Departement Industriële en Biowetenschappen Geel Master in de industriële wetenschappen Optie Elektromechanica
Machinebeveiliging De normen theoretisch en toegepast op een rondhoekmachine bij Cartamundi Turnhout NV
CAMPUS Geel
Ben Van Gompel
Academiejaar 2007-2008
3
VOORWOORD Alvorens over te gaan tot de bespreking van het eindwerk zou ik graag nog enkele mensen bedanken voor hun hulp en ondersteuning. Eerst en vooral wil ik mijn ouders bedanken. Zij hebben mij steeds gesteund in mijn studies en ze stonden ook altijd klaar om te helpen. Ook mijn zus wil ik bedanken voor het nalezen van deze thesis op spellingsfouten. Vervolgens zou ik mijn begeleider Peter Stappaerts willen bedanken voor de toffe samenwerking. Hij was steeds bereid om vragen te beantwoorden en mij te helpen waar nodig. Verder wil ik ook de elektrische dienst van Cartamundi Turnhout NV bedanken voor de technische uitleg. Eveneens wil ik een dankwoord richten aan de docenten van de Katholieke Hogeschool Kempen. In het bijzonder wil ik hierbij mijn stagebegeleider Julien Van Esch bedanken voor zijn begeleiding het afgelopen half jaar. Ten slotte richt ik graag een woord van dank aan iedereen die mij geholpen heeft tot het voltooien de thesis / stage.
4
SAMENVATTING Cartamundi Turnhout NV engageert zich voor een veilige werkvloer. De opdracht voor dit eindwerk was om een verouderde rondhoekmachine te onderzoeken en voorstellen te doen hoe deze kan beveiligd worden. Als eerste wordt de rondhoekmachine en de machinelijn waartoe de rondhoekmachine behoort, bekeken en besproken. De verschillende risico’s zijn gezocht en worden uitgelegd. Na het bespreken van de machine worden de richtlijnen i.v.m. de machineveiligheid besproken. Deze richtlijnen zijn de arbeidsmiddelenrichtlijn en de machinerichtlijn. Bij de machinerichtlijn moet rekening worden gehouden met het feit dat hier een nieuwe richtlijn is goedgekeurd. De nieuwe richtlijn moet worden toegepast vanaf 29 december 2009. Richtlijnen bevatten slechts essentiële eisen voor het ontwerpen en het beveiligen van veilige machines. Daarom worden de richtlijnen aangevuld met normen, die de technische specificaties omschrijven. Normen, die op het gebied van machineveiligheid vooral worden gebruikt, zijn de normen over functionele veiligheid. De bestaande (oude) norm is de norm EN 954-1. Deze wordt vervangen door twee nieuwe normen: EN ISO 13849-1 en EN IEC 62061. Norm ISO 13849-1 is de rechtstreekse opvolger van de oude norm. IEC 62061 kan gebruikt worden zonder verwijzing naar de oude norm. De nieuwe normen mogen op dit moment worden toegepast in combinatie met de oude norm. Vanaf 30 november 2009 wordt de norm EN 954-1 ingetrokken en zal enkel nog via de nieuwe normen moeten beveiligd worden. De verschillende normen worden in dit werk eerst theoretisch uitgelegd en daarna praktisch toegepast op de rondhoekmachine. Tenslotte worden de gekozen veiligheidscomponenten kort omschreven. Eveneens wordt een schets van de rondhoekmachine met de geplaatste veiligheidscomponenten gemaakt met behulp van het programma Inventor.
5
INHOUDSTAFEL VOORWOORD ..................................................................................................... 2 SAMENVATTING ................................................................................................. 4 INHOUDSTAFEL .................................................................................................. 5 LIJST MET AFKORTINGEN ................................................................................... 8 INLEIDING ....................................................................................................... 10 1.1 1.2
Bedrijfsvoorstelling ............................................................................ 10 Doel ................................................................................................... 10
2
DE MACHINE ...................................................................................... 11
2.1 2.2 2.2.1 2.2.2
Wat is een machine? .......................................................................... 11 De rondhoekmachine ......................................................................... 11 Beschrijving ........................................................................................ 11 Risico’s ............................................................................................... 13
2.2.2.1 2.2.2.2 2.2.2.3
Vingers onder het rondhoekmes........................................................................................... 13 Foute positie van het kaartendeck ........................................................................................ 13 Afvoeren van het afgeronde kaartendeck .............................................................................. 13
3
DE RICHTLIJNEN ................................................................................ 14
3.1 3.2 3.2.1 3.2.2 3.3 3.3.1 3.3.2 3.4
Inleiding ............................................................................................ 14 De arbeidsmiddelenrichtlijn ............................................................... 15 Wat zijn de verplichtingen van de werkgever? .......................................... 15 Minimumvoorschriften uit bijlage I van de AMRL ....................................... 15 De machinerichtlijn ............................................................................ 16 Minimumvoorschriften uit bijlage I van de MRL ......................................... 16 Verschillen tussen oude en nieuwe richtlijn .............................................. 16 Vergelijken van de richtlijnen ............................................................ 17
4
DE NORMEN ....................................................................................... 18
4.1 4.2 4.3 4.3.1 4.4 4.4.1 4.4.2
Inleiding ............................................................................................ 18 Indeling der normen .......................................................................... 19 Risicobeoordeling volgens de norm EN 1050...................................... 19 De risicoschatting................................................................................. 21 Normen voor functionele veiligheid ................................................... 22 Inleiding ............................................................................................. 23 Vergelijking van de normen ................................................................... 24
4.4.2.1 4.4.2.2
Vergelijking van de bestaande (oude) norm met de nieuwe normen ......................................... 24 Vergelijking tussen de nieuwe normen .................................................................................. 25
4.4.3.1 4.4.3.2
Hoe wordt de norm uitgewerkt? ........................................................................................... 27 Besluit .............................................................................................................................. 30
4.4.4.1 4.4.4.2 4.4.4.3 4.4.4.4 4.4.4.5 4.4.4.5.1 4.4.4.6 4.4.4.7
Voorbereidende stap: risicobeoordeling van de machine uitvoeren ........................................... 31 Stap 1: veiligheidsfuncties definiëren ................................................................................... 31 Stap 2: bepalen van het vereiste Performance Level (PLr) ....................................................... 32 Stap 3: vormgeving en technische realisatie van veiligheidsfuncties ......................................... 32 Stap 4: bepalen van het bereikte PL en kwantitatieve beschouwing .......................................... 33 Bepalen van de Performance Level ....................................................................................... 35 Stap 5: verificatie .............................................................................................................. 35 Stap 6: valideren ............................................................................................................... 35
4.4.5.1 4.4.5.2 4.4.5.3 4.4.5.4
Voorbereidende stap: risicobeoordeling van de machine uitvoeren ........................................... 36 Stap 1: veiligheidsplan voorbereiden .................................................................................... 36 Stap 2: reduceer de risico’s ................................................................................................. 36 Stap 3: bepaal de benodigde Safety Related Control Functions (SRCF’s) ................................... 36
4.4.3 4.4.4
4.4.5
De norm EN 954-1 ............................................................................... 27 De norm EN ISO 13849-1...................................................................... 31
De norm EN IEC 62061 ......................................................................... 36
6
4.4.5.5 4.4.5.6 4.4.5.7 4.4.5.8 4.4.5.9 4.4.5.10 4.4.5.11 4.4.5.12 4.4.5.13 4.4.5.14 4.4.5.15
Stap Stap Stap Stap Stap Stap Stap Stap Stap Stap Stap
4.5.1.1 4.5.1.2
De stopcategorieën ............................................................................................................ 43 Categorie en uitvoering van het noodstopcircuit ..................................................................... 44
4.5.2.1 4.5.2.2 4.5.2.3
Benaderingsrichting normaal ............................................................................................... 45 Benaderingsrichting parallel aan beveiligingsveld ................................................................... 47 Benaderingsrichting in willekeurige hoek ............................................................................... 47
4.5.3
Norm ISO 12100-1 ............................................................................... 48
5
UITWERKEN VAN DE NORMEN ............................................................ 49
5.1 5.2
Inleiding ............................................................................................ 49 Uitwerken van de norm EN 1050 ........................................................ 49
5.2.1.1 5.2.1.2 5.2.1.3 5.2.1.4
Stap Stap Stap Stap
5.4.3.1 5.4.3.2 5.4.3.3 5.4.3.4
Vingers onder het mes ........................................................................................................ 54 Foute positie van het kaartendeck ........................................................................................ 55 Afvoeren van het afgeronde kaartendeck .............................................................................. 55 Besluit .............................................................................................................................. 56
5.4.5.1 5.4.5.2 5.4.5.3
De eerste optie: magneetschakelaar met verwerking via PNOZmulti ......................................... 57 De tweede optie: lichtschermen + hekken met verwerking via PNOZmulti ................................. 57 De derde optie: lichtscherm met verwerking via PNOZmulti..................................................... 57
5.4.6.1 5.4.6.2 5.4.6.3
De eerst optie: PSENmag (hekken) + PNOZmulti ................................................................... 58 De tweede optie: PSENopt + PNOZmulti + hekken ................................................................. 58 De derde optie: PSENopt + PNOZmulti ................................................................................. 58
5.5.5.1 5.5.5.2 5.5.5.3 5.5.5.4
Vingers onder het mes ........................................................................................................ 60 Foute positie van het kaartendeck ........................................................................................ 61 Afvoeren van het afgeronde kaartendeck .............................................................................. 61 Besluit .............................................................................................................................. 62
4.4.6 4.5 4.5.1 4.5.2
5.3 5.3.1 5.3.2 5.3.3 5.3.4 5.4 5.4.1 5.4.2 5.4.3
5.4.4 5.4.5
5.4.6
5.4.7 5.5 5.5.1 5.5.2 5.5.3 5.5.4 5.5.5
5.5.6 5.5.7 5.5.8
4: bepaal het vereiste SIL-niveau (Target-SIL) van de SRCF ............................................ 37 5: specificeer voor de SRCF de Safety Requirement Specifications (SRS) ........................... 38 6: bedenk een functionele architectuur (meet – evalueer - activeer) voor de SRCF ............. 38 7: maak een conceptontwerp (sensor – logic solver – actuator) voor de SRCF .................... 38 8: kies voor de SRCF de benodigde veiligheidscomponenten of ontwerp deze zelf ............... 39 9: bepaal de zogenaamde ‘SIL claim limit’ van de complete veiligheidsfunctie .................... 39 10: bereken het SIL-niveau (SIL-calculated) .................................................................. 40 11: voldoet de SRCF ................................................................................................... 41 12: valideer of de SRCF voldoet aan de Safety Requirement Specifications ........................ 41 13: gebruiksinfo bundelen ........................................................................................... 42 14: valideren ............................................................................................................. 42
Besluit ................................................................................................ 42 Europese normen ............................................................................... 43 Norm EN 418....................................................................................... 43 Norm EN 999....................................................................................... 45
1: 2: 3: 4:
bepalen van de grenzen van de machine ................................................................... 49 identificatie van de gevaren ..................................................................................... 49 de risicoschatting.................................................................................................... 49 de risico-evaluatie .................................................................................................. 50
Volgens de norm EN 954-1 ................................................................. 50 Vingers onder het mes .......................................................................... 50 Foute positie van het kaartendeck .......................................................... 51 Afvoeren van het afgeronde kaartendeck ................................................. 51 Besluit ................................................................................................ 52 Volgens de norm EN ISO 13849-1 ...................................................... 53 Voorbereidende stap: risicobeoordeling van de machine uitvoeren .............. 53 Stap 1: veiligheidsfuncties definiëren ...................................................... 53 Stap 2: bepalen van het vereiste Performance Level ................................. 54
Stap 3: vormgeving en technische realisatie van veiligheidsfuncties ............ 56 Stap 4: bepalen van het PL en kwantitatieve beschouwing ......................... 57
Stap 5: verificatie ................................................................................ 58
Stap 6: valideren ................................................................................. 58 Volgens de norm EN IEC 62061 .......................................................... 59 Voorbereidende stap: risicobeoordeling van de machine uitvoeren .............. 59 Stap 1: veiligheidsplan voorbereiden....................................................... 59 Stap 2: reduceer de risico’s ................................................................... 59 Stap 3: bepaal de benodigde SRCF ......................................................... 59 Stap 4: bepaal het vereiste SIL-niveau (Target-SIL) van de SRCF ............... 60
Stap 5: specificeer voor de SRCF de SRS ................................................. 62 Stap 6: bedenk een functionele architectuur voor de SRCF ......................... 64 Stap 7: maak een conceptontwerp voor de SRCF ...................................... 64
7
5.5.9 5.5.10 5.5.11
Stap deze Stap Stap
5.5.11.1 5.5.11.2 5.5.11.3
De eerste optie: magneetschakelaar met verwerking via PNOZmulti ......................................... 65 De tweede optie: lichtschermen + hekken met verwerking via PNOZmulti ................................. 66 De derde optie: lichtscherm met verwerking via PNOZmulti..................................................... 66
5.5.12.1 5.5.12.2 5.5.12.3
De eerste optie: PSENmag (hekken) + PNOZmulti ................................................................. 66 De tweede optie: PSENopt + PNOZmulti + hekken ................................................................ 66 De derde optie: PSENopt + PNOZmulti ................................................................................. 67
6
VEILIGHEIDSCOMPONENTEN ............................................................. 68
6.1 6.2 6.3 6.3.1 6.3.2 6.4 6.4.1 6.5 6.5.1
Wat is een veiligheidscomponent? ..................................................... 68 Eisen aan veiligheidscomponenten .................................................... 68 Sensoren ............................................................................................ 68 Optische elektronische veiligheidsvoorziening ........................................... 68 Contactloze, magnetische veiligheidsschakelaars ...................................... 70 Logische operatoren .......................................................................... 71 PNOZmulti .......................................................................................... 71 Actuatoren ......................................................................................... 72 Frequentieregelaar: Micromaster 420 invertor .......................................... 72
5.5.12
5.5.13 5.5.14 5.5.15
8: kies voor de SRCF de benodigde veiligheidscomponenten of ontwerp zelf ............................................................................................. 64 9: bepaal de zogenaamde SILCL van de complete veiligheidsfunctie ..... 65 10: bereken het SIL-niveau ............................................................ 65
Stap 11: voldoet de SRCF ..................................................................... 66
Stap 12: valideer of de SRCF voldoet aan de SRS ..................................... 67 Stap 13: gebruiksinformatie bundelen ..................................................... 67 Stap 14: valideren ............................................................................... 67
BESLUIT 74 LITERATUURLIJST ............................................................................................ 75 BIJLAGEN ......................................................................................................... 76 Bijlage Bijlage Bijlage Bijlage Bijlage Bijlage Bijlage Bijlage
1. 2. 3. 4. 5. 6. 7. 8.
