Functionele veiligheid

Functionele veiligheid EN ISO 13849-1 Auteur: Dirk Van Mechelen Versie: 2010

Wat doet Prosave?

Ingenieursbureau voor technische veiligheid en preventie. Begeleiding, opleiding en expertise.

[email protected]

2

Agenda

• Inleidende begrippen in verband met functionele veiligheid • Beschrijving categorieën EN 954-1 • Performance level berekenen volgens EN ISO 13849-1 • Stuurkringen ontwerpen volgens EN ISO 13849-1 • Toelichting van Sistema software.

3

Inleiding

•

De bestaande norm EN954-1 betreffende stuurkringen van machines zal nog slechts geharmoniseerd zijn tot het einde van 2011.

•

De twee nieuwe normen, EN ISO 13849-1 en EN IEC 62061, hebben een andere benadering om stuurkringen van machines met een veiligheidsfunctie te ontwerpen en implementeren.

•

Daar waar EN 954-1 de zaken eerder deterministisch benadert, zullen zijn opvolgers een eerder probabilistische koers gaan varen.

4

Inleiding

Veiligheidsfunctie Functie van een machine waarvan een storing kan leiden tot een onmiddellijke toename van het (de) risico(s). (uit EN ISO12100-1) Voorbeelden: starten, stoppen, noodstop, hekbewaking, lichtscherm,

tweehandenbediening

Besturingssysteem met een veiligheidsfunctie Deel of onderdeel van een besturingssysteem dat reageert op ingangssignalen en dat uitgangssignalen met een veiligheidsfunctie genereert.

5

Voorbeelden Standaard immateriële beveiligingen

lichtscherm

scanner

fotocellen 6

De Europese Richtlijn "Machines”: Structuur Artikel 1 Artikel 2 Artikel 5 Artikel 7 Artikel 12 Artikel 13 Artikel 16

Toepassingsgebied Definities In de handel brengen en in bedrijf stellen Vermoeden van overeenstemming en geharmoniseerde normen Procedures voor de overeenstemmingsbeoordeling van machines Procedure voor niet voltooide machines CE-markering

Bijlage I

Essentiële veiligheids- en gezondheidseisen betreffende het ontwerp en de bouw van machines

Bijlage II Bijlage III Bijlage IV Bijlage V Bijlage VI Bijlage VII Bijlage IX Bijlage X

Verklaringen van overeenstemming CE-markering Potentiëel gevaarlijke machines Lijst van veiligheidscomponenten Montagehandleiding voor niet voltooide machines Technisch dossier & technische documenten voor niet voltooide machines EG type onderzoek Volledige kwaliteitsborging

7

Structuur van bijlage I

Algemene beginselen 1. Essentiële veiligheids- en gezondheidseisen 1.1. Algemeen 1.2. Besturingssystemen 1.3. Beveiliging tegen mechanische gevaren 1.4. Vereiste kenmerken van de afschermingen en beveiligingsinrichtingen 1.5. Risico’s ingevolge andere gevaren 1.6. Onderhoud 1.7. Informatie 2. Aanvullende veiligheidseisen voor bepaalde categorieën machines 2.1. Machines voor voedingsnijverheid en cosmetica, pharmacie 2.2. Met de hand vastgehouden en/of geleide draagbare machines 2.3. Machines voor de bewerking van hout en vergelijkbare materialen 3. Aanvullende eisen ivm de risico's te wijten aan de mobiliteit van machines 4. Aanvullende eisen ivm risico's te wijten aan hijs- en hefverrichtingen 5. Machines uitsluitend bestemd voor ondergrondse werkzaamheden 6. Aanvullende eisen ivm gevaren verbonden aan het heffen van personen

8

MRL: Bijlage I: Fundamentele Veiligheids- en gezondheidseisen

1.2. Besturingssystemen

• 1.2.1. Veiligheid en betrouwbaarheid van de besturingssystemen • 1.2.2. Bedieningsorganen • 1.2.3. In werking stellen • 1.2.4. Stopinrichtingen • • • •

Normale stopzetting Operationele stop Noodstop Complexe machines

• 1.2.5. Keuze van de bedienings- of bedrijfsmodus • 1.2.6. Defecten in de energievoorziening 9

Geharmoniseerde normen: gebruik

•

Richtlijn van « Nieuwe aanpak », geeft slechts doelstellingen, wel verplichtend!

