld
10 jaar ≤ MTTFd < 30 jaar
Hoog
30 jaar ≤ MTTFd < 100 jaar
Bij architectuur B en 1 volledig bepaald door de kwaliteit van de componenten in de veiligheidsketen
15
PL in relatie met DC, cat. en MTTFd PL
Categorie/architectuur keuze ISO 13849 B 1
a laag 3 tot 10 jaar gemiddeld 10 tot 30 jaar hoog 30 tot 100 jaar
b
B
10-
1
10-
c d
3
e geen geen DC inschatting
Te bewaken functie
Voeding
2
4
Architectuur categorie 2 (EN-ISO 13849)
Blokschema categorie 2
4
5
3.106
106
10-
Noodstop
Start
F1
*
P F H d
USUP St t Start (Reset) KM1 21/22
CH1
CH2
13
X3
GND
21
KM1 F2
14
22
X4
KM1
7
10-
400/230 V~ 50 Hz
Vrijgave e contacte en
Kwaliteit MTTFd
Machine veiligheid in de praktijk
Terugkoppelingscontact
M A C H I N E
Ingang (Sensor)
Logica monitoring
Test apparatuur
Uitgang (Relais) MACHINE Eventueel testresultaat
M 3~
8
* Externe verbinding niet altijd nodig
Alleen ter vergelijking EN954-1 categorieën
2
11-5-2011
Principeschema categorie 3 EN-954-1
PL in relatie met DC, cat. en MTTFd
laag 3 tot 10 jaar gemiddeld 10 tot 30 jaar hoog 30 tot 100 jaar
19
PL
a
B
b
1
c
2
d
3 4
e
10-4
3.10-6 10-6 10-7
Architectuur categorie 3 en 4 (EN-ISO 13849)
400/230 V~ 50 Hz
Noodstop
F1
Start
10-5
10-8 geen geen laag gemid. DC inschatting
Te bewaken functie
Voeding
Categorie (Architectuur keuze) B 1 2 2
P F H d
USUP KM1 21/22
CH1
21
**
CH2
13
Start (Reset) GND
KM2 21/22
KM1
X3
21 22
Vrijgavve contaccten
Kwaliteit MTTFd
KM2 22 F2
X4
14
*
KM1
M A C H I N E
KM2
Terugkoppelingscontact
I1 Sensor 1
Logica1 Kanaal 1
O1 monitoring Relais 1
onderlinge monitoring Logica 2 Kanaal 2
I2 Sensor 2
M 3~
O2 monitoring Relais 2
* Externe verbinding niet altijd nodig ** Centrale voeding voor beide kanalen
Alleen ter vergelijking EN954-1 categorieën
MACHINE
Machine veiligheid in de praktijk
Invloed mate van fout diagnose DC
Elektronische foutbewaking (diagnose)
Diagnose dekking (Diagnostic Coverage DC) Benaming Niet Laag
+24V rail
90 % ≤ DC < 99 %
Hoog
99% < DC (≤ 99,9%)
Hoofdzakelijk bepaald door de diagnose mogelijkheden in combinatie met architectuur van de veiligheidsbesturing (bijlage E)
Voorbeeld Sistema Categorie 4 - PLe
Kwaliteit MTTFd 2
3
+24Vp2
1 +24Vp1
SRP/CS
gemiddeld 10 tot 30 jaar hoog 30 tot 100 jaar
3 IN2 - rail/PE
Voorbeeld Sistema Categorie 3 - PLd
4
1 2
d
3
e
SRP/CS: safety related part of the control system (veiligheids-PLC, -relais, -etc.)
3
B
b
+24Vp2
IN2
Categorie (Architectuur keuze) B 1 2 2 3
c
IN1
IN1
PL
a laag 3 tot 10 jaar
+24Vp1
60 % ≤ DC < 90 %
Gemiddeld
1
2
Bereik 0 < DC < 60 %
PL in relatie met DC, cat. en MTTFd
Dubbele pulsen of beide 24 volt
10-4 10-5 P 3.10-6 F H 10-6 d 10-7
4
geen geen
10-8 laag gemid. laag gemid. hoog DC inschatting Alleen ter vergelijking EN954-1 categorieën
Berekeningen zijn lastig met de hand Formule voor 2 kanalen MTTFd = 2 { MTTFdC1 + MTTFdC2 1 } + 1 . 3 1 MTTFdC1 MTTFdC2
DCavg =
DC1 DC2 DCN + +…+ . MTTFd1 MTTFd2 MTTFdN . 1 + 1 +…+ 1 . MTTFd1 MTTFd2 MTTFdN
3
11-5-2011
Hoofdnorm en afgeleide normen (SIL)
Software PL Sistema (BGIA) Bibliotheken van: • Balluff • BBH products • Eaton Moeller • Elobau • Euchner • Jokab safety • Pepper + Fuchs • Riese electr electr. • Rockwell auto. • Schmersal • Sick • etc.