Eisen aan het besturingssysteem door de categorieën ..................... 76 Architectuur van de categorieën ....................................................... 78 Architectuur van de veiligheidsfuncties ............................................ 80 Technische gegevens PSENopt: PSEN op4F-s-14-075 ...................... 81 Technische gegevens PSENmag: PSEN 2.1p - 20 .............................. 82 Technische gegevens PNOZmulti: PNOZ m0p ................................... 83 Technische gegevens Micromaster 420 ............................................ 84 Schets rondhoekmachine met lichtschermen .................................... 85
8
LIJST MET AFKORTINGEN AMRL
arbeidsmiddelenrichtlijn
AOPD
Active Opto-electronic Protective Device
B10-waarde een waarde voor aan slijtage onderworpen componenten, uitgedrukt in het aantal schakelcyclussen, waarbij 10% van de componenten falen tijdens een levensduurtest BOP
Basic Operating Panel
C
duty cycle per hour
CCF = β
Common Cause Factor
CEN
Europese Commissie voor Normalisatie
CENELEC
Europees Comité voor Elektrotechnische Normalisatie
CWB
contactloos werkende (beveiligingen) veiligheidsvoorzieningen
DC
Diagnostic Coverage
E/E/PE-systemen EER EMC-richtlijn
Elektrisch, Elektronisch en Programmeerbaar Elektronische systemen
Europese Economische Ruimte Elektro Magnetische Compatibiliteit richtlijn
EN
Europese norm
ESPE
Electro Sensitive Protection Equipment
ETSI
Europees Instituut voor Telecommunicatienormen
EU
Europese Unie
HFT
Hardware Fault Tolerance
IEC
International Elektrotechnical Commission
ISO
International Organization of Standardization
MRL
machinerichtlijn
MTTFd
Mean Time To dangerous Failure
OM
other measures required
PFHd
Probability of a dangerous Failure per Hour
PL
Performance Level
PLr
required Performance Level = vereiste PL
PTE
Probability of an undetected error in communication
SFF
Safe Failure Fraction
SIL
Safety Integrity Level
SILCL
Safety Integrity Level Claim Limit
SRCF
Safety Related Control Function
SRECS
Safety Related Electrical Control System
SRP/CS
Safety Related Part of a Control System
SRS
Safety Requirement Specifications
TCD
Technisch constructie dossier
9
T1
levensduur van de component
T2
diagnose test interval
1oo1
1 out of 1
λ
Failure rate
10
INLEIDING 1.1
Bedrijfsvoorstelling
Mijn stagebedrijf is Cartamundi Turnhout NV. Dit bedrijf is actief in de grafische sector. Ontstaan uit de groep Van Genechten en de groep Brepols richt het bedrijf zich op het vervaardigen van speelkaarten, collectables en kaarten voor spellen. Cartamundi Turnhout NV is het moederbedrijf voor productievestigingen in Duitsland, Polen, USA en Engeland In Turnhout zijn een 380-tal werknemers in dienst.
1.2
Doel
Cartamundi Turnhout NV engageert zich voor een veilige werkvloer, zodat er weinig of geen arbeidsongevallen kunnen gebeuren. Het overgrote deel van de productiemachines zijn beveiligd. De opdracht voor dit eindwerk is om een verouderde rondhoekmachine te onderzoeken en voorstellen te doen hoe men deze kan beveiligen. Dit gebeurt via de machine- en arbeidsmiddelenrichtlijn en meer bepaald via de normen voor machineveiligheid. Op het gebied van deze normen zijn vernieuwingen aan het gebeuren. Zodoende is het ook een doel om de verschillende normen te bekijken en te vergelijken. Uiteindelijk worden de verschillende normen toegepast voor de beveiliging van de rondhoekmachine.
11
2
DE MACHINE
2.1
Wat is een machine?
Een machine wordt als volgt gedefinieerd: •
• • •
•
•
1. een samenstel, voorzien van of bestemd om te worden voorzien van een aandrijfsysteem -maar niet op basis van rechtstreeks gebruikte menselijke of dierlijke spierkracht-, van onderling verbonden onderdelen of componenten waarvan er ten minste één kan bewegen, en die samengevoegd worden voor een bepaalde toepassing 2. een samenstel zoals bedoeld onder (1) waaraan slechts de componenten voor de montage op de plaats van gebruik of voor de aansluiting op kracht- of aandrijfbronnen ontbreken 3. een samenstel zoals bedoeld onder (1) of (2) dat gereed is voor montage en dat alleen in deze staat kan functioneren na montage op een vervoermiddel of montage in een gebouw of bouwwerk 4. samenstellen van machines zoals bedoeld onder (1), (2) of (3), en/of niet voltooide machines (= deelmachines) die, ten einde tot hetzelfde resultaat te komen, zodanig zijn opgesteld en worden bestuurd dat zij als één geheel functioneren 5. een samenstel van onderling verbonden onderdelen of componenten waarvan er ten minste één kan bewegen, en die in hun samenhang bestemd zijn voor het heffen van lasten en die uitsluitend rechtstreeks aangedreven worden door menselijke spierkracht 6. veiligheidscomponent dat afzonderlijk in de handel wordt gebracht.
2.2
De rondhoekmachine
2.2.1
Beschrijving
De rondhoekmachine is een onderdeel van een productielijn die instaat voor het snijden van bedrukte vellen tot het bekomen van een verpakt deck speelkaarten. Deze productielijn wordt Combi 48 genoemd en draait 24h in 3 ploegen. Aan het begin van de lijn worden paletten met bedrukte vellen in de machine gebracht. De vellen worden m.b.v. een systeem van zuignappen één voor één in de machine gebracht. Vooraleer het vel in banden wordt gesneden, wordt met behulp van drie fotocellen het vel eerst juist gepositioneerd. Indien het vel juist ligt, wordt het doorgerold en in banden gesneden. Æ De messen die instaan voor het snijden in banden zijn reeds beschermd met beweegbare afschermingen. De machine valt stil indien de afschermkappen geopend worden. Daarna worden de banden verzameld en gestapeld. Onder aan de verzamelde bundel worden de banden één voor één aangezogen en op het volgende deel van de productielijn geplaatst.
12
De banden worden gesneden tot kaarten en vervolgens gebundeld in een volledig kaartendeck. Æ Het verzamelen en snijden van de banden, samen met het bundelen tot een kaartendeck wordt al afgeschermd met lichtschermen. Van zodra de operator het lichtscherm onderbreekt, valt de machine stil. De kaartendecks zijn op dit moment gebundeld, maar nog niet afgerond. Dit afronden gebeurt op de rondhoekmachine. De rondhoekmachine heeft een rechthoekige vorm. De vier hoekpalen staan in de breedte 450mm uiteen en in de lengte 1400mm. Op een hoogte van ongeveer 570mm bevindt zich een plaat van 20mm dikte. Op deze plaat is een ronddraaiende carrousel geïnstalleerd met hierop een aantal grijpers geplaatst. De grijpers staan horizontaal zodat hiertussen de kaartendecks kunnen gelegd worden. Boven de carrousel hangt een rondhoekmes dat aangedreven wordt via een pneumatische cilinder en een ventiel.
Figuur 2.1
De rondhoekmachine
De rondhoekmachine voert de volgende drie handelingen uit. De eerste bestaat uit het inbrengen van de kaartendecks samen met het positioneren ervan. De decks worden tussen de grijpers op de rondhoekmachine gelegd. Daarna draait de carrousel door en ondertussen wordt er gepositioneerd. Dit positioneren omvat het sluiten van de grijpers, het neerwaarts drukken van een plaatje achter aan de grijpers en tenslotte het duwen van de kaartendecks tegen dit plaatje. Æ Op de carrousel zijn 3 fotocellen geïnstalleerd die de positie controleren nadat het deck tegen de achterkant is geduwd. Indien er een fout gedetecteerd wordt stopt de machine. Het deck wordt manueel weggenomen. Daarna wordt de machine terug opgestart door het indrukken van een startknop. Deze startknop is aan de bovenzijde van de rondhoekmachine geplaatst. Wanneer de kaarten goed liggen kan de tweede handeling worden uitgevoerd, het rondhoeken. Het hoeken gebeurt door een rondhoekmes. Dit mes heeft de gewenste radius en beweegt op en neer over de kaartendecks om deze af te ronden. Na het rondhoeken draait de carrousel door en komen we bij de derde handeling, het afvoeren van de kaarten. Dit gebeurt door middel van twee pennen die de kaartendecks van de carrousel op een transportband schuiven. Æ De carrousel is reeds beveiligd met een waarschuwingsbord. Ook is een stopvoorziening aanwezig die de lijn, waar de carrousel deel van uitmaakt, stillegt. Een noodstop is aanwezig die de gehele productielijn stillegt. Hij is geplaatst binnen het bereik van het rondhoekmes. Eenmaal voorbij de rondhoekmachine worden de afgeronde decks speelkaarten verpakt en in dozen geladen.