•

Normen vullen deze doelstellingen technisch in.

 Niet verplichtend, wel aangeraden. Kwaliteitsgericht.  Geharmoniseerde norm geeft vermoeden van conformiteit

•

Ontwikkeld door CEN/CENELEC in opdracht van de Europese Commissie

10

Normen in verband met stuurkringen

EN 954-1: 1996 Safety of machinery - Safety related parts of control systems - Part 1 : General principles for design. (Geharmoniseerd tot 30-11-2011) EN 954-2 - Part 2 : Validation EN ISO 13849-1: 2006 Safety of machinery - Safety related parts of control systems - Part 1 : General principles for design . (Geharmoniseerd vanaf 8-05-2007) EN ISO 13849-2 - Part 2 : 2003 Validation (Geharmoniseerd vanaf 20-4-2004) EN IEC 62061: 2005 Safety of machinery - Functional safety of safety-related electrical, electronic and programmable control systems (Geharmoniseerd vanaf 31-12-2005)

EN 60204-1 Safety of machinery - Electrical equipment of industrial machines - Part 1 : General requirements (Geharmoniseerd) ISO/CD 14119 Safety of machinery — Interlocking devices associated with guards — Principles for design and selection (EN 1088) (werkdocument)

11

Verband tussen andere relevante normen

Fig 1 uit IEC 62061

EN954-1: Algemeen • Type B-norm, geldig voor alle machines (veiligheidsaspect) • Wordt naar verwezen door product normen (C-norm) • Niet technologie gebonden (elektrisch, mechanisch, pneumatischn hydraulisch) • Definiëert 5 categorieën • Categorieën hebben klassificatie naar hun functie om fouten te weerstaan, gebaseerd op basis van betrouwbaarheid en/of architectuur van de onderdelen • Houdt geen rekening met mogelijk falen van deze onderdelen gedurende hun “life cycle” => nieuwe benadering in EN ISO 13849-1 en EN IEC 62061. 13

EN954-1: Beveiligingscategorieën 5 categorieën: B: basis 1: gebruik van veiligheidsbeproefde componenten en systemen 2: periodische controle van de veiligheidsfunctie 3: een enkele fout leidt niet tot het verlies van de veiligheidsfunctie, en de enkele fout moet in de mate van het mogelijke worden gedetecteerd 4: een enkele fout leidt niet tot het verlies van de veiligheidsfunctie, en de enkele fout wordt gedetecteerd voor volgende behoefte

14

Categorie B (Basis) Besturingssystemen zijn gebouwd volgens geldende normen in functie van de te verwachten uitwendige invloeden.

• Er is mogelijk verlies van de veiligheidsfunctie • Niet geschikt voor veiligheidstoepassingen.

15

EN954-1: Categorie B Electronisch

Werking: - bewegingen worden gestuurd door eenkanalige logica als een functie van sensoren - De veilige werking vervalt bij ieder falen van een component. - Veiligheid = f(componenten) - Er is geen foutdetectie Well tried principle : - De reactie wordt terug ingelezen en in geval van twijfel wordt stilstand uitgevoerd - Bestemd tegen industriele omgevingen

16

Categorie 1 Idem als categorie B, maar mits gebruik te maken van beproefde componenten en veiligheidsprincipes. bv. dwangmatig openende contacten, gesloten kring.

