Risicoanalyse volgens de nieuwe normen

Risicoanalyse volgens de nieuwe normen

INLEIDING........................................................................................................................................................... 2 1. OVERZICHT VAN DE NORMEN:................................................................................................................ 4 1.1 DE NORM EN ISO 13849-1 (PL) ................................................................................................................... 4 1.2 DE NORM EN 62061 (SIL)............................................................................................................................. 5 1.3 2010 .............................................................................................................................................................. 5 1.4 OPBOUW VAN EEN VEILIGHEIDSFUNCTIE ....................................................................................................... 5 2. RISICOBEPALING VOLGENS DE NORM EN ISO 13849-1 (PL)............................................................ 6 2.1 METHODIEK VOLGENS EN ISO 13849-1 ....................................................................................................... 6 2.2 TE VOLGEN STAPPEN ..................................................................................................................................... 7 Stap 1: risicobeoordeling van de machine uitvoeren .................................................................................... 7 Stap 2: veiligheidsfuncties definiëren............................................................................................................ 7 Stap 3: bepalen van het vereiste Performance Level (PLr) ........................................................................... 7 Stap 4: vormgeving en technische realisatie van veiligheidsfuncties ............................................................ 9 Stap 5: bepalen van het bereikte PL en kwantitatieve beschouwing ............................................................. 9 Stap 6: Bepalen van de Performance Level................................................................................................. 15 Stap 7: verificatie ........................................................................................................................................ 15 Stap 8: valideren.......................................................................................................................................... 16 Stap 9: Documentatie .................................................................................................................................. 16 2.3 OVERZICHT VAN DE VERSCHILLENDE STAPPEN ........................................................................................... 17 3. RISICOBEPALING VOLGENS DE NORM EN 62 061 (SIL .................................................................... 18 3.1 METHODIEK VOLGENS NORM EN 62 061 (SIL) ........................................................................................... 18 3.2 RISICOBEPALING VOLGENS DE NORM EN 62 061 (SIL) ............................................................................... 19 3.3 SILR >=SIL?............................................................................................................................................... 20 4 OMZETTING VAN SIL EN PL ..................................................................................................................... 22 5 WANNEER SIL EN WANNEER PL GEBRUIKEN?.................................................................................. 22 BIJLAGEN .......................................................................................................................................................... 23

Inleiding Een uitgebreide risicobeoordeling, en zo nodig risicoreductie, zijn essentieel om de restrisico’s bij de bouw van een machine binnen toelaatbare grenzen te houden. risicobeoordeling biedt aan de ene kant de geleidelijke optimalisering van machineveiligheid en aan de andere kant ‘bewijs’ in geval van een ongeval. De documenten beschrijven de beoordelingsprincipes en de te nemen maatregelen voor het minimaliseren van gevaar. Deze documentatie legt ook de basis voor veilige bediening van de machine. De kaderrichtlijn ‘veiligheid werknemers’ vereist ook dat de machine-/installatiebeheerder personeel uitgebreid training geeft voor veilige bediening van een machine.

Dit geldt voor de machinebouwer maar wanneer de machine-/installatiebeheerder afzonderlijke machines combineert in een installatie, aanpassingen aan een machine uitvoert of de functionaliteit van een machine uitbreidt, fungeert hij zelf als machinebouwer en zal in de meeste gevallen ook de machinerichtlijn voor hem van toepassing zijn. Naleving van de machinerichtlijn kan op verschillende manieren worden bereikt: -

binnen de scope van een machineacceptatie door een geautoriseerde instantie (een ’Notified Body’) door te voldoen aan de vereisten van geharmoniseerde normen door een bewijs van veiligheid te bieden, welke gekoppeld is aan uitgebreide testen en documenten (de verklaring van vereenstemming).

Samen met dit respectievelijk bewijs van veiligheid is de CE-markering een op de machine zichtbare bevestiging van naleving van de machinerichtlijn. De CE-markering is een bindende vereiste van de EU-kaderrichtlijn ‘veiligheid werknemers’.

Binnen afzienbare tijd zal de norm EN 954-11 vervangen worden. Ter vervanging zijn er twee normen EN 62061 en de EN ISO 13498-1.