13
2.2.2
Risico’s
Welke risico’s bestaan nu eigenlijk op de rondhoekmachine? Na het bestuderen van de machine en het overleg met de operatoren en met de preventieadviseur kunnen verschillende risico’s geformuleerd worden. 2.2.2.1
Vingers onder het rondhoekmes
Een eerste risico en natuurlijk het gevaarlijkste is dat men met zijn vingers onder het rondhoekmes komt. Ook terwijl de machine stilstaat, kan het voorkomen dat de machine een plotse beweging doet terwijl men zich met zijn vingers onder het mes bevindt. Dit ongewenst starten is tot op heden 1 maal voorgevallen. 2.2.2.2
Foute positie van het kaartendeck
Een tweede gevaar kan optreden tijdens het wegnemen van een deck speelkaarten indien deze fout is gepositioneerd. De machine kan een onverwachte en dus ongewenste beweging uitvoeren waardoor kwetsuren kunnen ontstaan. 2.2.2.3
Afvoeren van het afgeronde kaartendeck
Het derde risico is verbonden aan het afvoeren van de afgeronde kaartendecks van de carrousel. Het is op dit ogenblik nog mogelijk op deze plaats in te grijpen zonder dat de machine stilvalt. Zodoende kan men met zijn vingers tussen de pennen en de transportband vast komen te zitten. Op deze manier is er tot op heden 1 persoon gewond geraakt aan zijn vingers.
14
3
DE RICHTLIJNEN
3.1
Inleiding
Er bestaan verschillende soorten richtlijnen met een aantal gelijke kenmerken. Zo zijn de richtlijnen opgesteld voor complete productgroepen en zijn ze opgesteld door een gekwalificeerde EU-meerderheid. Richtlijnen bevatten slechts essentiële eisen. Technische specificaties zijn terug te vinden in de Europese normen (ENxxxx). Enkele voorbeelden van richtlijnen zijn: •
EMC – richtlijn
•
Laagspanningsrichtlijn
•
Arbeidsmiddelenrichtlijn
•
Machinerichtlijn
De laatste twee richtlijnen, de arbeidsmiddelenrichtlijn en de machinerichtlijn worden in dit eindwerk verder besproken. Deze richtlijnen hebben namelijk te maken met een veilige werkvloer door het bouwen van veilige machines of door het beveiligen tegen gevaren.
15
3.2
De arbeidsmiddelenrichtlijn
Het doel van de arbeidsmiddelenrichtlijn is de veiligheid en gezondheid van de werknemers bevorderen. Het toepassingsgebied van deze richtlijn zijn de machines, apparaten, gereedschappen en installaties op de werkvloer. Bedrijven zijn wettelijk verplicht de richtlijn te volgen sinds 1 januari 1997. 3.2.1
Wat zijn de verplichtingen van de werkgever?
Algemeen is de werkgever verplicht de nodige maatregelen te nemen om ervoor te zorgen dat de arbeidsmiddelen, die in de onderneming ter beschikking van de werknemers worden gesteld, geschikt zijn voor het uit te voeren werk. De veiligheid en gezondheid van de werknemers tijdens het gebruik van deze arbeidsmiddelen moeten worden gewaarborgd. Bij de aanschaf of het gebruik van bestaande machines wordt een onderscheid gemaakt tussen: •
Machines gebouwd vóór 31 december 1994 (dit is het geval voor de rondhoekmachine): deze moeten sinds 1 januari 1997 voldoen aan de minimumvoorschriften die in bijlage I van de arbeidsmiddelenrichtlijn beschreven staan.
•
Machines gebouwd na 1 januari 1995 moeten volledig voldoen aan de machinerichtlijn.
3.2.2
Minimumvoorschriften uit bijlage I van de AMRL
Minimumvoorschriften van toepassing op de rondhoekmachine, zijn: •
Wanneer bij bewegende delen van een arbeidsmiddel het risico bestaat van mechanisch contact waardoor zich ongelukken zouden kunnen voordoen, moeten zij zijn uitgerust met schermen of inrichtingen waarmee de toegang tot de gevaarlijke zone wordt verhinderd of de beweging van de gevaarlijke delen wordt stilgelegd voordat de gevaarlijke zone bereikt wordt.
•
Indien het nodig is met het oog op de gevaren van het arbeidsmiddel en de normale uitschakeltijd, moet een arbeidsmiddel voorzien zijn van een noodstopinrichting.
•
Elk arbeidsmiddel moet voorzien zijn van een bedieningssysteem waarmee het op een veilige wijze volledig kan worden stopgezet.
16
3.3
De machinerichtlijn
De essentiële veiligheids- en gezondheidseisen voor het ontwerpen van veilige machines, die voor de eerste maal in de handel worden gebracht binnen de Europese Unie (EER), worden opgesomd in de machinerichtlijn. De huidige machinerichtlijn is de richtlijn 98/37/EC. Inmiddels heeft men werk gemaakt van een nieuwe machinerichtlijn: 2006/42/EC. Deze is aangenomen op 25 april 2006 en op 9 juni 2006 officieel gepubliceerd in de Official Journal van de EU. 3.3.1
Minimumvoorschriften uit bijlage I van de MRL
In bijlage 1 van deze nieuwe richtlijn staan de algemene beginselen van de fundamentele veiligheids- en gezondheidseisen waaraan de machine moet voldoen. Hierna volgen enkele voorbeelden uit bijlage 1 van de MRL: •
De fabrikant van een machine of diens gemachtigde garandeert dat een risicobeoordeling wordt uitgevoerd om na te gaan welke veiligheids- en gezondheidseisen op die machine van toepassing zijn;
•
Bij ontwerp en bouw van de machine moet vervolgens rekening worden gehouden met de resultaten van deze risicobeoordeling.
•
Via het herhalen van bovenbedoelde risicobeoordeling en –beperking dient de fabrikant of diens gemachtigde: -
de grenzen van de machines te bepalen, zowel uitgaande van het beoogde gebruik als van elk redelijkerwijs voorzienbaar verkeerd gebruik daarvan,
-
na te gaan welke gevaren door de machines kunnen worden veroorzaakt en welke gevaarlijke situaties daaraan verbonden zijn,
-
de risico’s in te schatten met inachtneming van de ernst van het mogelijke letsel of de aantasting van de gezondheid en de waarschijnlijkheid dat dit risico zich voordoet,
-
de risico’s te beoordelen teneinde, overeenkomstig de doelstellingen van deze richtlijn, te bepalen of risicoreductie vereist is,
-
de gevaren weg te nemen of de aan deze gevaren verbonden risico’s te verminderen door de toepassing van de beschermende maatregelen in de vastgestelde volgorde.
3.3.2
Verschillen tussen oude en nieuwe richtlijn
Ondanks de verschillen tussen de huidige machinerichtlijn en de nieuwe richtlijn is te zien dat in de basis de richtlijn op vele aspecten onveranderd blijft. De geest van de nieuwe machinerichtlijn is ten opzichte van de oude machinerichtlijn niet veranderd: Î Veiligheid staat voorop!
17
Enkele nieuwigheden zijn wel: •
In verband met het toepassingsgebied: - Duidelijker grens met de laagspanningsrichtlijn,
•
Nieuwe verplichtingen voor “deelmachines” (i.p.v. machines voor inbouw): - TCD (= Technisch Constructie Dossier), - Assemblage-instructies, - Een meer aangeklede verklaring II.B.
•
Met betrekking tot de fundamentele veiligheids- en gezondheidseisen: - Nieuwe introductie over risicobeoordeling, - Betere coördinatie van de terminologie met deze van de geharmoniseerde normen.
•
De nieuwe richtlijn verduidelijkt bepaalde begrippen.
•
Het toepassingsgebied is specifieker.
•
Verplichting tot het uitvoeren van een risicoanalyse.
In de huidige situatie wordt nog steeds gebruik gemaakt van de machinerichtlijn 98/37/EC. De nieuwe machinerichtlijn werd, zoals eerder vermeld, officieel gepubliceerd in de Official Journal van de EU en moet uiterlijk op 29 juni 2008 zijn omgezet door de lidstaten. Vanaf 29 december 2009 zal de nieuwe machinerichtlijn 2006/42/EC verplicht worden toegepast (in principe zonder overgangsregeling). Opmerking: Bepaalde wijzigingen in de nieuwe versie van de machinerichtlijn kunnen nu al een hulp zijn bij de interpretatie van de bestaande richtlijn. Waarom gaat men de nieuwe norm toepassen? “The new directive will make the life of enterprises easier and will reinforce their strong competitiveness.”
3.4 Tabel 3.1
Vergelijken van de richtlijnen vergelijken van de AMRL en de MRL
De arbeidsmiddelenrichtlijn
De machinerichtlijn
•
van kracht sinds 1-1-1997
•
van kracht sinds 1-1-1995
•
arbeidsmiddelen, inclusief alle machines
•
nieuwe machines
•
geld met name voor werkgevers
•
geld met name voor machinebouwers
•
maak een risicoanalyse en houd rekening met de resultaten
•
uitvoeren van een risicobeoordeling en treffen van reducerende maatregelen
•
pas zoveel mogelijk de laatste ‘stand der techniek’ toe (via normen)
•
bepaal welke normen van toepassing zijn
18
4
DE NORMEN
4.1
Inleiding
Bovengenoemde richtlijnen bevatten slechts essentiële eisen voor het ontwerpen en beveiligen om zo tot veilige machines te komen. Maar de richtlijnen zijn wel wetskrachtig en hierdoor zullen fabrikanten en werkgevers aan deze richtlijnen MOETEN voldoen. Het toepassen van een norm gebeurt vrijwillig en een norm heeft bijgevolg geen wetskracht. Een norm heeft echter wel rechtskracht. Zo heeft een bedrijf maximale juridische bewijslast wanneer er aan een norm voldaan is. Normen bevatten de technische specificaties waaraan een machine dient te voldoen. Normen worden dus toegepast wanneer specifieke eisen worden gesteld aan bijvoorbeeld een machine. Een norm kan als volgt gedefinieerd worden: •
Een norm is een overal wettelijk erkende en door een normalisatieproces afgesproken algemeen geldende en gepubliceerde regel voor de oplossing van een toestand. Voorwaarde voor een norm is dat deze technisch is geperfectioneerd en nuttig is voor de gebruiker. Alle fasen van een normalisatieproces moeten worden doorlopen en vervolgens worden afgesproken en gepubliceerd.
Normen worden door een normalisatie-instelling vastgelegd, zoals bijvoorbeeld de Europese Commissie voor Normalisatie (CEN), het Europees Comité voor Elektrotechnische Normalisatie (CENELEC) of het Europees Instituut voor Telecommunicatienormen (ETSI). Het doel van de normen is de invoering van een Europees kwaliteitsbeleid, in samenwerking met de nationale en internationale normalisatiestructuren, door middel van een systeem van onderlinge erkenning van merken en fabricageprocédés. Zodoende kunnen de producenten hun producten over het hele grondgebied van de gemeenschap produceren en verkopen. Zoals gezegd worden de normen toegepast op vrijwillige basis. De fabrikanten blijven vrij om op de communautaire markt producten aan te bieden die aan andere normen of aan geen enkele norm voldoen. Op voorwaarde dat zij zich houden aan de conformiteitbeoordelingsprocedure van de desbetreffende richtlijn. Voor de producten die in overeenstemming met de normen worden gefabriceerd bestaat er wel een vermoeden van overeenstemming met de essentiële eisen.
19
4.2
Indeling der normen
Normalisatie is in Europa onderverdeeld in zogenaamde A-, B- en C-normen: •
Type A-normen (fundamentele veiligheidsnormen) behandelen basisbegrippen, ontwerpbeginselen en algemene gezichtspunten die toepasbaar zijn op alle machines.
•
Type B-normen (groepsveiligheidsnormen) handelen over de algemene veiligheidsaspecten (type B1-normen) of over de verwijzing naar speciale beschermende componenten (type B2-normen) die op een breed scala van machines kunnen worden toegepast.
•
Type C-normen (machineveiligheidsnormen) waarin gedetailleerde veiligheidsvoorschriften zijn opgenomen voor een bepaalde machine of groep van machines.
Figuur 4.1
4.3
Indeling van normen
Risicobeoordeling volgens de norm EN 1050
In de arbeidsmiddelenrichtlijn en de nieuwe machinerichtlijn is een verplichting tot het uitvoeren van een risicobeoordeling opgenomen. Deze risicobeoordeling gebeurt via de norm EN 1050, een type A-norm. De Europese norm EN 1050 beschrijft een risicobeoordelingsprocedure, waarbij de kennis en ervaring van het ontwerp, het gebruik, incidenten en ongelukken met betrekking tot de moderne machine worden gebruikt om de risico’s gedurende de gehele levensduur van de machine in te kunnen schatten. Het doel van de norm is om advies te geven over beslissingen die moeten genomen worden over de veiligheid van machines en de vereiste soort documentatie om de uitgevoerde risicobeoordeling te controleren. Uit de resultaten van de risicobeoordeling volgens de norm EN 1050 kan blijken dat mechanische, besturingstechnische of andere risicoreducerende maatregelen noodzakelijk.