• Geeft een grotere bedrijfszekerheid maar er is mogelijks verlies van de veiligheidsfunctie. • Mag gebruikt voor veiligheidstoepassingen

17

EN954-1: Categorie 1 Electro mechanisch

Werking: - Gevaarlijke beweging gestopt met noodstopdrukker - Noodstop onderbreekt K1 Well tried principle : - Gesloten keten - Noostop en O gedwongen aktie - Aarding - K1 is een “well tried” component

18

Categorie 2

Als categorie B,+ beproefde veiligheidsprincipes maar met periodische controle door het besturingssysteem, besturingssysteem automatisch of manueel opgestart

• Een fout wordt gedetecteerd bij iedere test. • Tussen twee tests is de veiligheidsfunctie niet gewaarborgd.

19

EN954-1: Categorie 2 Electronisch

Werking : - Bewegingen gestuurd in functie van de signaalgever - testen van de veiligheids functies bij opstart en tijdens werking. Well tried principle : - tweede onafhankelijk pad om te stoppen

Ventilatie van een drukpers om explosiegevoelige atmospheer te vermijden - In ventilatiekanaal een onderdrukmeting plaatsen - Bij opstart motor ON-OFF-ON en onderdruk inlezen 20

Categorie 3

Als categorie B, + beproefde veiligheidsprincipes. Eén enkele fout leidt niet tot verlies veiligheidsfunctie. Indien mogelijk wordt een enkelvoudige fout gedetecteerd.

• Meervoudig, niet gedetecteerde fouten leiden tot verlies van veiligheidsfunctie

21

EN954-1: Categorie 3 Electro mechanisch

Werking: - combinatie van NO en NC contacten - Start na hek open-dicht Well tried principle : - niet fraudeerbaar (S2) - 1 fout, blijft werken - meeste fouten worden gedetecteerd - K1 en K2 met mechanisch gelinkte contacten - draden naar de schakelaars zijn gescheiden

22

EN954-1: Categorie 3 Electro mechanisch

Werking: - combinatie van NO en NC - falen van S1 en S2 opgemenkt in de PLC - fouten in K1 en PLC worden niet opgemerkt Well tried principle : - S1 met positieve aktie (EN1088) - draden van de eindeloop schakelaars zijn afzonderlijk of beschermd.

23

Categorie 4 Als categorie B, + beproefde veiligheidsprincipes. Eén enkele fout leidt niet tot verlies veiligheidsfunctie en de enkelvoudige fout wordt gedetecteerd voor of tijdens het volgend gebruik van de veiligheidsfunctie.

• Meervoudige fouten leiden niet tot verlies van de veiligheidsfunctie

24

EN954-1: Categorie 4 Electro mechanisch

HEKBEWAKING 25

EN954-1: Categorie 4 Electronisch

Werking: twee onafhankelijke kanalen, foutdetectie door vergelijking v/d twee kanalen Well tried principles: diodes om de ingangen te ontkoppelen 26

EN ISO 13849-1 Safety of machinery - Safety-related parts of control systems-Part 1: General principles for design

27

EN ISO 13849-1

EN ISO 13849-1: 2006 Safety of machinery — Safety-related parts of control systems Part 1: General principles for design Part 2: Validation Part 100: Guidelines for the use and application of ISO 13849-1 [Technical Report] Part 1 geeft vermoeden van overeenstemming met EVGE 1.2.1 (betrouwbaarheid)

28

EN ISO 13849-1: definities

Safety-related parts of control systems (SRP/CS) : •Delen van de machine automatisering (control system) die bestemd zijn om veiligheidsfuncties uit te voeren.

Performance levels (PL): • Duidt de mogelijkheid om de veiligheidsfunctie onder voorzienbare omstandigheden te vervullen aan. • Is verdeeld in vijf niveaus, welke gekenmerkt worden door een kans op gevaarlijk falen per uur. (probability of dangerous failure per hour, PFHD).

Nota: het gebruik van programmatuur bij de implementatie van veiligheidsfuncties wordt niet toegelicht in deze korte presentatie.