De normen hebben verschillende herkomst: de EN 62061 maakt deel uit van de norm IEC 1508 die gebruikt wordt voor veilige elektronica, -software en veiligheidsbesturingen. De EN ISO 13489-1 is de herziene opvolger van de EN 954-1. De uiteindelijke resultaten van beide nieuwe normen zijn wel onderling uitwisselbaar.

De afschaffing van deze norm zal voor de machinebouwer een totaal andere manier van denken met zich meebrengen. In tegenstelling tot de EN 954-1, die zich uitsluitend baseert op de analyse van de structuur (‘deterministische aanpak’), vereisen de nieuwe normen een analyse van de betrouwbaarheid en de uitvalwaarschijnlijkheid van de onderdelen van besturingssystemen met een veiligheidsfunctie (‘probabilistische aanpak’). In de IEC EN 61 508 en de IEC EN 62 061 weegt de probabilistische aanpak nog zwaarder door in de vorm van wiskundige waarschijnlijkheidsberekeningen en modellen dan in de norm EN ISO 13 849-1:2006

. De normalisatiecommissie van de EN ISO 13 849-1:2006 heeft echter getracht een evenwicht te vinden tussen de deterministische en de probabilistische aanpak. De veiligheidsvoorschriften en richtlijnen voor het ontwerpen en evalueren van de onderdelen van besturingssystemen met een veiligheidsfunctie werd in een praktische en uitvoerbare vorm gegoten om de “doorsneegebruikers” van de norm het leven iets te vergemakkelijken (zie onderstaande figuur ).

Achterliggende reden voor de revisie van de EN 954-1 De ware reden voor de revisie van de EN 954-1 ligt niet in het feit dat ongevallen aan en met machines te wijten zijn aan de onvolkomenheden van de EN 954-1. Wel is er vanaf het begin al veel kritiek op de EN 954-1. Zo zou de norm niet altijd eenduidig zijn, waardoor heel veel discussie ontstaan is over de praktische uitvoering ervan. De normcommissie die zich bezighoudt met de verbetering van de EN 954-1 heeft uiteindelijk geconcludeerd dat het beter was een totaal nieuwe norm te schrijven dan de huidige norm verder aan te passen. Dit heeft dus geresulteerd in de EN ISO 13 849-1:2006.

1. Overzicht van de normen:

1.1 De norm EN ISO 13849-1 (PL) EN ISO 13849-1 bevat niet alleen de kwaliteitsaanpak van EN 954-1 (architectuur / opbouwstructuur), maar geeft de veiligheidsfuncties tevens een kwantitatieve waardering voor de kans van gevaarlijke uitval. Op basis van de categorieën worden prestatieniveaus gebruikt (Performance Levels, PL). De norm kan worden toegepast op veiligheidgerelateerde onderdelen van besturingssystemen (Safety Related Part of Control Systems, SRP/CS) (bv veiligheidrelais, noodstop, contactoren, …) en op alle typen machines, onafhankelijk van de gebruikte technologie en krachtbron (elektrisch, hydraulisch, pneumatisch, mechanisch, enzovoort).

1.2 De norm EN 62061 (SIL) De norm omvat aanbevelingen voor de ontwikkeling, integratie en validatie van veiligheidrelevante elektrische, elektronische en programmeerbare besturingssystemen voor machines (Safety Related Electrical Control Systems, SRECS). (BV veiligheids PLC met sensoren als ingang, contactoren als uitgang) Ondanks dat de norm geen vereisten bevat voor de betrouwbaarheid van niet-elektrische besturingselementen met een veiligheidsfunctie machines (bijv. hydraulische, pneumatische of elektromechanische), kan de kwantitatieve berekening voor de kans van gevaarlijke uitval hiervoor toch net zo gemaakt worden als bij de EN ISO 13849-1. Opmerking: Als niet-elektrische besturingselementen met een veiligheidsfunctie via passende elektrische feedback-informatie worden bewaakt, dan kunnen voor de risicobeoordeling deze nietelektrische besturingselementen zelf bij het bepalen van de veiligheidvereisten verwaarloosd worden.