20
De risicobeoordeling bestaat uit een reeks stappen om de beoordeling van gevaren, verbonden met machines, mogelijk te maken.
Figuur 4.2
Risicobeoordelingsproces volgens EN 1050
21
4.3.1
De risicoschatting
Het bepalen van de grenzen van de machine en de identificatie van de gevaren zijn eenvoudige stappen en spreken voor zich. Na identificatie van de mogelijke gevaren moet een risicoschatting worden uitgevoerd. De risicoschatting wordt uitgevoerd aan de hand van een risicograaf. Dit is een praktische kwalitatieve methode voor het bepalen van het risiconiveau van het gevaar. Op basis hiervan kunnen vervolgens veiligheidsmaatregelen geselecteerd worden.
Figuur 4.3
Risicograaf volgens EN 1050
In de risicograaf is te zien dat het risico van het gevaar verbonden is met een combinatie van 4 risicofactoren. •
Het effect (E) ofwel het zwaarst voorzienbare letsel of schade aan de gezondheid dat kan optreden.
•
De frequentie en tijdsduur van de blootstelling (B) van mensen aan de potentieel gevaarlijke situatie.
•
De waarschijnlijkheid (W) van het oplopen van letsel of schade aan de gezondheid.
•
De mogelijkheid om het gevaar af te wenden (G).
Tabel 4.1
Mogelijke categorieën van de risicofactoren
Ernstgraad 1. herstelbaar (schram, blauwe plek) 2. ernstig, meestal onherstelbaar (snijwonden, botbreuken) 3. dood
Waarschijnlijkheid 1. laag (waarschijnlijk niet) 2. gemiddeld (komt voor) 3. hoog (komt vaak voor)
Blootstelling 1. zelden / soms, korte tijd (bijv. 1x per week) 2. vaak / continue, langdurig (bijv. aantal x per dag)
Gevaarsafwending 1. mogelijk (onder bepaalde omstandigheden) 2. niet / nauwelijks mogelijk
22
Wanneer voor een geïdentificeerd gevaar de risicofactoren (E / B / W / G) zijn vastgesteld, kan door invulling in de risicograaf het bijhorende risiconiveau gevonden worden. In onderstaande tabel is een risiconiveau indeling gemaakt waarbij een classificatie wordt gegeven aan de grootte van het risico. Tabel 4.2
Interpretatie van de risiconiveaus
Klasse
Risiconiveau
Omschrijving
1
1–4
Laag
2
5–7
Middelgroot
3
8 – 10
Groot
4
11 – 14
Zeer groot
De vier mogelijke classificaties lopen van laag tot zeer groot. In de norm EN 1050 wordt aanbevolen om risicoreducerende maatregelen te nemen als het bewuste risiconiveau boven niveau vier uitstijgt en dus in klasse 2 of hoger thuishoort. Indien risicoverlaging wordt vereist, moeten geschikte veiligheidsmaatregelen worden gekozen en toegepast, en de procedure van de risicobeoordeling moet daarna worden herhaald.
4.4
Normen voor functionele veiligheid
Een besturingssysteem is niet onfeilbaar. Vooral door het steeds complexer worden van de veiligheidssystemen, worden ook de gestelde eisen steeds hoger. Uit onderzoek is gebleken dat een groot percentage (meer dan 60%) van de fouten in de specificatie-, ontwerp- en installatiefase van het veiligheidscircuit ontstaan. Ook slecht onderhoud (slijtage) of ingebruikname na wijzigingen (verkeerd dimensioneren) kan een faling veroorzaken. Er zal zodoende steeds vaker over functionele veiligheid worden gesproken. Functionele veiligheid is dat deel van de veiligheid van de machine, dat afhankelijk is van het correct functioneren van de aangebrachte elektrische veiligheidsfuncties. Zo wordt gesproken van functionele veiligheid wanneer de veiligheid afhangt van het correcte functioneren van een elektrisch (E), elektronisch (E) en programmeerbaar elektronisch (PE) systeem (kortweg: E/E/PE-systeem). Volgende normen behoren tot de belangrijkste op het gebied van functionele veiligheid en worden gebruikt om na te gaan of de gekozen veiligheidsmaatregelen voor de rondhoekmachine zullen voldoen aan de wettelijke eisen in verband met veiligheid. •
EN 954-1: veiligheid van machines – Algemene ontwerpbeginselen voor onderdelen van besturingssystemen met een veiligheidsfunctie.
•
EN ISO 13849-1: veiligheid van machines – Algemene ontwerpbeginselen voor onderdelen van besturingssystemen met een veiligheidsfunctie.
•
EN/IEC 62061: veiligheid van machines – Functionele veiligheid van veiligheidsgerelateerde elektrische, elektronische en programmeerbare elektronische besturingssystemen.
23
4.4.1
Inleiding
De geharmoniseerde Europese norm EN 954-1 werd in 1996 in gebruik genomen. Het is een type B-norm die van toepassing is op alle machines. De norm behandelt de algemene ontwerpbeginselen en ontwerpeisen waaraan de veiligheidsfuncties van een machinebesturing moeten voldoen. De machinebesturing mag bestaan uit verschillende energiesoorten: elektrisch, hydraulisch, pneumatisch en mechanisch. Norm EN ISO 13849-1 is de opvolger van de norm EN 954-1. Deze norm mag sinds november ‘06 worden toegepast. Beide normen mogen tijdens een overgangsperiode van 3 jaar gebruikt worden. Vanaf 30 november 2009 zal de norm EN 954-1 ingetrokken worden en geldt enkel de nieuwe norm EN ISO 13849-1. ISO 13849-1 is een type B-norm en van toepassing op zo goed als alle machines. De norm behandelt de algemene ontwerpbeginselen en ontwerpeisen waaraan de veiligheidsfuncties van een machinebesturing moeten voldoen. De machinebesturing mag bestaan uit verschillende energiesoorten: elektrisch, hydraulisch, pneumatisch en mechanisch. Enkel bij een besturingsonderdeel met programmeerbare elektronische veiligheidsfuncties wordt de norm slechts toegepast indien aan bepaalde voorwaarden, namelijk een speciaal ontworpen veiligheidsfunctie tot Performance Level = d of Safety Integrity Level = 2, voldaan is. Norm EN/IEC 62061 is in gebruik sinds 31 december 2005. Deze norm kan gebruikt worden zonder verwijzing naar norm EN 954-1. IEC 62061 is eveneens een type B-norm, maar niet van toepassing op alle machines. De norm behandelt de algemene ontwerpbeginselen en ontwerpeisen waaraan de veiligheidsfuncties van een machine moeten voldoen. De norm is enkel van toepassing op machines met een besturingsonderdeel met een elektrische, elektronische en programmeerbare elektronische veiligheidsfunctie. Alvorens de verschillende normen wat meer in detail te bekijken, worden de normen eerst met elkaar vergeleken.
24
4.4.2
Vergelijking van de normen
4.4.2.1
Vergelijking van de bestaande (oude) norm met de nieuwe normen
- In norm EN 954-1 wordt de bepaling van de veiligheidscategorie uitsluitend gebaseerd op systeemgedrag (architectuur). Met andere woorden, er wordt enkel een kwalitatieve beoordeling gemaakt. Bij de nieuwe normen, EN ISO 13849-1 en IEC 62061, wordt de veiligheidscategorie bepaald op basis van systeemgedrag, gecombineerd met de betrouwbaarheid (faalkans) van de gebruikte componenten. Met andere woorden, er gebeurt niet enkel een kwalitatieve, maar ook een kwantitatieve beoordeling. •
Kwalitatief staat voor het bepalen van de betrouwbaarheid aan de hand van de structuur van het veiligheidssysteem.
•
Kwantitatief wil zeggen dat de betrouwbaarheid bepaald wordt aan de hand van een berekening van de faalkans van het veiligheidssysteem.
- Norm EN 954-1 gebruikt uitsluitend categorieën. Norm EN ISO 13849-1 gebruikt tevens een Performance Level (PL). Norm IEC 62061 gebruikt de Safety Integrity Levels (SIL). - Een verband tussen de bestaande norm en de nieuwe normen kan bekeken worden in de volgende tabel. Tabel 4.3
Verband tussen de bestaande en nieuwe normen
Bestaand
Nieuw
EN 954-1
ISO 13849-1
IEC 62061
Veiligheidscategorie
≠
Performance Level PL
Safety Integrity Level SIL
B
≈
a
Geen
1
≈
b
1
2
≈
c
1
3
≈
d
2
4
≈
e
3
25
4.4.2.2 Tabel 4.4
Vergelijking tussen de nieuwe normen Vergelijking tussen ISO 13849-1 en IEC 62061
EN ISO 13849-1
EN/IEC 62061
•
Performance Levels (a t/m e)
•
Safety Integrity Levels (1 t/m 3)
•
eisen voor ontwerpfase
•
eisen voor alle life-cycle fasen
•
beperkt tot twee basisarchitecturen (enkelvoudig/redundant)
•
biedt mogelijkheid aan meerdere architecturen 1oo1, 1oo2, etc.
•
oude categorie EN 954-1 inputparameter PL-bepaling
•
SIL-bepaling met een nieuwe eenvoudige methode
•
uitkomst (PL) niet uitwisselbaar met andere sectoren
•
uitkomst SIL uitwisselbaar met andere sectoren bijv. processector
•
uitkomst PL geeft marge geen vergelijkbare waarde
•
uitkomst PFH is getal en daardoor vergelijkbaar
•
geen eisen voor software
•
eisen voor applicatiesoftware
•
geen eisen voor management veiligheid
•
eisen voor management veiligheid
•
electr. / pneumat./ hydraul.
•
enkel elektrisch/elektronisch
- Wat zijn de aanbevolen toepassingen voor deze 2 normen. Tabel 4.5
Toepassingen van de normen
Technologie
ISO 13849-1
EN/IEC 62061
A
niet elektrisch (vb. hydraulisch)
X
niet behandeld
B
elektromechanisch (vb. relais en/of niet complexe elektronica
beperkt tot bepaalde architecturen (zie nota 1) en tot PL = d
alle architecturen en tot SIL 3
C
complexe elektronica (bijv. programmeerbare systemen)
beperkt tot bepaalde architecturen (zie nota 1) en tot PL = d
alle architecturen en tot SIL 3
D
combinatie A met B
beperkt tot bepaalde architecturen (zie nota 1) en tot PL = e
X (zie nota 3)
E
combinatie C met B
beperkt tot bepaalde architecturen (zie nota 1) en tot PL = d
alle architecturen en tot SIL 3
F
combinatie C met A of
X (zie nota 2)
X (zie nota 3)
combinatie C met A & B X: wordt behandeld in de norm Nota 1: bepaalde architecturen volgens par. 6.2 (ISO 13849-1) (vereenvoudigde benadering PL) Nota 2: complexe elektronica: bepaalde architecturen tot PL = d of voor alle andere architecturen: IEC 62061 Nota 3: voor de niet-elektrische systemen: zie ISO 13849-1
26
Wanneer voor welke van deze twee normen gekozen moet worden is nog niet helemaal duidelijk. Waarschijnlijk wordt de grens getrokken tussen simpele systemen (ISO) en complexe systemen (IEC). Onder simpele systemen verstaat men eenvoudige relaistechniek en bij meer complexere systemen moet men denken aan veiligheidsPLC’s. - Tussen de nieuwe normen bestaat een meer gedetailleerd verband, ten opzichte van het verband tussen de bestaande en de nieuwe normen. Dit verband bestaat uit de vergelijkbaarheid van de Probability of a dangerous Failure per Hour (PFHd) voor de SIL-niveaus met de Performance Levels. Tabel 4.6
PL
Verband tussen de nieuwe normen
Gemiddelde waarschijnlijkheid op gevaarlijke fout per uur (PFHd)
SIL
a
10-5 ≤ PFHd < 10-4
-
b
3 * 10-6 ≤ PFHd < 10-5
1
c
10-6 ≤ PFHd < 3 * 10-6
1
-7
d
10
-6
2
e
10-8 ≤ PFHd < 10-7
3
≤ PFHd < 10
27
4.4.3
De norm EN 954-1
De bestaande (oude) norm EN 954-1 is bedoeld voor machines waarbij men ‘de huidige stand der techniek’ wil volgen. EN 954-1 stelt dat rekening gehouden moet worden met het normale gebruik, maar ook met het te voorziene abnormale gebruik van een machine. Onder dit te voorziene abnormale gebruik verstaan we bepaalde foutomstandigheden en voorzienbare menselijke vergissingen tijdens normaal gebruik. 4.4.3.1
Hoe wordt de norm uitgewerkt?