29

EN ISO 13849-1: Performance Levels (PL) Performance level (PL) is een discreet niveau, gedefinieerd in kans op gevaarlijk falen per uur. Er zijn 5 niveaus bepaald (PLa tot PLe) met gedefinieerde bereiken van kans op gevaarlijk falen per uur.

30

EN ISO 13849-1

31

EN ISO 13849-1 De kans op een gevaarlijk falen wordt bepaald door: • Diagnostic Coverage (DC) (mechanisme van foutdetectie) • Mean Time To dangerous Failure (MTTFd) (betrouwbaarheid van componenten) •Common Cause Failure (CCF) (fout van meer dan 1 component met gezamelijk oorzaak)

Om het behaalde PL niveau te evalueren wordt een methode voorgesteld die gebaseerd is op de definitie van vijf architecturen. Deze worden worden “Categories B, 1, 2, 3 and 4” genoemd.

32

EN ISO 13849-1 Het PL en de categorieën kunnen worden toegepast op:

:

• SRP/CS zoals

Beschermende voorzieningen (vb. Tweehanden bediening of blokkeerinrichting), ESPD zoals lichtschermen, drukmatten, etc. • Besturingseenheid (vb. veiligheidsrelais, data processor, etc. ), en • Vermogen besturingselementen (vb. contactor, hydraulische kleppen, etc). •

•maar ook op besturingssystemen met een veiligheidsfuntie voor allerhande machines (vb. Inpakinstallatie, drukpers, plooibank).

33

Ontwerp van SRP/CS Een typische veiligheidsfunctie bestaat uit: Ingangen,

sensors Logische verwerkingseenheid (vb. PLC) Uitgangen, actuatoren Verbindingen, bedrading

34

Ontwerp van SRP/CS Na identificatie van de te realiseren veiligheidsfuncties: Volgende stappen dienen te worden uitgevoerd voor iedere veiligheidsfunctie 1. 2. 3. 4. 5. 6. 7.

Bepaal PLr Bepaal de structuur (bepaal de architectuur) Bepaal MTTFd Bepaal DC Bepaal CCF Verifieer of het behaalde PL groter is dan het gewenste PLr Valideer (zijn alle eisen vervuld)

35

Welke “betrouwbaarheid” nodig?

•

Basis: risicograaf in bijlage van EN ISO 13849-1 bepaalt PLr

•

C-normen Vb. EN ISO 10218-2: Robots for the industrial environments – Safety requirements – Part 2: Robot system and integration

36

Bepalen van het benodigde PLr Bijlage A:

Ernst •S1 schaafwonden, snijwonden, brandwonden •S2 amputatie, niet reversibele verwonding

Frequentie •F1 “slechts” van tijd tot tijd •F2 continue of regelmatig blootstelling

Mogelijkheid tot ontwijken

•P1 slechs bij een realistische kans op ontwijken •P2 indien niet zeker is dat risico kan worden ontweken

37

Continue beweging die afvalt bij het openen van een scherm, vb. deegkneder. •S = S2 breuk van de voorarm of pols •F = F2 meerdere malen per shift, wel kortstondig •P = P1 want je ziet dat de beweging niet stopt ? low Risk

Bepalen van PL

a

P1 F1 P2

S1

Start

b

P1 F2 P2

c

P1

Required Performance Level

F1 P2

S2

P1

d

P2

e

F2

S: Severity of the injury F: Frequency of interaction P: Possibility to avoid danger

High Risk 38

Procedure om PL te realiseren •Gebaseerd op bepaalde architectuur, “categorie”. •Categorie B, 1, 2, 3 of 4 •PL is functie van : •Architectuur •MTTFd

zoals categorie bij EN 954-1

•DCavg •CCF eisen vervuld ? •Dus verdere nuancering t.o.v. EN 954-1. Hoe betrouwbaar is de stuurkring an sich eigenlijk? Zal hij nooit falen? 39