1.3 2010 De overgangsperiode van EN 954-1 naar EN ISO 13849-1 eindigt in 2009. Vanaf 1 januari 2010 mag alleen de norm EN ISO 13849-1 worden toegepast.

1.4 Opbouw van een veiligheidsfunctie Een veiligheidsbesturingssysteem bestaat meestal uit meerdere onderleden: detecting, evaluating en reacting. Hiervoor vinden volgende naamgeving in de normen terug: SRP/CS:

Safety-related parts of control systems

Veiligheidgerelateerde onderdelen van besturingssysteem EN ISO13849-1 SRECS:

safety-related electrical, electronic and programmable electronic control systems)

Veiligheidgerelateerde elektrisch besturingssysteem volgens EN 62061

2. Risicobepaling volgens de norm EN ISO 13849-1 (PL) 2.1 Methodiek volgens EN ISO 13849-1

Samengevoegde en vereenvoudigde procedure: 1. Beoordeling van het PL/SIL van elk subsysteem of SRP/CS en afleiding van ‘deelresultaten’: Twee mogelijkheden: a. Gebruik van gecertificeerde componenten (veiligheidscomponenten) met gegevens van de fabrikant (bijvoorbeeld SIL CL, PFH of PL) b. Op basis van de geselecteerde architectuur (met een of twee kanalen) worden de uitvalkansen van de elementen of componenten van het subsysteem berekend. Vervolgens kan de uitvalwaarschijnlijkheid van het subsysteem of SRP/CS worden bepaald. 2. De deelresultaten voor de structurele vereisten (SIL CL of PL) moeten worden beoordeeld en de waarschijnlijkheid van willekeurige hardwarestoringen (“Probability of Failure per Hour, PFH) moet hierbij worden opgeteld.

2.2 Te volgen stappen Stap 1: risicobeoordeling van de machine uitvoeren Vooraleer aan het stappenplan van de norm ISO 13849-1 te beginnen, wordt een risicobeoordeling, volgens de norm EN 1050, uitgevoerd om te zien of aan de machine wel degelijk veiligheidsfuncties toegevoegd dienen te worden.

Stap 2: veiligheidsfuncties definiëren De eerste stap bestaat uit het vastleggen van de vereiste eigenschappen voor alle veiligheidsfuncties. Deze stap is de belangrijkste en soms ook de moeilijkste stap. In deze stap worden buiten de collectieve beschermingsmaatregelen ook de veiligheidsfuncties, zoals stopen startfuncties en noodstoppen, beschreven. De noodstopvoorziening moet voldoen aan de eisen uit de Europese norm EN 418. Opmerking: de noodstopvoorziening mag niet worden gebruikt als alternatief voor afdoende veiligheidsmaatregelen en evenmin als alternatief voor automatische beveiligingen. Wel mag deze voorziening worden gebruikt als ondersteunende veiligheidsvoorziening.

Stap 3: bepalen van het vereiste Performance Level (PLr) Van elk veiligheidsrelevant besturingssysteem moet het Performance Level worden bepaald. Het niveau van deze Performance Level wordt aangegeven met een letter a, b, c, d of e. Dit wordt het “required performance level” (PLr ) ofwel het “vereiste PL” genoemd. Nieuwe risicograaf De EN ISO 13 849-1: 2006 maakt nog altijd gebruik van het diagram voor het selecteren van de categorieën, de ‘risicograaf’. Als eindresultaat moet men echter niet langer een categorie toekennen, zoals bij de EN 954-1, maar een “Performance Level” (PL) van “a” (laag) tot “e” (hoog). Het PL vertegenwoordigt het vermogen van een SRP/CS om een veiligheidsfunctie uit te voeren, zodat de verwachte risicovermindering bereikt wordt. Volgende parameters dienen we in te vullen in de risicograaf: - S: mate van verwonding S1 = licht (normaal omkeerbare) verwonding S2 = zware (normaal onomkeerbare) verwonding, inclusief dood. -

F: de frequentie en/of blootstellingtijd aan gevaar F1 = zelden tot minder vaak en/of korte duur van de expansie F2 = veelvuldig tot continu en/of lange duur van de expansie

-

P: de mogelijkheid tot het afwenden van het gevaar (dit is onder andere afhankelijk van de snelheid en frequentie waarmee het gevaar brengende deel beweegt en de afstand tot de gevaarlijke zone) P1 = mogelijk onder bepaalde omstandigheden P2 = nauwelijks mogelijk

De individuele risicoparameters S (ernst van de verwonding), F (frequentie en/of duur van blootstelling aan het gevaar) en P (mogelijkheid tot gevaarafwending) van EN ISO 13 849-1: 2006 blijven ongewijzigd ten opzichte van EN 954-1.