De norm heeft een ontwerpstrategie die in de juiste volgorde uitgevoerd moet worden. Men begint met het inschatten van alle risico’s met behulp van EN 1050. Daarna worden de risico’s gereduceerd in de correcte volgorde, die wordt beschreven in de norm ISO 12100-1 (zie 4.5.3). De risico’s die met besturingstechnische veiligheidsfuncties worden gereduceerd, moeten nogmaals worden beoordeeld met behulp van de norm EN 954-1. Voor elke afzonderlijke besturingstechnische veiligheidsfunctie moet een risicocategorie volgens deze norm worden bepaald.
28
Om tot een bepaalde veiligheidscategorie te komen werkt men met een risicograaf. Aan de hand van de risicograaf wordt een inschatting gemaakt van het risico dat men kan lopen op gevaarlijke plaatsen aan de machine. Deze risicograaf houdt rekening met drie risicoparameters: de ernst van het letsel, de frequentie en/of duur van de blootstelling aan het gevaar en de mogelijkheid tot het vermijden van het gevaar.
Figuur 4.4
De risicograaf uit de norm EN 954-1
S: mate van verwonding S1 = lichte (normaal omkeerbare) verwonding S2 = zware (normaal onomkeerbare) verwonding, inclusief dood. F: de frequentie en/of blootstellingtijd aan gevaar F1 = zelden tot zeer vaak en/of korte duur van de expansie F2 = veelvuldig tot continu en/of lange duur van de expansie P: de mogelijkheid tot het afwenden van het gevaar (dit is onder andere afhankelijk van de snelheid en frequentie waarmee het gevaar brengende deel beweegt en de afstand tot de gevaarlijke zone) P1 = mogelijk onder bepaalde omstandigheden P2 = nauwelijks mogelijk Na het volgen van de risicograaf kennen we de categorie tot welke de veiligheidsfunctie ten minste moet behoren. De mogelijke categorieën zijn categorie B, 1, 2, 3 en 4. Elke categorie stelt bepaalde eisen aan het besturingssysteem, hetgeen duidelijk wordt in de volgende tabel. (uitgebreide uitleg eisen en architectuur van de categorieën zie bijlage 1 en 2)
29
Tabel 4.7
Cat.
Eisen gesteld aan een besturingstaak met een veiligheidsfunctie
Eisen
Systeemgedrag
Basisprincipes
B
onderdelen van het besturingssysteem met een veiligheidsfunctie zijn in overeenstemming met de relevante normen, zodat zij de te verwachte invloeden kunnen weerstaan
wanneer een fout optreedt, kan dit tot verlies van de veiligheidsfunctie leiden
de keuze van de componenten
1
- voldoen aan de eisen van cat. B
zie cat. B, maar met een hogere mate van betrouwbaarheid van de veiligheidsfunctie
de keuze van de componenten
- het optreden van een fout tussen twee opeenvolgende tijdsintervallen kan leiden tot verlies van de veiligheidsfunctie - de fout wordt gedetecteerd tijdens de intervalcontrole
de structuur
- wanneer een enkele fout optreedt, wordt de veiligheidsfunctie altijd uitgeoefend. - sommige maar niet alle fouten worden gedetecteerd. - een opeenhoping van niet gedetecteerde fouten kan tot het verlies van de veiligheidsfunctie leiden
de structuur
- veiligheidsfunctie dient altijd te worden uitgeoefend wanneer fouten optreden
de structuur
- gebruik beproefde veiligheidscomponenten en veiligheidsprincipes 2
- voldoen aan de eisen van cat. B en 1 - de veiligheidsfuncties moeten met gepaste tijdsintervallen door de machinebesturing worden gecontroleerd
3
- voldoen aan de eisen van cat. B en 1 - onderdelen van besturingssystemen dienen zodanig te zijn ontworpen dat: - een enkele fout in de besturing niet kan leiden tot het verlies van de veiligheidsfunctie - indien (praktisch) mogelijk de enkele fout wordt gedetecteerd
4
- voldoen aan de eisen van cat. B en 1 - besturingssystemen dienen zodanig te zijn ontworpen dat: - een enkele fout in de besturing niet kan leiden tot het verlies van de veiligheidsfunctie - indien één fout niet ontdekt mag een opeenhoping van fouten niet tot het verlies van de veiligheidsfunctie leiden
- fouten worden tijdig gedetecteerd waardoor verlies van de veiligheidsfunctie wordt voorkomen
30
Nadat besturingstechnische veiligheidsfuncties zijn ontworpen, zal de correcte werking ervan moeten worden gecontroleerd. Dit proces wordt validatie genoemd en wordt beschreven in de norm EN 954-2. Deze norm wordt niet behandeld. 4.4.3.2
Besluit
Na het uitvoeren van de norm EN 954-1 is de veiligheidscategorie gekend en weet men aan welke eisen de veiligheidsfuncties moeten voldoen. Meestal gebeurt het uitvoeren van de norm door één persoon. Indien dit het geval is, is het resultaat eerder subjectief. Iemand anders die dezelfde risicoanalyse uitvoert, zal mogelijk een andere categorie als resultaat bekomen. Dit is een van de redenen waarom er wordt overgestapt op de norm ISO 13849-1. Enkele andere redenen zijn: •
norm EN 954-1 bevat onvoldoende eisen voor programmeerbare elektronische systemen
•
er wordt geen rekening gehouden met de complexiteit van de toepassing
•
betrouwbaarheid en uitvalswaarschijnlijkheid van componenten, m.a.w. het probabilistische standpunt, moeten ook in aanmerking genomen worden bij de veiligheidsbeschouwing. Dit gebeurt niet in de norm EN 954-1.
31
4.4.4
De norm EN ISO 13849-1
Zoals eerder gezegd, is de norm EN ISO 13849-1 de opvolger van de norm EN 954-1 en mag deze worden toegepast sinds november 2006. Wat is er nieuw aan EN ISO 13849-1? Behalve de algemeen beproefde categorieën, die in de nog actuele norm EN 954-1 zijn gedefinieerd, zijn extra eisen voor programmeerbare elektronische systemen gedefinieerd en worden zogeheten Performance Levels (PL) ingevoerd. Een andere belangrijke vernieuwing is de probabilistische aanpak (faalkansberekening) bij de beoordeling van veiligheidsgerichte besturingssystemen. De Performance Level wordt gedefinieerd als: de bekwaamheid van de veiligheidsgerelateerde delen om een verwachte veiligheidsfunctie te vervullen onder de voorziene voorwaarden. Nog een vernieuwing is dat met de introductie van EN ISO 13849-1 nieuwe eisen voor de gebruikte werkwijze ontstaan. Vormgeving van veiligheidsgerelateerde onderdelen van besturingen is een iteratief proces dat in meerdere stappen wordt uitgevoerd. Norm EN ISO 13849-1 gebeurd in 6 stappen. 4.4.4.1
Voorbereidende stap: risicobeoordeling van de machine uitvoeren
Vooraleer aan het stappenplan van de norm ISO 13849-1 te beginnen, wordt een risicobeoordeling, volgens de norm EN 1050, uitgevoerd om te zien of aan de machine wel degelijk veiligheidsfuncties toegevoegd dienen te worden. 4.4.4.2
Stap 1: veiligheidsfuncties definiëren
De eerste stap bestaat uit het vastleggen van de vereiste eigenschappen voor alle veiligheidsfuncties. Deze stap is de belangrijkste en soms ook de moeilijkste stap. In deze stap worden buiten de collectieve beschermingsmaatregelen ook de veiligheidsfuncties, zoals stop- en startfuncties en noodstoppen, beschreven. De noodstopvoorziening moet voldoen aan de eisen uit de Europese norm EN 418 (zie 4.5.1). Opmerking: de noodstopvoorziening mag niet worden gebruikt als alternatief voor afdoende veiligheidsmaatregelen en evenmin als alternatief voor automatische beveiligingen. Wel mag deze voorziening worden gebruikt als ondersteunende veiligheidsvoorziening.
32
4.4.4.3
Stap 2: bepalen van het vereiste Performance Level (PLr)
Van elk veiligheidsrelevant besturingssysteem moet het Performance Level worden bepaald. Dit gebeurt door middel van het invullen van de parameters in de risicograaf. De parameters zijn de gevolgen / ernst (S), de frequentie (F) en de ontwijkingsmogelijkheid (P). Wanneer deze parameters in de risicograaf worden ingevoerd ontstaat er een Performance Level. Het niveau van deze Performance Level wordt aangegeven met een letter a, b, c, d of e. Dit wordt het “required performance level” (PLr ) ofwel het “vereiste PL” genoemd.
Figuur 4.5
De risicograaf uit de norm EN ISO 13849-1
S: mate van verwonding S1 = licht (normaal omkeerbare) verwonding S2 = zware (normaal onomkeerbare) verwonding, inclusief dood. F: de frequentie en/of blootstellingtijd aan gevaar F1 = zelden tot zeer vaak en/of korte duur van de expansie F2 = veelvuldig tot continu en/of lange duur van de expansie P: de mogelijkheid tot het afwenden van het gevaar (dit is onder andere afhankelijk van de snelheid en frequentie waarmee het gevaar brengende deel beweegt en de afstand tot de gevaarlijke zone) P1 = mogelijk onder bepaalde omstandigheden P2 = nauwelijks mogelijk 4.4.4.4
Stap 3: vormgeving en technische realisatie van veiligheidsfuncties
De onder stap 1 beschreven veiligheidsfunctie wordt in deze fase besturingstechnisch gerealiseerd.
33
4.4.4.5
Stap 4: bepalen van het bereikte PL en kwantitatieve beschouwing
Voor het bepalen van het bereikte PL wordt de veiligheidsfunctie onderverdeeld in de deelsystemen: sensoren, logica en actuatoren. Elk van deze deelsystemen levert een bijdrage aan de veiligheidsfunctie. De subsystemen worden in de norm ISO 13849-1 Safety Related Part of a Control System (SRP/CS) genoemd. Aangezien het vereiste PLr gekend is, zal men de volgende beslissingen moeten nemen ten behoeve van de componenten van het systeem: •
Volgens welke structuur (categorie) moet het systeem worden opgebouwd?
•
Welke MTTFd heeft het systeem?
•
Welke Diagnostic Coverage (DC) heeft het systeem?
•
Welke gemeenschappelijke fouten (common cause failure) worden geaccepteerd?