IEC 62061 Machinebouw
IEC 61508 SIL Safety Integrity Level
http://www.dguv.de/bgia/de/ pra/softwa/sistema/index.jsp
Etc.
Projectformulier SIL
SIL classificatie factoren
IEC 60601 Medische sector
•(Se) •(Fr) •(Pr) •(Av) •(Cl) (Cl)
Ernstgraad 1 t/m 4 Blootstelling 2 t/m 5 Waarschijnlijkheid 1 t/m 5 Gevaarsafw. 1, 3 en 5 Waarschijnlijkheid van verwonding De optelling van Fr + Pr + Av
IEC 61511 Processector
Relatie met de EN-ISO 14121-1 en IEC 61508-5
IEC 61513 Nucleaire sector
Architectuur categorie B en 1 (EN-ISO 13849)
Basis subsysteem A-type IEC 62061 λDssA = λDe1 + ....+ λDen
M A C H I N E
3 5 4 3 12 S: Ernstgraad F: Blootstelling W: Waarschijnlijkheid P: Gevaarsafwending K: Klasse (= F + W + P)
Ingang (Sensor)
Logica
Uitgang (Relais) MACHINE
1/MTTFd = 1/MTTFdS + 1/MTTFdL + 1/MTTFdU MTTFd in jaren
Subsysteem element 1 λDe1
Subsysteem Element n λDen
Output
Geen diagnose en een hardware fouttolerantie van 0 λ = 1/MTTF of λ = 0,1 x C/B10 1 >> λ x T1 : Waarbij T1 de kortste tijd is tussen proeftestintervaltijd of de levensduur
Redundantie en common cause factor
Project met subsystemen
Project met subsystemen
Input
PFHDssA = λDssA x 1h
400/230 V~ 50 Hz
Subsysteem opnemer SIL 2 PFHD = 2.10-7
Subsysteem besturing SIL 3 PFHD = 3.10-8
PFHDT = 20.10-8 + 3.10-8 + 100.10-8 = PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
Subsysteem Uitvoerorg. SIL 1 PFHD = 1.10-6
Subsysteem opnemer SIL 2 PFHD = 5.10-7
Subsysteem besturing SIL 3 PFHD = 3.10-8
PFHDT = 50.10-8 + 3.10-8 + 70.10-8 = PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1
Subsysteem Uitvoerorg. SIL 2 PFHD = 7.10-7
F1 KM1
KM2 F2
M 3~
4
11-5-2011
Common Cause Fault factor ß
Gemeenschappelijke fouten • • • • •
Vastbranden contacten in een dubbele afschakelweg Sluiting tussen twee aders EMC Over/onder temperatuur, druk, belasting, etc. Vervuilde voedingslucht, hydraulische olie, netvervuiling etc netvervuiling, etc.
Kanaal 1
Kanaal 2
Kanaal 2
λDssB =(1 – ß)2 x λDe1 x λDe2 x T1 + ß x (λDe1 + λDe2 )/2 Subsysteem element 1 λDe1
Gemeenschappelijk falen ß = 10 %
Gemeenschappelijk falen ß=1%
Bij een grote gevoeligheid voor het zelfde type fout is de kans op gelijktijdig falen in een redundant systeem groot
Basis subsysteem C-type IEC 62061
Bij een grote mate van ongevoeligheid d voor de zelfde fout is de kans op gelijktijdig falen in een redundant systeem is klein
Basis subsysteem D-type IEC 62061 λDssD =(1 – ß)2 {[λDe1 x λDe2 x (DC1 + DC2)] x T2 / 2+ [λDe1 x λDe2 x (2 – DC1 - DC2) x T1/2} + ß x(DC1 + DC2)/2
λDssC = λDe1 (1 – DC1) + …. + λDen (1 – DCn) Subsysteem element 1 λDe1
Basis subsysteem B-type IEC 62061
Kanaal 1
Subsysteem element 1 λDe1
Subsysteem element n λDen
PFHDssC = λDssC x 1h
Diagnose functie(s)
Diagnose functie(s)
Subsysteem element 2 λDe2
Diagnose en een hardware fouttolerantie van 0
Common cause falen
Subsysteem element 2 λDe2
PFHDssB = λDssB x 1h
Geen diagnose en een hardware fouttolerantie van 1 1 >> λ x T1 : Waarbij T1 de kortste tijd is tussen proeftestintervaltijd of de levensduur
Badkuipkromme Faalkans