Vereenvoudigde procedure om PL te bepalen

40

Categorie B I

Im

L

Im

O

•Geen diagnostic coverage (DCavg) •Lage tot gemiddelde MTTFd •CCF niet relevant •Normaal één kanaal •Gebruik van basis veiligheidsbeginselen •Optreden van een fout kan tot verlies van de functie leiden •Maximum Performance Level te realiseren = b 41

Categorie 1 I

Im

L

Im

O

•Zoals Categorie B, én •Beproefde componenten en veiligheidsprincipes •Veelvuldig en succesvol gebruikt in het verleden of •Gemaakt volgens codes van goede praktijk voor veilgheidstoepassingen

•Hoge MTTFd •CCF niet relevant en geen DCavg •Normaal één kanaal •Optreden van een enkele fout kan tot verlies van de functie leiden •Maximum Performance Level te realiseren = c 42

Categorie 2 I

Im

L

Im

O

Im

OTE

m

TE

•Zoals Categorie B, beproefde veiligheidsprincipes én •De werking zal regelmatig gecontroleerd worden door de machinesturing •Bij opstarten en •voorafgaand de initiatie van een gevaarlijke situatie •De controle mag automatisch starten, leidt tot opstart indien geen fouten gedetecterd of genereert een controle actie •DCavg is laag tot gemiddeld, MTTFd is laag tot hoog, maatregelen tegen CCF nemen •Maximum Performance Level te realiseren = PLd 43

Categorie 3 I1

Im

L1

m Im

O1

c

I2

Im

L2

m Im

O2

•Zoals Cat. B, beproefde veiligheidsprincipes én •Een enkele fout leidt niet tot verlies van de veiligheidsfunctie •DCavg is laag tot gemiddeld, MTTFd is laag tot hoog, maatregelen tegen CCF nemen

44

Categorie 4 I1

Im

L1

m Im

O1

c

I2

Im

L2

m Im

O2

•Zoals Cat. B, beproefde veiligheidsprincipes én •Een enkele fout leidt niet tot verlies van de veiligheidsfunctie én •De enkele fout wordt gedetecteerd bij of voor de volgende bevraging •DCavg is hoog, MTTFd is hoog, maatregelen tegen CCF nemen

45

Overzicht verschillende Categorieën

46

Bepalen van het PL Het PL van de SRP/CS wordt bepaald door inschatting van volgende aspecten: •Architectuur •De MTTFd waarde voor afzonderlijke componenten; •De DC; •De CCF; •Het gedrag onder foutcondities; •Systematisch falen 47

Mean time to dangerous failure MTTFd •MTTF gaat ervan uit dat ieder systeem faalt als je maar lang genoeg wacht •De MTTF is benaderend de tijd tot 63 % van de componenten faalt •Er zijn drie niveau’s van MTTFd voor ieder kanaal gedefiniëerd

48

Mean time to dangerous failure MTTFd

•Om de MTTFd te bepalen zijn er drie methoden •Data van de fabrikant •Methoden uit Bijlage C en D van de norm •Kies 10 jaar.

49

Diagnostic coverage (DC) •DC is een maat voor de effectiviteit van de diagnose •DC wordt bepaald als de verhouding tussen vastgestelde gevaarlijke falingen en het totaal aantal gevaarlijke falingen •Er zijn vier niveau’s van DC gedefiniëerd

50

Diagnostic Coverage DC •Voorbeelden om DC in te schatten

51

Diagnostic Coverage DC •Voorbeelden om DC in te schatten

52

Common Cause Failure (CCF) •Bijlage F (informatief) geeft een methode om te verifiëren of de gemeenschappelijke mode faalwijzen voldoende beheerst zijn. •Score moet 65 of beter zijn.