Æ Structuur (categorie) De architectuur van een systeem heeft te maken met het fysieke uiterlijk van het systeem. Simpel gezegd kan het gehele systeem dubbel (redundant) of enkel zijn. Het doel van het verdubbelen van een systeem, is het verhogen van de betrouwbaarheid (met betrekking tot het veilig uitschakelen), zodat op het moment dat het systeem nodig is de gevraagde functie ook daadwerkelijk vervuld wordt. In verband met de categorieën kan gesteld worden dat de veiligheidscategorieën B, 1 en 2 enkelpolig zijn uitgevoerd. De categorieën 3 en 4 zijn redundant uitgevoerd. Æ Mean Time To Dangerous Failure (MTTFd) MTTF is de gemiddelde tijd die nodig is om van succesvolle naar niet-succesvolle werking te gaan. Ofwel, de tijd die nodig is om van bedrijf naar storing van de veiligheidscomponent te gaan. In dit geval wordt het tijdsinterval bedoeld tussen activering van het systeem en het moment dat er een gevaarlijke fout optreedt. MTTFd-waarden kunnen bij de fabrikant worden opgevraagd. Met behulp van formules kan de totale waarde berekend worden. In onderstaande tabel zijn de bereiken en bijhorende kwalificaties van de parameter MTTFd weergegeven. Tabel 4.8
Kwalificaties en bereiken van MTTFd
Kwalificatie
MTTFd-waarde
Laag
3 jaar ≤ MTTFd < 10 jaar
Gemiddeld
10 jaar ≤ MTTFd < 30 jaar
Hoog
30 jaar ≤ MTTFd < 100 jaar
34
Æ Diagnostic Coverage (DC) Fouten die mogelijk in een systeem optreden, kunnen leiden tot het falen van dit systeem. Door middel van door het systeem uitgevoerde zelftests, kunnen fouten ontdekt worden en kan de kans op falen kleiner worden gemaakt. Het aantal fouten dat kan worden ontdekt door het systeem zelf, wordt aangegeven met de term ‘Diagnostic Coverage’. De formule om de diagnostic coverage te bepalen is: DC = (∑ λDD) / (λDtotaal)
(4.1)
met λDD = aandeel van gevaarlijke falingen die gedetecteerd worden door diagnose en λDtotaal = aandeel van het totaal aantal gevaarlijke falingen In onderstaande tabel worden het totale bereik van de DC-waarden en de bijhorende kwalificaties weergegeven. Tabel 4.9
Kwalificaties en bereiken van DC
Kwalificatie
DC-waarde
Geen DC
DC < 60%
Lage DC
60% ≤ DC < 90%
Medium DC
90% ≤ DC < 99%
Hoge DC
99% ≤ DC
Æ Gemeenschappelijke fouten Wanneer een gedeelte van een systeem redundant (bestaande uit meerdere componenten voor het vervullen van dezelfde functie) wordt opgebouwd, ontstaat de mogelijkheid dat beide kanalen/componenten tegelijkertijd falen. Dit kan ontstaan door een gemeenschappelijke fout, ook wel Common Cause Failure (CCF) genaamd.
35
4.4.4.5.1
Bepalen van de Performance Level
Via de bekomen MTTFd-waarde, de DC-waarde en de vastgestelde structuur (categorie) kan de bekomen Performance Level uit de grafiek worden afgelezen. Dit werkt als volgt. De categorie van de beveiligingsfunctie wordt gekozen. Daarna wordt via de tabellen van MTTFd en DC bepaald wat de kwalificatie van deze factoren is. Onder aan de grafiek staan de verschillende combinaties van categorie en DC. De verschillende arceringen van de staven geven de mogelijke kwalificaties van MTTFd aan. Als al deze parameters zijn ingevuld kan je op de linkse kant de gehaalde Performance Level aflezen.
Figuur 4.6
4.4.4.6
Grafiek ter bepaling van de PL
Stap 5: verificatie
Verschillende componenten vormen samen één veiligheidssysteem. Er moet gecontroleerd worden of het geheel voldoet aan de vereiste PLr. Het bereikte PL moet minstens gelijk zijn aan het, op basis van de risicobeoordeling, vereiste PLr. Wanneer het gewenste niveau (PLr) behaald is, mag het systeem worden geïmplementeerd. Wanneer het behaalde niveau te laag is, zal het systeem opnieuw ontworpen moeten worden. Dit kan betekenen dat er andere, meer betrouwbare componenten worden ingezet of dat de structuur van het veiligheidssysteem wordt gewijzigd. 4.4.4.7
Stap 6: valideren
Behalve de kwantitatieve eisen die gesteld worden aan de vormgeving van veiligheidssystemen is het belangrijk ook systematische fouten te vermijden. Indien aan alle eisen wordt voldaan mag het veiligheidssysteem worden geïmplementeerd.
36
4.4.5
De norm EN IEC 62061
Norm IEC 62061 is een sectorspecifieke norm die onder de norm IEC 61508 valt. Deze norm werd ontwikkeld voor de machinesector en kan gebruikt worden zonder verwijzing naar EN 954-1. Hij werd in gebruik genomen op 31 december 2005. Norm EN IEC 62061 is bedoeld om ontwerpers, leveranciers en gebruikers de gelegenheid te geven veiligheidsgerelateerde elektrische besturingssystemen van een machine te ontwikkelen en te valideren. Nieuw aan IEC 62061 is dat deze norm de gehele levenscyclus, van de ontwerpfase tot en met de ingebruikstelling, omvat. Aan de basis staan kwantitatieve en kwalitatieve beoordelingen van veiligheidsfuncties. Ook het proces om veiligheidsfuncties aan de norm IEC 62061 te laten voldoen, verloopt in een aantal stappen. Deze norm heeft 14 stappen. 4.4.5.1
Voorbereidende stap: risicobeoordeling van de machine uitvoeren
Vooraleer aan het stappenplan van de norm IEC 62061 wordt begonnen, moet een risicobeoordeling, volgens de norm EN 1050, uitgevoerd worden om te zien of er bij de machine wel degelijk veiligheidsfuncties dienen aangebracht te worden. 4.4.5.2
Stap 1: veiligheidsplan voorbereiden
•
Welke activiteiten zijn nodig?
•
Welke strategie is nodig om te voldoen aan de veiligheidseisen en om de veiligheidsfuncties te implementeren?
•
Identificeren van personeel en verantwoordelijkheden.
•
Zijn er al stop- en startfuncties aanwezig?
•
Is een noodstop aanwezig? Is de noodstopvoorziening uitgevoerd zoals vereist in de Europese norm EN 418?
4.4.5.3
Stap 2: reduceer de risico’s
Bij het reduceren van de risico’s moet rekening gehouden worden met de verplichte volgorde van risicoreductie volgens de norm ISO 12100-1 (zie 4.5.3). 4.4.5.4
Stap 3: bepaal de benodigde Safety Related Control Functions (SRCF’s)
Indien de risico’s niet door aanpassingen in het ontwerp, m.a.w. aan de bron, kunnen worden voorkomen zullen collectieve beschermingsmaatregelen moeten genomen worden. Deze benodigde functies worden Safety Related Control Functions genoemd, ofwel besturingstechnische veiligheidsfuncties. Enkele voorbeelden hiervan zijn lichtschermen, beweegbare afschermingen met hekbeveiligingsschakelaars, noodstoppen, etc.
37
4.4.5.5
Stap 4: bepaal het vereiste SIL-niveau (Target-SIL) van de SRCF
De risicobeoordeling volgens EN/IEC 62061 is een iteratief proces. Dit betekent dat het noodzakelijk kan zijn het proces meer dan één keer uit te voeren. Risicobeoordeling en het vaststellen van het Safety Integrity Level vindt in principe plaats voor elk gevaar waarvan het risico door besturingstechnische maatregelen moet worden gereduceerd. Risicobeoordeling vindt plaats met inachtneming van de ernst van het letsel, de frequentie en duur van de blootstelling aan het gevaar, de waarschijnlijkheid dat er een gevaarlijke gebeurtenis plaatsvindt en de mogelijkheid om de schade te vermijden of te beperken. Het vereiste SIL-niveau kan worden afgelezen aan de hand van een tabel in Excel. De tabel wordt als volgt afgelezen. Men bepaalt de waarde voor de frequentie (F), de waarschijnlijkheid (W) en de afwendmogelijkheid (P). Met deze waarden voor de risico’s kan de klasse bepaald worden. Æ CL = F + W + P Tabel 4.10
(4.2)
Risicoschatting volgens de norm IEC 62061
Frequentie en/of duur
Waarschijnlijkheid
Vermijden
F
W
P
? 1uur
5
zeer hoog
5
1h < F < 1 dag
5
Waarschijnlijk
4
1 dag < F < 2 weken
4
Mogelijk
3
onmogelijk
5
2 weken < F < 1 jaar
3
Zelden
2
zelden
3
1 jaar < F
2
Verwaarloosbaar
1
waarschijnlijk
1
Daarna wordt naar de mogelijke gevolgen van het risico gekeken. Zodoende bepaalt men de ernst (S) van het risico. Het snijpunt van de ernst en de klasse waarin het risico valt, geeft het SIL-niveau aan. Tabel 4.11
Definiëren van de benodigde SIL
Mate van verwonding
Ernst S 3-4 de dood, verlies van een oog of arm 4 SIL 2 niet omkeerbaar, verlies van vingers 3 Omkeerbaar, medische zorg nodig 2 Omkeerbaar, eerste hulp 1 OM = other measures required
5-7 SIL 2 OM
Class CL 8-10 11-13 SIL 2 SIL 3 SIL 1 SIL 2 OM SIL 1 OM
14-15 SIL 3 SIL 3 SIL 2 SIL 1
38
4.4.5.6
Stap 5: specificeer voor de SRCF de Safety Requirement Specifications (SRS)
In de Safety Requirement Specifications zijn naast de safety integrity eisen (SIL-niveau) ook de functionele eisen van de veiligheidsfunctie opgenomen, zoals: •
opsomming van de af te koppelen aandrijvende delen van de machine
•
noodzakelijke responstijd van de totale SRCF
•
de daaruit voortvloeiende minimale veiligheidsafstand
•
de noodzakelijke tests tijdens de ‘prooftest’ (uitgebreide functionele test)
De noodzakelijke responstijd en de daaruit voortvloeiende minimale veiligheidsafstand wordt berekend met behulp van een formule. Deze formule en meer uitleg over de minimale veiligheidsafstand vindt men in de Europese norm EN 999 (zie 4.5.2). 4.4.5.7
Stap 6: bedenk een functionele architectuur (meet – evalueer - activeer) voor de SRCF
De SRCF wordt opgedeeld in functieblokken. Daarna worden de benodigdheden voor de functieblokken gespecificeerd. Ten slotte worden de functieblokken toegewezen aan subsystemen. Deze subsystemen vormen samen een deelsysteem van de SRCF. De subsystemen worden in de norm IEC 62061 SRECS (Safety Related Electrical Control System) genoemd. In de subsystemen kan gebruik worden gemaakt van 1 sensor, 1 logische operator en 1 actuator of er kan redundant gewerkt worden. Bijvoorbeeld:
of
Figuur 4.7
4.4.5.8
Functionele architecturen voor de SRCF
Stap 7: maak een conceptontwerp (sensor – logic solver – actuator) voor de SRCF
Het conceptontwerp geeft weer of één component een enkelvoudige of redundante inwendige structuur heeft. Men spreekt dan over de ontwerpen 1oo1, 1oo2 of 1oo3.