Toepassing van de norm De ontwerper moet alle veiligheidsfuncties die vereist zijn voor het uitvoeren van de veiligheidsmaatregelen van het besturingssysteem voor de toepassing beoordelen en analyseren, bijvoorbeeld stilzetten in noodgeval (noodstop), het vergrendelen van beweegbare veiligheidsvoorzieningen, enz. Voor iedere geselecteerde veiligheidsfunctie moet een vereist Performance Level PLr (“r“ = “required”) bepaald en gedocumenteerd worden.

Stap 4: vormgeving en technische realisatie van veiligheidsfuncties De onder stap 1 beschreven veiligheidsfunctie wordt in deze fase besturingstechnisch gerealiseerd: Opstellen elektrische schema’s en keuze materialen.

Stap 5: bepalen van het bereikte PL en kwantitatieve beschouwing Dit doen we aan de hand van een vereenvoudigde methode en onderstaande grafiek

Voorbeeld: We bekomen een Performance Level “d“ voor een structuur volgens categorie 2, met MTTFd “hoog“ en DC “gemiddeld”. Vanaf categorie 2 moeten de CCF altijd in de beoordeling opgenomen worden. Voor het bepalen van het bereikte PL wordt de veiligheidsfunctie onderverdeeld in de deelsystemen: sensoren, logica en actuatoren. Elk van deze deelsystemen levert een bijdrage aan de veiligheidsfunctie. De subsystemen worden in de norm ISO 13849-1 Safety Related Part of a Control System (SRP/CS) genoemd. Aangezien het vereiste PLr gekend is, zal men de volgende beslissingen moeten nemen ten behoeve van de componenten van het systeem: - Volgens welke structuur (categorie) moet het systeem worden opgebouwd? - Welke MTTFd heeft het systeem? - B10d waarde voor slijtagegevoelige componenten - Welke Diagnostic Coverage (DC) heeft het systeem? - Welke gemeenschappelijke fouten (CCF common cause failure) worden geaccepteerd?

1 Structuur (categorie) De architectuur van een systeem heeft te maken met het fysieke uiterlijk van het systeem. Simpel gezegd kan het gehele systeem dubbel (redundant) of enkel zijn. Het doel van het verdubbelen van een systeem, is het verhogen van de betrouwbaarheid (met betrekking tot het

veilig uitschakelen), zodat op het moment dat het systeem nodig is de gevraagde functie ook daadwerkelijk vervuld wordt. In verband met de categorieën kan gesteld worden dat de veiligheidscategorieën B, 1 en 2 enkelpolig zijn uitgevoerd. De categorieën 3 en 4 zijn redundant uitgevoerd.

2 MTTFd waarden MTTFd is een statistische gemiddelde waarde die de verwachte werkduur zonder gevaarlijke fout of storing in jaren uitdrukt (= MTTFd, Mean Time To Dangerous Failure). MTTF is een statistische gemiddelde waarde die de verwachte werkduur zonder fout of storing in jaren uitdrukt (= MTTF, Mean Time To Failure). MTBF is een statistische gemiddelde waarde die de verwachte werkduur tussen 2 fouten of storingen in jaren uitdrukt (= MTBF, Mean Time Between Failure). PFHd is de waarschijnlijkheid van gevaarlijke uitval per uur (Probality of Dangerous Failure per Hour) Na het verstrijken van de MTTF of MTTFd, is een (gevaarlijke) fout opgetreden aan 63% van alle eenheden of, anders gezegd: de overlevingswaarschijnlijkheid van de betroffen eenheden na het verstrijken van de MTTF of MTTFd bedraagt nog slechts 37%. Opgelet: Het betreft hier elektronische componenten, deze zijn niet slijtagegevoelig. Bij het berekenen van de MTTFd waarden in het kader van de EN ISO 13 849-1: 2006, moet men er rekening mee houden dat SRP/CS altijd een zeker percentage restrisico’s inhouden, die de veiligheidsfunctie kunnen beïnvloeden (namelijk de waarschijnlijkheid van toevallige gevaarlijke fouten). Het komt er dus op aan deze restrisico’s te beheersen en tot een aanvaardbaar niveau terug te dringen. Een schakelcontact kan bijvoorbeeld niet openen of sluiten. Gewoonlijk veroorzaakt deze toestand in de machinebesturing een gevaarlijke situatie bij gebrek aan een gepast redundant systeem of een geschikte bewaking. Alle contacten zijn echter niet hetzelfde: er bestaan kwaliteitsverschillen op het gebied van hun ontwerp, het gebruikte materiaal, enz. In onderstaande figuur is de betekenis van MTTFd schematisch weergegeven. De snijding op 63% geeft de onderverdeling van 3, 10, 30 en 100jaar