Common cause falen PFHDssD = λDssD x 1h T1 = prooftestinterval of levensduur (20j) T2 = diagnose testinterval (C)
Tijd
Diagnose en een hardware fouttolerantie van 1
Hardware fouttolerantie / SIL Claim Limit
Safe Failure Fraction (SFF)
Proeftest interval
Gevaarlijk falen Niet gedetecteerd 4%
Faalkans
SFF = 100% x (ΣλS + ΣλDD) / Σλtotaal = 100% x (35 + 25 + 36)/ 100 = 96%
falen
Gevaarlijk falen Gedetecteerd 36 %
Tijd halfjaar
Veilig falen Gedetecteerd 35 %
Veilig falen niet gedetecteerd 25 %
falen
Gevaarlijk falen Gedetecteerd 36 %
Veilig falen Gedetecteerd 35 %
Veilig falen niet gedetecteerd 25 %
DC = 100% x ΣλDD / ΣλDtotaal = 100% x 36 / 40 = 90%
Verhouding tussen veilig en niet veilig falen SFF
< 60 %
400/230 V~ 50 Hz
Hardware fouttolerantie 0
1
2
(1 uit 1)
(2 uit 1)
(3 uit 1)
X*
SIL 1
SIL 2
KM1
KM2
60 %≤ SFF< 90%
SIL 1
SIL 2
SIL 3
90 %≤ SFF< 99%
SIL 2
SIL 3
SIL 3** (4)
≥ 99 %
SIL 3
SIL 3** (4)
SIL 3** (4)
M 3~
* Niet toegestaan behalve onder bijzondere voorwaarden ** SIL 4 is niet toegepast in de IEC 62061
5
11-5-2011
Bestaande schema’s omzetten • Vanuit een goed ontworpen veiligheidscategorie op basis van de EN 954-1 naar PL en SIL zijn in het algemeen geen of weinig problemen te verwachten immers:
IEC/TR 62061-1 Vergelijking Cat. PL en SIL Cat.4
SIL Claim Limit EN 954 categorieën Categorie op basis van de EN-ISO 13849-1: 1999 (EN 954-1)
PLe
– PL is deels gebaseerd op de architectuur van categorieën – SIL h heeft ft een b bruikbare ikb ttabellen b ll (6 en 7) voor d de omzetting
• Problemen die kunnen ontstaan bij omzetting zijn: – – – – –
Te vaak schakelen om veilig 20 jaar te halen Geen of onvoldoende redundantie aan de uitgang Geen of verkeerde terugkoppeling Te weinig diagnose Thea en Theo effect
Siemens safety evaluation tool
SIL 3 Input
Pilz Pascal tool
K1
Output
Aangenomen waarden voor de subsystemen op basis van categorie
PFHD drempelwaarden per uur
Maximale SIL Claim Limit ~(PL waarde)
HFT
SFF ≈ DC
1
0
0 % tot 60 %
Bewijs fabrikant
-
2
0
60 % - 90%
≥1 x 10-6
SIL 1 (PL c)
3
1
60 % - 90%
≥ 2 x 10-7
SIL 2 (PL d)
4
>1
60 % - 90%
≥ 3 x 10-8
SIL 3 (PL e)
1
< 90%
≥ 3 x 10-8
SIL 3 (PL e)
Opmerkingen. De PFHD drempelwaarden per uur die door de fabrikant voor het subsysteem geleverd moeten worden of zijn bepaald aan de hand van databoeken. Test en controle tijden moeten conform ISO 13849-2 bepaling 3.5 zijn. Categorie B is onvoldoende voor het bereiken van SIL 1.
Wordt het door de nieuwe normen moeilijker? • • • • • •
Ja, maar…wel leuker met meer mogelijkheden Van te voren in opdracht of bestek vastleggen waarvoor gekozen wordt (PL of SIL) Bij een ontwerp kan men zich “rijk” rekenen op basis van faalkansgegevens maar de “omstandigheden” compleet vergeten AC3/4 bedrijf etc. Controle aan de hand van het schema lastiger PL en SIL goed uitwisselbaar op basis van cijfers mogelijk maar niet op basis van architectuur. Vergt vooral in het begin de nodige studie en extra werk
Pouw Jongbloed ROVC Technische Opleidingen Voorzitter NEC 44 (elektrotechnische en besturingstechnische normen onder de Machinerichtlijn
6