53

Ontwerp van veiligheidsfuncties door combinatie van SRP/CS De veiligheidsfunctie bestaat uit verschillende SRP/CS: Ingangen:

Cat. 2 PLc lichtscherm Logische

verwerkingseenheid: Cat. 3 PLd PLC

Uitgangen,

actuatoren: Cat.1 PLc hydraulische klep

54

Combinatie van SRP/CS om PL te realizeren •Een veiligheidsfunctie kan men realiseren door een combinatie van SRP/CS •Vb. Ingang, verwerking, uitgang •Deze SRP/CS kunnen tot verschillende categorieën behoren. •WERKWIJZE: •De SRP/CS met laagste PL wordt PLlow •Nlow is aantal SRP/CS met PL= PLlow •Hoe vaak komt Nlow voor? •Lees af in tabel 11 wat PL wordt.

55

Ontwerp van complexe veiligheidsfuncties Blokmethode •Minder

geschikt als eenvoudige componenten naast complexe veiligheidsmodules gebruikt

worden •Voor complexe met elkaar verweven SRP/CS (Voorbeeld B uit bijlage I)

56

Voorbeeld: Afscherming met blokkeerinrichting De blokkeerinrichting wordt op volgende manier uitgewerkt: 1) 2) 3)

Ingangen uitgevoerd met twee veiligheidscontacten (NZ van Euchner), Logica door een veiligheidsrelais (ESA4 van Phoenix) en Twee contactoren (3RT van Siemens) als vermogenschakelelement,

Voor de veiligheidsfuncties geldt: • De gevaarlijke beweging stopt als de afscherming geopend wordt, door afschakelen van de electromotor. • PLr = d omdat S=S2, F=F1, P=P2

57

Schema van de veiligheidsfunctie

S1 en S2: Schakelaar type NZ van de firma Euchner Veiligheidsrelais type ESA4 van de firma Phoenix K1 en K2: Contactor type 3RT van de firma Siemens

58

Voorbeeld: Ingang

Input zijn twee schakelaars van het merk Euchner

59

Voorbeeld: Ingang Mean time to dangerous failure MTTFd Gebaseerd op aantal cycli tot 10 % van de componenten gevaarlijk falen (B10d) B10d wordt bepaald door de fabrikant volgens normen. Met nop aantal operaties per jaar, MTTFd wordt :

En

met hop gemiddeld gebruik in uur/dag dop gemiddeld gebruik in dagen/jaar tcycle gem. tijd tussen begin twee cycli

60

Voorbeeld: Ingang

Mean time to dangerous failure MTTFd B10 d ( K ) = 30.000.000 nop =

d op ⋅ hop ⋅ 3600 hs

MTTFdK =

tcycle

250d ⋅ 16h ⋅ 3600 hs = = 144.000 100 s

B10 d 30.000.000 = = 2083,3 jaar = hoog 0.1 ⋅ nop 0.1 ⋅ 144.0000

61

Voorbeeld: Ingang Mean time to dangerous failure MTTFd De gebruiksduur van de component wordt begrensd tot T10d, de gemiddelde tijd tot 10 % van de componenten gevaarlijk faalt.

Dan wordt de maximale levensduur begrenst tot 208 jaar, praktisch tot 20 jaar

62

Voorbeeld: Ingang •MTTFd = hoog •Diagnostic Coverage (DC) DCInput = 99% NO en NC contacten met gelinkte bediening (tabel E1) DCInput = hoog

•CCF ? > 65 •Categorie 4 •PL = e 63

Voorbeeld: Veiligheidsrelais

Logic wordt uitgevoerd met een ESA4 veiligheidsrelais

64

Voorbeeld: Uitgang

Output wordt uitgevoerd met twee relais

65

Voorbeeld: Uitgang

Mean time to dangerous failure MTTFd B10 d ( K ) = 10.000.000 nop =

d op ⋅ hop ⋅ 3600 hs

MTTFdK =

tcycle

250d ⋅ 16h ⋅ 3600 hs = = 144.000 100 s

B10 d 10.000.000 = = 694 jaar = hoog 0.1⋅ nop 0.1⋅ 144.000

66

Voorbeeld: Uitgang Mean time to dangerous failure MTTFd De gebruiksduur van de component wordt begrensd tot T10d, de gemiddelde tijd tot 10 % van de componenten gevaarlijk faalt.