MTTF moet > 20 jaar aangezien dit de verwachte levensduur van een machine is. kans op fouten (gevaar)

Nieuwe investering

Tijdens ontwerp en testen

Toelaatbaar risico

tijd

Lifetime 20j

OPGELET! Slijtagegevoelige componenten hebben een verschillende levensduur en worden uitgesloten uit deze veronderstelling van exponentiële verdeling, die typisch is voor elektrische componenten. De EN ISO 13 849-1: 2006 houdt rekening met dit soort componenten via de uitkomst van de berekening van de B10d waarde. De gebruikers van EN ISO 13 849-1: 2006 die gebruiksklare veiligheidscomponenten kopen bij firma’s (zoals de Schmersal Groep, Sick, Pils, Siemens) zullen zich voortaan in een bevoorrechte positie bevinden. Het is immers logisch dat alle bekende fabrikanten van veiligheidscomponenten op de situatie zullen inspelen en zo snel mogelijk de volgens de EN ISO 13 849-1: 2006 vereiste waarden in hun productspecificaties zullen opnemen Deze waarden moeten eveneens meegedeeld worden voor componenten, apparaten en systemen die volgens de Europese Machinerichtlijn strikt genomen geen veiligheidscomponenten, maar eerder “dual use” producten zijn, dit wil zeggen componenten en toestellen voor dubbel gebruik, dus voor veiligheidsgerichte en “gewone” toepassingen zoals contactoren. Deze worden bij een noodstop gebruikt voor het uitschakelen van de installatie (veiligheid) maar kunnen ook voor starten en stoppen van motoren gebruikt worden

Indien een kanaal van een veiligheidskring bestaat uit meerder componenten dienen we a.h.v. de MTTFd waarde van de afzonderlijke componenten de MTTFd waarde te berekenen van het bijbehorende kanaal. In onderstaande voorbeeldberekening bestaat het kanaal uit 5 componenten die één of meermaals voorkomen. De formules voor de berekening vallen buiten het bestek van deze cursus.

Als de uitkomst van de MTTFd voor een kanaal van een SRP/CS > 100 jaar wordt het getal boven 100 buiten beschouwing gelaten, omdat de maximale MTTFd waarde van een kanaal van een SRP/CS beperkt is tot 100 jaar (dit in tegenstelling tot een afzonderlijke (veiligheids)component, die een hogere score kan hebben). Door deze limiet op 100 jaar vast te stellen wil het normalisatiecomité een te rooskleurige voorstelling van de MTTFd waarden vermijden om zo tot een hoger Performance Level te komen. Deze procedure verhindert eveneens het gebruik van berekeningsmethodes, waardoor uiteindelijk het gebruik van 1 kanalige structuren toegelaten is, als de toepassing in feite 2-kanalige structuren vereist.