39
4.4.5.9
Stap 8: kies voor de SRCF de benodigde veiligheidscomponenten of ontwerp deze zelf
Aan de hand van de target-SIL, de architectuur en het conceptontwerp gaat men veiligheidscomponenten kiezen. Indien men niet de gewenste veiligheidscomponenten op de markt vindt, kan men ook zelf de benodigde veiligheidscomponenten gaan ontwerpen. Enkele voorbeelden van veiligheidscomponenten zijn: Æ sensoren: positieschakelaars, lichtscherm, … Æ logische operatoren: PLC, veiligheidsrelais, … Æ actuator: contactor, klep, frequentieregelaar, … 4.4.5.10 Stap 9: bepaal de zogenaamde ‘SIL claim limit’ van de complete veiligheidsfunctie Bij de bepaling van de SILCL speelt de architectuur van het besturingssysteem en het aandeel van veilige fouten een belangrijke rol. Dit aandeel van veilige fouten worden safe failure fraction (SFF) genoemd en wordt berekend met een formule. Æ SFF = (∑ λs + ∑ λDD) / (∑ λs + ∑ λD) met
(4.3)
λs = aandeel van het veilig falen λD = aandeel van het gevaarlijk falen λDD = aandeel van het gevaarlijk falen dat gedetecteerd wordt door diagnose
De architectuur van het besturingssysteem wordt weergegeven met de ‘Hardware Fault Torelance’ (HWFT of HFT). De HFT kan worden bepaald met de vraag: ‘Hoeveel deelcomponenten van de sensor, logische operator en actuator mogen falen zonder dat de veiligheidsfunctie verloren gaat’. Zo zal bij een architectuur van 1oo1 de veiligheidsfunctie falen bij de eerste fout die optreedt. Bij een architectuur van 1oo2 zal er één fout mogelijk zijn zonder faling. Æ 1oo1 Æ 1 – 1 = 0 Æ 0 + 1 = 1 Æ faalt na 1 fout Æ 1oo2 Æ 2 – 1 = 1 Æ 1 + 1 = 2 Æ faalt na 2 fouten Æ… De SILCL geeft dus een structurele beperking voor de deelsystemen. Het totale SIL dat wordt bereikt is kleiner dan of gelijk aan de laagste SILCL van een willekeurig deelsysteem dat deelneemt aan de uitvoering van de veiligheidsfunctie. De structurele beperkingen van deelsystemen worden weergegeven in volgende tabel. Tabel 4.12
Structurele beperkingen van deelsystemen
Aandeel van veilige uitvallen (SFF)
Hardwarefouttolerantie HFT 0
Hardwarefouttolerantie HFT 1
Hardwarefouttolerantie HFT 2
1 out of 1
1 out of 2
1 out of 3
SFF < 60%
niet toegestaan
SIL 1
SIL 2
60% ≤ SFF < 90%
SIL 1
SIL 2
SIL 3
90% ≤ SFF < 99%
SIL 2
SIL 3
SIL 3
99% ≤ SFF
SIL 2
SIL 3
SIL 3
40
4.4.5.11 Stap 10: bereken het SIL-niveau (SIL-calculated) Voor het bepalen van de SIL-niveaus worden de volgende parameters bepaald of opgevraagd bij de fabrikanten van de componenten. •
λ = failure rate
•
B10-waarde (enkel voor elektromechanische componenten, dus componenten die onderhevig zijn aan slijtage)
•
MTTFd = mean time to dangerous failure
•
T1 = Levensduur
•
T2 = Diagnose test interval
•
DC = diagnostic coverage: een maat voor de graad van zelfdiagnose
•
CCF = β = common cause factor: een maat voor de graad van wederzijdse verstoring, optreden van fouten en falingen met een gemeenschappelijke oorzaak
Om met deze gegevens de Probability of a dangerous Failure per Hour (PFHd) te berekenen zijn in de normen verschillende formules voorzien. Elke formule hoort bij een bepaald type architectuur van de veiligheidsfunctie. Zo zijn er vier verschillende architecturen namelijk subsysteem A, B, C en D. (architecturen in bijlage 3) Subsysteem A:
λDssA = λDe1 + … + λDen PFHDssA = λDssA * 1h
(4.4) (4.5)
Subsysteem B:
λDssB = [(1 – β)2 * λDe1 * λDe2 * T1] + [β * (λDe1 * λDe2)/2] FHDssB = λDssB * 1h
(4.6) (4.7)
Subsysteem C:
λDssC = λDe1 * (1 - DC1) + … + λDen * (1 – DCn) PFHDssC = λDssC * 1h
(4.8) (4.9)
Subsysteem D met 2 verschillende elementen: λDssD = (1 – β)2 * [{λDe1 * λDe2 * (DC1 + DC2) * T2/2} + {λDe1 * λDe2 * (2 - DC1 (4.10) DC2) * T1/2}] + β * (λDe1 * λDe2)/2 PFHDssD = λDssD * 1h
(4.11)
Subsysteem D met 2 identieke elementen: λDssD = (1 – β)2 * [(λDe12 * 2 * DC * T2/2) + (λDe12 * (1 - DC) * T1)] + β * λDe1
(4.12)
PFHDssD = λDssD * 1h
(4.13)
41
Na het berekenen van de PFHd kan hiermee het SIL-niveau van de veiligheidsfunctie worden bepaald. Het verband wordt weergegeven in volgende tabel. Tabel 4.13
Verband tussen SIL en PFHd
SIL-niveau
Probability of a dangerous failure per hour [1/h]
Geen speciale veiligheidseisen
10-5 ≤ PFHd < 10-4
SIL 1
3 * 10-6 ≤ PFHd < 10-5
SIL 1
10-6 ≤ PFHd < 3 * 10-6
SIL 2
10-7 ≤ PFHd < 10-6
SIL 3
10-8 ≤ PFHd < 10-7
4.4.5.12 Stap 11: voldoet de SRCF Na het bepalen van de SILCL en het berekenen van de SIL-calculated wordt nagekeken of de veiligheidsfuncties voldoen. Als de SILCL en de SIL-calculated groter of gelijk zijn aan de Target-SIL is het ontwerp voldoende veilig en is het geschikt voor realisatie. Indien één van de parameters kleiner is dan de Target-SIL zal men een nieuw design moeten maken en opnieuw de verschillende stappen volgen.
Figuur 4.8
Verificeren van SIL
4.4.5.13 Stap 12: valideer of de SRCF voldoet aan de Safety Requirement Specifications De onder stap 5 beschreven SRS worden gevalideerd. De validatie dient om na te gaan of het veiligheidssysteem voldoet aan de eisen gedefinieerd door de ‘specificatie van SRCF’. Het veiligheidsplan dient als basis voor een dergelijke evaluatie. De volgende evaluatieprocedure moet gevolgd worden: •
Definiëren en documenteren van verantwoordelijkheden
•
Documenteren van alle testen
•
Valideren van elk SRCF op basis van testen en/of analyses
•
Valideren van de systematische veiligheidsintegriteit van de SRECS
42
4.4.5.14 Stap 13: gebruiksinfo bundelen De documentatie moet volgende informatie bevatten: •
De risicoanalyse en risico-evaluatie
•
Specificatie van veiligheidsfuncties
•
Hardware componenten, software documentatie, certificaten, handtekeningen
•
Testresultaten
•
Gebruiksinformatie, ook veiligheidsinstructies en beperkingen voor de bediener
4.4.5.15 Stap 14: valideren Indien aan alle eisen wordt voldaan mag het veiligheidssysteem worden geïmplementeerd. 4.4.6
Besluit
Bij het uitvoeren van de bestaande (oude) norm EN 954-1, volgt al snel de conclusie dat deze norm uitgaat van een persoonlijke kijk op de risicosituatie. Zodoende kan de risicobeoordeling variëren afhankelijk van de persoon die deze uitvoert. Ook valt op dat er meerdere veiligheidscategorieën voldoen voor een bepaalde gevaarlijke situatie. Welke veiligheidscategorie moet dan gekozen worden? Hier speelt opnieuw voor iedereen de persoonlijke mening mee. Een ander groot nadeel van de norm EN 954-1 is dat geen rekening wordt gehouden met de faalkans van de gekozen componenten. Het uitvoeren van de norm EN ISO 13849 is ook grotendeels gebaseerd op een persoonlijke kijk op de risicosituatie. Een voordeel ten opzichte van de oude norm is dat hier wel rekening wordt gehouden met de faalkans van de componenten. Men bekijkt ook het volledige veiligheidssysteem om te zien of voldaan wordt aan de gestelde veiligheidseisen. Een nadeel ten opzichte van de norm EN IEC 62061 is echter dat in ISO 13849 enkel de ontwerpfase wordt beschreven. In de norm EN IEC 62061 zijn de risicofactoren nauwer omschreven, waardoor minder ruimte is voor persoonlijke inschatting. Dit zorgt ervoor dat de uitkomsten bij bijna elke persoon die de risicobeoordeling uitvoert dezelfde zijn. Een ander groot voordeel is dat deze norm eisen stelt aan alle fasen van de levenscyclus. Een nadeel is dan weer dat de toepassing van de norm niet gemakkelijk is en er een zekere periode nodig is om de uitwerking onder de knie te krijgen.
43
4.5
Europese normen
4.5.1
Norm EN 418
EN 418: veiligheid van machines – functionele aspecten en ontwerpprincipes van noodstopapparatuur. De machinerichtlijn stelt dat iedere machine moet voorzien zijn van één of meer noodstopvoorzieningen waarmee een onmiddellijk dreigende of ontstane gevaarlijke situatie kan worden afgewend. In EN 418 worden de functionele aspecten en principes voor het ontwerp van noodstopapparatuur gedefinieerd. Enkele van de functionele aspecten zijn: •
de componenten moeten veiligheidstechnisch beproefd zijn
•
de bedieningsorganen moeten duidelijk herkenbaar en zichtbaar zijn; rood met gele achtergrond
•
eenvoudig en veilig toegankelijk voor de bediener en andere personen
•
zichzelf vergrendelen na indrukking
•
bij herstart na noodstop moeten twee bewuste handelingen worden uitgevoerd, namelijk het ontgrendelen van de noodstopschakelaar en het resetten van de noodstoprelais
Enkele van de ontwerpen zijn: •
paddestoelvormige drukknoppen
•
kabels, touwen of stangen
•
hendels
•
voetpedalen
4.5.1.1
De stopcategorieën
Noodstoppen kunnen ingedeeld worden in twee categorieën: categorie 0 en 1. •
Stopcategorie 0 doet de machine stoppen door het onmiddellijk afschakelen van de energietoevoer naar alle aandrijvingen. Deze niet bestuurde stop heeft de voorkeur boven de andere stopcategorieën.
•
Stopcategorie 1 doet de machine gecontroleerd stoppen. De spanning blijft aanwezig op die delen die van belang zijn voor het veilig stoppen van de machine. Nadat de machine is gestopt moet alles alsnog spanningsloos worden gezet. Deze stopcategorie, de bestuurde stop, is alleen van toepassing op machines waarbij de onmiddellijke onderbreking van de energietoevoer naar de aandrijvende delen kan leiden tot gevaarlijke situaties of defecten.
44
4.5.1.2
Categorie en uitvoering van het noodstopcircuit
De noodstopschakeling die moet uitgevoerd worden is afhankelijk van de categorie van de schakeling. In de categorieën 1 en 2 wordt gebruik gemaakt van een eenpolige noodstopschakelaar.
Figuur 4.9
Noodstopschakeling volgens categorie 1 en 2
In categorie 3 wordt gebruik gemaakt van een tweepolige noodstopschakelaar. Deze tweepolige schakelaar dient uitgevoerd te zijn zoals op onderstaand schema.
Figuur 4.10
Noodstopschakeling volgens categorie 3
In categorie 4 wordt ook gebruik gemaakt van een tweepolige noodstopschakelaar. Deze tweepolige schakelaar dient uitgevoerd te zijn zoals op onderstaand schema.
Figuur 4.11
Noodstopschakeling volgens categorie 4
45
4.5.2
Norm EN 999
EN 999: veiligheid van machines – de positionering van beschermende apparatuur met betrekking tot naderingssnelheden van delen van het menselijk lichaam. Bij het positioneren van lichtschermen moet het volgende altijd in acht genomen worden: vanaf de activering van de veiligheidsvoorziening tot en met de stilstand van de machine verloopt een vertragingstijd. Daardoor moet de veiligheidsafstand van de gevaarlijke plaats tot het lichtscherm zo groot zijn, dat de gevaarlijke beweging tot stilstand is gekomen alvorens de operator de gevaarlijke plaats bereikt. De minimale afstand wordt conform EN 999 berekent via de volgende formule: Æ S = (K x T) + C
(4.14)
•
S = minimale afstand, in mm, gemeten van de gevaarlijke zone tot aan het lichtpunt
•
K = naderingssnelheid waarmee het te detecteren object (lichaamsdeel of lichaam) de gevaarlijke zone nadert, in mm/s.
•
T = nalooptijd van het complete systeem, in seconden. t1 = reactietijd van de veiligheidsvoorziening t2 = uitlooptijd van de machine
•
C = een extra veiligheidsafstand, in mm, voor het binnendringen in de gevaarlijke zone vooraleer de veiligheidsvoorziening wordt geactiveerd
EN 999 is verder verdeeld in drie hoofdtoepassingen, gebaseerd op de richting van benadering tot het beveiligingsveld. 4.5.2.1
Figuur 4.12
Benaderingsrichting normaal
Minimale veiligheidsafstand bij normale benaderingsrichting
S = (K x T) + C = (K x T) + 8 x (d – 14)
(4.15)
met: d = de resolutie (detecteercapaciteit) van het lichtgordijn, in mm. De resolutie is de afmeting van een obstructie die veilig gedetecteerd wordt op elke positie in het beschermende veld en dus resulteert in een stopcommando. Bij een minimum afstand S ≤ 500mm is de waarde voor K = 2000mm/s. In dit geval is de minimale waarde voor S niet kleiner dan 100mm. Bij een minimum afstand S > 500mm is de waarde voor K = 1600mm/s. In dit geval is de minimale waarde voor S niet kleiner dan 500mm. Voor een resolutie d < 40mm gebruikt men de basisformule. Voor een resolutie d > 40mm wordt de waarde van C bepaald op 850mm.