Dan wordt de maximale levensduur begrenst tot 70 jaar (practisch 20 jaar) !!!

67

Voorbeeld: Uitgang •MTTFd = high •Diagnostic Coverage (DC) DCoutput = 99% Redundant afschakelen met test door logica (tabel E1) DCoutput = high

•CCF ? > 65 •Categorie 4 •PL = e

68

Voorbeeld: Afscherming met blokkeerinrichting •Ingang : PL = e •Logica : PL = e •Uitgang : PL = e

PL = e

69

EN ISO 13849-2 Validation

70

Validatie Het doel van het validatieproces is aan te tonen dat de specificatie en conformiteit van de SRP/CS past binnen de algemene veiligheidsvereisten van de machine. Hiertoe zal men voor ieder veiligheidsonderdeel aantonen of het voldoet aan EN ISO 13849-1, met in het bijzonder: De veiligheidskenmerken van de veiligheidsfuncties zoals bedoeld in het ontwerp en De eisen gesteld aan de gekozen categorie. Validatie dient te gebeuren door onafhankelijke personen (moet niet derde partij zijn) Validatie kan door Analyse en/of Testen

71

Validatie - Technologie •Onderstaande tabel geeft een overzicht van de inhoud van EN ISO 13849-2 Gebruikte

technologieën Basis veiligheidsprincipes Beproefde veiligheidsprincipes Beproefde componenten Mogelijke fouten en fouten uitsluitingen

72

Validatie - Technologie

73

Validatie - Technologie

74

Sistema

75

Sistema

www.dguv.de/ifa/de/pra/sistema/index.jsp

(download versie 1.1.2) 76

Besluit • •

•

• •

Gebruik van EN 13849-1 bouwt verder op de kennis van EN 954-1, Eenvoudigde methode om veiligheidsfuncties samen te stellen indien voldoende gegevens beschikbaar zijn van de fabrikant, Alle C-normen worden herschreven naar PL en/of SIL. Geeft mogelijk problemen indien beide normen (PL en SIL) noodzakelijk blijken, Nog veel vragen uit de industrie hoe men veiligheidsfuncties omzet in blokdiagrammen. Andere normen stellen bijkomende eisen in verband met het gebruik van PL.

77

ISO/CD 14119  

9.3 Assessment of mechanical faults   An interlocking system with required PL e in accordance with ISO 13849-1 or SIL3 in accordance with IEC 62061 will need to incorporate a minimum fault tolerance of 1 (e.g. two conventional mechanical position switches) in order to achieve this level of performance since it is not normally justifiable to exclude faults, such as, broken switch actuators. However, it may be acceptable to exclude faults, such as short circuit of wiring within a control panel designed in accordance with relevant standards. The same applies for PL d and SIL2 unless a full justification is provided in accordance with ISO 13849-1 or IEC 62061.   For applications using interlocking devices with automatic monitoring to achieve the required diagnostic coverage needed for the required PL, a functional test (see IEC 60204-1:2005, 9.4.2.4) can be carried out every time the device changes its state, e. g. at every access. If, in such a case, there is only infrequent access, the interlocking device shall be used with additional measures such as conditional guard unlocking (see Figure 4 b)), as between consecutive functional tests the probability of occurrence of an undetected fault is increased. When infrequent access is foreseeable a manual functional test to detect a possible accumulation of faults shall be made within the following test intervals:    at least every month for PL e with category 3 or category 4 (according to ISO 13849-1) or SIL 3 with HFT = 1 (according to IEC 62061);    at least every 12 months for PL d with category 3 (according to ISO 13849-1) or SIL 2 with HFT = 1 (according to IEC 62061).

Dank voor uw aandacht

PROSAVE Churchilllaan 54 b 3 2900 Schoten T: 03/645 75 86 F: 03/248 27 75 M: 0475/86 91 14