3 B10d waarden Bij het berekenen van de MTTFd waarde voor slijtagegevoelige (mechanische, elektromechanische) componenten moet een tussengrootte, de zogeheten B10d waarde, gebruikt worden. Deze stemt min of meer overeen met het aantal schakelingen waarvoor de veiligheidsgerichte functie, volgens de Weibull benadering, als aanvaardbaar beschouwd wordt. De B10d waarde wordt omgezet in een MTTFd waarde met inachtneming van de toepassingsvoorwaarden, namelijk de levensduur en de gemiddelde belastingsgraad van de veiligheidsfunctie van de betroffen component. Daarnaast vermeldt EN ISO 13 849-1:2006 aanbevolen B10d waarden voor typische slijtagegevoelige componenten, die de ontwerper van de SRP/CS kan gebruiken bij gebrek aan specificaties van de fabrikant. Hierbij houdt de norm (bijvoorbeeld voor contactgevers en relais) rekening met de belasting van de component. ‘Belasting’ moet hier niet uitsluitend in de elektrische betekenis gezien worden; de omgevingsvoorwaarden en de bedrijfsomstandigheden moeten in hun geheel bekeken worden.

T10d waarden EN ISO 13849-1 voorziet dat uit de berekende B10d waarde vervolgens een T10d waarde afgeleid wordt. Deze stemt overeen met 10% van de berekende MTTFd waarde. In dit verband wordt dan ook aanbevolen de veiligheidsgerichte componenten te vervangen zodra zij hun T10d waarde bereiken.

4 Diagnostic Coverage Fouten die mogelijk in een systeem optreden, kunnen leiden tot het falen van dit systeem. Door middel van door het systeem uitgevoerde zelftests, kunnen fouten ontdekt worden en kan de kans op falen kleiner worden gemaakt. Het aantal fouten dat kan worden ontdekt door het systeem zelf, wordt aangegeven met de term ‘Diagnostic Coverage’. Vanuit veiligheidstechnisch standpunt is het onderwerp “foutdetectie” van groot belang om de accumulatie of opeenstapeling van fouten te vermijden, d.w.z. vermijden dat een tweede fout aan de eerste fout, die in de SRP/CS niet gedetecteerd werd, toegevoegd wordt, waardoor de veiligheidsfunctie verloren gaat. In de zin van de vereenvoudiging verdeelt de EN ISO 13 849-1: 2006 de kwaliteit van de foutendekking of de Diagnostic Coverage DC in verschillende niveaus: none (geen), low (laag), medium (gemiddeld) en high (hoog) – zie figuur . Bijlage E van EN ISO 13 849-1:2006 biedt een extra vereenvoudiging.

Bijlage E: EN ISO 13 849-1:2006

De berekende gemiddelde DC, DCavg, vertegenwoordigt de kwaliteit van de Diagnostic Coverage of de foutdetectie van alle SRP/CS die de veiligheidsfunctie uitvoeren.

5 CCF Common Cause Failures Maatregelen ter voorkoming van fouten met een gemeenschappelijke oorzaak (CCF) Naast de Designated architectures, de MTTFd (ev B10d ) waarde en de DC bepaalt nog een vierde (vijfde ) parameter het Performance Level PL, namelijk de fouten met een gemeenschappelijke oorzaak (Common Cause Failures – CCF). De beoordeling van de invloed van CCF is alleen vereist voor 2-kanalige structuren vanaf categorie 2, omdat EN ISO 13 849-1 alleen rekening houdt met de maatregelen ter voorkoming van fouten met een gemeenschappelijke oorzaak van een SRP/CS. Dit soort fouten kan tot een kritieke veiligheidstoestand van beide kanalen tegelijk leiden. Een voorbeeld: een blikseminslag op de redundante halfgeleideruitgangen (overspanning of “surge” effect) berooft beide kanalen tegelijk van hun in- of uitschakelvermogen.

Er moet aan minimaal 65 punten voldaan zijn om het gewenste PL te bereiken.

Stap 6: Bepalen van de Performance Level Via de bekomen MTTFd-waarde, de DC-waarde en de vastgestelde structuur (categorie) kan de bekomen Performance Level uit de grafiek worden afgelezen. Dit werkt als volgt. De categorie van de beveiligingsfunctie wordt gekozen. Daarna wordt via de tabellen van MTTFd en DC bepaald wat de kwalificatie van deze factoren is.(geen/ hoog /laag …). Onder aan de grafiek staan de verschillende combinaties van categorie en DC. De verschillende arceringen van de staven geven de mogelijke kwalificaties van MTTFd aan. Als al deze parameters zijn ingevuld kan je op de linkse kant de gehaalde Performance Level aflezen.

Stap 7: verificatie Verschillende componenten vormen samen één veiligheidssysteem. Er moet gecontroleerd worden of het geheel voldoet aan de vereiste PLr. Het bereikte PL moet minstens gelijk zijn aan het, op basis van de risicobeoordeling, vereiste PLr. Wanneer het gewenste niveau (PLr) behaald is, mag het systeem worden geïmplementeerd. Wanneer het behaalde niveau te laag is, zal het systeem opnieuw ontworpen moeten worden. Dit kan betekenen dat er andere, meer betrouwbare componenten worden ingezet of dat de structuur van het veiligheidssysteem wordt gewijzigd.

PL>= PLr

Stap 8: valideren Behalve de kwantitatieve eisen die gesteld worden aan de vormgeving van veiligheidssystemen is het belangrijk ook systematische fouten te vermijden. Indien aan alle eisen wordt voldaan mag het veiligheidssysteem worden geïmplementeerd. De validatie is bedoeld om te controleren of het veiligheidssysteem (SRECS) voldoet aan de vereisten die door de ‘specificatie van de veiligheidsgerelateerde besturingsfunctie’ (SRCF) zijn gedefinieerd. Het veiligheidsplan dient als de basis voor die validatie. De volgende validatieprocedure moet worden gevolgd: - Verantwoordelijkheden definiëren en documenteren - Het documenteren van alle tests - Validatie van elke SRCF op basis van tests en/of analyses - Validatie van de systematische veiligheidsintegriteit van de SRECS

Stap 9: Documentatie De documentatie is een basisonderdeel van de beoordelingsprocedure in het geval van een ongeval. De inhoud van de documentatielijst is opgegeven in de machinerichtlijn en wordt het Technisch Constructie Dossier (TCD) genoemd. Dit omvat de volgende documenten: - Risicoanalyse - Risicobeoordeling - Specificatie van veiligheidsfuncties - Hardwarecomponenten, certificaten, enzovoort - Bedradingschema’s - Testresultaten - Softwaredocumentatie, inclusief handtekeningen, certificaten, enzovoort - Informatie over gebruik, inclusief veiligheidsinstructies en beperkingen voor de operator

2.3 Overzicht van de verschillende stappen

3. Risicobepaling volgens de norm EN 62 061 (SIL 3.1 Methodiek volgens norm EN 62 061 (SIL)

We bepalen het SIL level van ieder subsysteem, vervolgens bepalen we het veiligheidsniveau van de veiligheidsfunctie

3.2 Risicobepaling volgens de norm EN 62 061 (SIL) Bepalen van SILr a.d.h. van een risicograaf.

3.3 SILr >=SIL? 1 “Subsysteem Detecting” – sensoren De fabrikant levert de vereiste waarden (SIL CL en PFH) voor gecertificeerde componenten (SIL CL is de SIL-“Claim”: de maximaal haalbare SIL-limiet voor desbetreffend component). Bij het gebruik van elektromechanische componenten voor systemen die door de gebruiker zijn samengesteld, kunnen de waarden van SIL CL en PFH als volgt worden bepaald: Bepaling van SIL CL SIL CL 3 kan voor het voorbeeld worden aangenomen aangezien de gebruikte architectuur voldoet aan categorie 4 volgens EN 954-1 en de juiste diagnose beschikbaar is. Berekening van de uitvalkansen (λ) van de ‘eindschakelaars’ van de subsysteem-elementen Op basis van de B10-waarde en de schakelcycli C kan de uitvalkans l van een elektromechanisch component worden berekend met een formule uit deel 6.7.8.2.1 van EN 62061:

l = 0,1 x C / B10 = 0,1 x 1/10.000.000 = 10-8 C = schakelcyclus per uur, opgegeven door de gebruiker (hier 1 keer per uur) B10-waarde = opgegeven door de fabrikant (voor een eindschakelaar, B10-waarde = 10.000.000 zie bijlage) De uitvalkans is opgebouwd uit veilig (λs) deel en een gevaarlijke (λD) deel:

λ = λs+λD λD = λ x deel van storingen met gevaar in % (opgegeven door fabrikant, hier 20% zie bijlage) = 10-8 x 0,2 = 2 10-9 Berekening van de waarschijnlijkheid van gevaarlijke uitval per uur (“Probality of Dangerous Failure per Hour”, PFHD) in overeenstemming met de gebruikte architectuur De norm EN 62061 definieert vier architecturen voor subsystemen (basissubsysteem architecturen A t/m D). De norm bevat voor elke architectuur berekeningsformules voor het bepalen van de uitvalwaarschijnlijkheid (PFH). Voor een 2-kanaals subsysteem met diagnose (basissubsysteem architectuur D) met identieke elementen (en identieke diagnosewaarden DC), kan de uitvalkans voorgevaarlijke uitval voor de afzonderlijke subsystemen (lD) als volgt worden afgeleid:

λD = (1 – λ)2 x {[λDe ² *DC * T2] + [λDe²x (1 - DC) x T1]} + λ x λDe, = ≈ 2 10-10 PFHD = λD x 1 h ≈ 2 10-10 λDe = uitvalkans voor gevaarlijke uitval voor een subsysteemelement Voor de berekening in dit voorbeeld wordt het volgende aangenomen:

β = 0,1

CCF-factor; uitval door gemeenschappelijke oorzaak bij dit 2-kanaals subsysteem (voorzichtige aanname als maximumwaarde van norm) DC = 0,99 Diagnosedekking; via discrepantie- en kortsluitingbewaking T2 = 1/C Testinterval “Proof Test”; via verwerking in het veiligheidsprogramma. T2 is omgekeerd evenredig met het aantal schakelcycli (C) per uur T1 = 87.600 uur (10 jaar) Levensduur van het component 2 “Subsysteem Evaluating” – besturingsunit: De fabrikant levert voor gecertificeerde componenten (veiligheidscomponenten) de vereiste waarden:

Voorbeeldwaarden:

SIL CL = SIL 3 PFHD = < 10-9

3 “Subsysteem Reacting” – actuatoren: De fabrikant levert de vereiste waarden voor gecertificeerde componenten.

Voorbeeldwaarden:

SIL CL = SIL 2 PFHD = 1,29 10-7

Als het ‘Subsysteem Reacting’ door de gebruiker is samengesteld, wordt dezelfde procedure toegepast als bij het ‘Subsysteem Detecting’.

Bepaling van het veiligheidsniveau (Safety Integrity) van de veiligheidsfunctie De minimum SIL-limiet (SIL CL) van alle subsystemen van de veiligheidsgerelateerde besturingsfunctie (SRCF) moet worden bepaald:

SIL CL Min = Minimum (SIL CL (subsysteem 1) …..SIL CL (subsysteem n)) = SIL CL 2 Totale waarschijnlijkheid van willekeurige hardwarestoringen (PFH) van de subsystemen PFHD = PFHD (subsysteem 1) + … + PFHD (subsysteem n) = 1,30 10-7 = <10-6 , dit komt overeen met SIL 2 Resultaat: de veiligheidsfunctie voldoet aan de vereisten van SIL 2

4 Omzetting van SIL en PL Zoals al is getoond, kan de veiligheidsfunctie op twee verschillende manieren worden beoordeeld. SIL en PL kunnen worden vergeleken op basis van de waarschijnlijkheid van gevaarlijke uitval door willekeurige hardwarestoringen. In onderstaande tabel is beschreven hoe SIL en PL zich verhouden ten opzichte van deze uitvalwaarschijnlijk.

5 Wanneer SIL en wanneer PL gebruiken? U bent als machinebouwer / installatiebeheerder vrij in de keuze welke van de twee normen EN 62061 en EN ISO 13849-1 te gebruiken voor uw beoordelingsmethode van de functionele veiligheid van uw machine en installatie. Feit is wel dat de beoordelingsmethode volgens EN62061 minder beperkingen heeft en een nauwkeuriger resultaat biedt. Dit verschil kan al merkbaar worden in de veiligheidsintegriteitberekening, als de opbouw van de veiligheidsfunctie meer dan 3 sub-systemen bevat.

BIJLAGEN