46
Voor de rondhoekmachine is de normale benaderingsrichting van toepassing. De tabel op de volgende pagina is een tabel met verschillende nalooptijden van de machine. De reactietijden van de veiligheidscomponenten zijn gegeven en moeten opgeteld worden bij de nalooptijd. T = t1 + t2
met en
t1 = (lichtscherm + PNOZmulti) t2 = uitlooptijd machine
(4.16)
De reactietijd van het lichtscherm hangt af van het type lichtscherm dat gekozen wordt. Zo kan een onderscheid gemaakt worden tussen vingerbescherming en handbescherming. Vingerbescherming: t = 0,030s Æ t1 = (0,030 + 0,015) Handbescherming: t = 0,018s Æ t1 = (0,018 + 0,015) Aan de hand van de tabel kan zo gemakkelijk de veiligheidsafstand afgelezen worden voor een aantal nalooptijden van de machine. Tabel 4.14
nalooptijd [s]
t1 + 0,200 t1 + 0,250 t1 + 0,300 t1 + 0,350 t1 + 0,400 t1 + 0,450 t1 + 0,500 t1 + 0,550 t1 + 0,600 t1 + 0,650 t1 + 0,700 t1 + 0,750 t1 + 0,800 t1 + 0,850 t1 + 0,900 t1 + 0,950 t1 + 1,000
Veiligheidsafstanden bij verschillende nalooptijden van de rondhoekmachine
S [mm] Vingerbescherming t1 = (0,030 + 0,015) K = 2000 K = 1600 490 590 (472) -> 500 690 552 790 632 890 712 990 792 1090 872 1190 952 1290 1032 1390 1112 1490 1192 1590 1272 1690 1352 1790 1432 1890 1512 1990 1592 2090 1672
Handbescherming t1 = (0,018 + 0,015) K = 2000 K = 1600 594 501 694 581 794 661 894 741 994 821 1094 901 1194 981 1294 1061 1394 1141 1494 1221 1594 1301 1694 1381 1794 1461 1894 1541 1994 1621 2094 1701 2194 1781
47
4.5.2.2
Benaderingsrichting parallel aan beveiligingsveld
Figuur 4.13
Minimale veiligheidsafstand bij parallelle benaderingsrichting
S = (K x T) + C = (K x T) + (1200mm – 0,4H) met:
(4.17)
H = de hoogte van het beveiligingsveld boven het referentieniveau.
De hoogte H mag niet groter zijn dan 1000mm. De minimumhoogte wordt berekend met de formule: Æ H = 15 x (d – 50mm) (4.18) 4.5.2.3
Figuur 4.14
Benaderingsrichting in willekeurige hoek
Minimale veiligheidsafstand bij benaderingsrichting in hoek
Bij een hoek β > 30° gebruik je de formules voor een normale benadering. Bij een hoek β < 30° gebruik je de formules voor een parallelle benadering.
48
4.5.3
Norm ISO 12100-1
ISO 12100-1: veiligheid van machines – basisbegrippen, algemene ontwerpbeginselen – deel 1: basisterminologie, methodologie. Wanneer het niet mogelijk is de veiligheid en de gezondheid van de werknemers volledig te waarborgen, treft de werkgever passende maatregelen om de risico’s tot een minimum te beperken. In de norm ISO 12100-1 wordt de verplichte volgorde van risicoreductie weergegeven. Ten eerste zal men proberen het gevaar te voorkomen of beperken bij de bron. Om dit te doen, moet men het ontwerp bestuderen en eventueel aanpassen vooraleer de machine wordt gebouwd. Indien de machine al gebouwd is of wanneer het niet of onvoldoende mogelijk is om aan de bron in te grijpen, zullen collectieve beschermingsmaatregelen genomen moeten worden. Enkele voorbeelden van collectieve beschermingsmaatregelen zijn de mechanische afschermingen, lichtschermen, tweehandenbediening, etc. Een volgende stap bestaat uit individuele bescherming zijn. Enkele voorbeelden zijn een maliënkolder, een valhelm, een veiligheidsbril, etc. De laatste stap is het nemen van organisatorische maatregelen zoals waarschuwingsstickers, bedieningsinstructies, etc.
49
5
UITWERKEN VAN DE NORMEN
5.1
Inleiding
De verschillende normen EN 954-1, ISO 13849 en IEC 62061 worden toegepast om beveiligingsmaatregelen voor de rondhoekmachine te treffen die voldoen aan de huidige stand der techniek. Hierbij spelen de eerder genoemde risico’s ‘vingers onder het rondhoekmes’, ‘foute positie van het kaartendeck’ en ‘afvoeren van het afgeronde kaartendeck’ (zie 2.2.2) een belangrijke rol. De verschillende risico’s worden apart bekeken om zo te kunnen onderscheiden welk het gevaarlijkste risico is en hoe dit moet beveiligd worden. Het gevaarlijkste risico bepaalt dus de uiteindelijke categorie, Performance Level of Safety Integrity Level waaraan het beveiligingssysteem moet voldoen. De verschillende stappen worden één voor één doorlopen en uitgewerkt om zo tot een goede beveiliging te komen.
5.2
Uitwerken van de norm EN 1050
Risicobeoordeling volgens de norm EN 1050 is de eerste stap die moet worden uitgevoerd in de drie normen voor functionele veiligheid. Deze norm, uitgewerkt voor de rondhoekmachine, geeft de volgende resultaten. 5.2.1.1
Stap 1: bepalen van de grenzen van de machine
De grenzen worden bepaald door het opmeten van de rondhoekmachine. Æ l x b x h = 1400mm x 1000mm x 1200mm 5.2.1.2
Stap 2: identificatie van de gevaren
Na het bestuderen van de machine en het overleggen met de verschillende operatoren en met de preventieadviseur worden de verschillende gevaren geformuleerd. (zie ook 2.2.2) Æ vingers onder het rondhoekmes Æ foute positie van het afgeronde kaartendeck Æ afvoeren van het afgeronde kaartendeck 5.2.1.3
Stap 3: de risicoschatting
Risicoschatting wordt enkel uitgevoerd voor het eerste gevaar: ‘vingers onder het rondhoekmes’ omdat dit gevaar de meest ernstige gevolgen heeft. Æ E = 2: ernstig en meestal onherstelbaar Æ B = 1: de blootstelling is zelden of soms Æ W = 2: de waarschijnlijkheid is gemiddeld Æ G = 2: een gevaarsafwending is niet mogelijk Æ De risicoschatting geeft een risiconiveau gelijk aan 6. Dit is een risiconiveau behorende tot klasse 2 en geeft aan dat het om een middelgroot risico gaat.
50
5.2.1.4
Stap 4: de risico-evaluatie
Æ Aangezien een risiconiveau van 6 bekomen werd, zijn er veiligheidsmaatregelen noodzakelijk.
5.3
Volgens de norm EN 954-1
Opdat de juiste volgorde van de ontwerpstrategie gerespecteerd zou worden, begint men steeds met een risicobeoordeling volgens de norm EN 1050. Deze risicobeoordeling werd hierboven reeds uitgevoerd (zie 5.2) en het resultaat was dat beveiligingsmaatregelen genomen moeten worden. Aan de bron, met andere woorden aan het ontwerp, kunnen geen aanpassingen meer gebeuren bij de rondhoekmachine. Er zal moeten gewerkt worden met collectieve beschermmaatregelen. De categorie waaraan de beveiligingsmaatregelen moeten voldoen om een goede beveiliging te hebben, wordt bepaald door de verschillende risico’s te bekijken met behulp van de risicograaf. 5.3.1
Vingers onder het mes
De mate van verwonding: er treden zware verwondingen op die onomkeerbaar zijn, namelijk het amputeren van vingers. Æ S = S2 Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine en indien er een fout optreedt onder het rondhoekmes is de blootstellingtijd kort. Æ F = F1 De mogelijkheid tot het afwenden van het gevaar: de snijbeweging gebeurt snel en de afstand die deze beweging overbrugt, is kort. Er is bijna geen mogelijkheid tot het afwenden van het gevaar. Æ P = P2
Figuur 5.1
Categoriebepaling bij het risico ‘vingers onder het mes’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan categorie 2 of categorie 3.
51
5.3.2
Foute positie van het kaartendeck
De mate van verwonding: er treden geen zware verwondingen op, enkel lichte, omkeerbare verwondingen zoals schaafwonden of lichte kneuzingen. Æ S = S1 Op de risicografiek kunnen we zien dat de andere risicoparameters in dit geval geen invloed meer hebben.
Figuur 5.2
Categoriebepaling bij het risico ‘foute positie van het kaartendeck’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan categorie 1. 5.3.3
Afvoeren van het afgeronde kaartendeck
De mate van verwonding: er treden zware verwondingen op, namelijk het breken van vingers. Æ S = S2 Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine en indien er een fout optreedt bij het afvoeren van de kaartendecks is de blootstellingtijd kort. Æ F = F1 De mogelijkheid tot het afwenden van het gevaar: de afvoerbeweging is een eerder trage beweging. Er is voldoende ruimte om de vingers terug te trekken zodat er geen gevaar ontstaat. Æ P = P1
52
Figuur 5.3
Categoriebepaling bij het risico ‘afvoeren van het afgeronde kaartendeck’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan categorie 1 of categorie 2. 5.3.4
Besluit
Na het uitwerken van de verschillende risico’s met de risicograaf kan besloten worden dat het grootste risico gelopen wordt indien met de vingers onder het rondhoekmes terecht wordt gekomen. De beveiligingsmaatregelen moeten hierdoor voldoen aan categorie 2 of categorie 3. Dit is een voorbeeld van één van de nadelen van de norm EN 954-1. Alles is vrij subjectief. Dit nadeel zou kunnen weggewerkt worden door de risicoanalyse in groep uit te voeren. Na het voeren van een discussie kan dan geopteerd worden voor één categorie. Als men kiest voor categorie 2, wordt gekozen voor de goedkopere en iets gemakkelijkere oplossing omdat hier alles nog enkelpolig mag uitgevoerd worden. Om te voldoen aan categorie 3 moet alles redundant uitgevoerd worden.
53
5.4
Volgens de norm EN ISO 13849-1
De ontwerpstrategie volgens de norm ISO 13849-1 omvat een 6-tal stappen. Door het volgen van deze stappen kom je tot een goede beveiliging met een gekende Performance Level. 5.4.1
Voorbereidende stap: risicobeoordeling van de machine uitvoeren
Vooraleer aan het stappenplan wordt begonnen, wordt een risicobeoordeling, volgens de norm EN 1050, uitgevoerd om te zien of op de machine wel degelijk veiligheidsfuncties dienen aangebracht te worden. De risicobeoordeling voor de rondhoekmachine is reeds uitgevoerd in paragraaf 5.2. Conclusie was dat risicoreducerende maatregelen genomen dienen te worden. 5.4.2
Stap 1: veiligheidsfuncties definiëren
De veiligheidsfunctie heeft als taak de machine in een veilige toestand te brengen wanneer: •
de operator onverwacht (in een reflex) ingrijpt aan de carrousel
•
er onderhoud van de machine nodig is, mag de machine niet ongewenst opstarten
Er moet rekening gehouden worden met de ergonomie voor de werknemers bij de keuze van de veiligheidsfuncties. Op de rondhoekmachine is het in functie van onderhoud van belang dat de bereikbaarheid blijft behouden. Een vaste hekafdichting kan zo al uitgesloten worden. Drie mogelijke oplossingen worden besproken in volgorde van lage tot hoge geschiktheid. Een eerste optie is het gebruik van hekken met deuren. De deuren worden beveiligd met magneetsensoren. De bereikbaarheid van de machine met het oog op de ergonomie voor de werknemers is hier niet zo goed. Ten tweede kan een combinatie van lichtschermen met vaste hekbeveiligingen gekozen worden. Door de vaste hekken is de bereikbaarheid van sommige plaatsen niet minder goed. De hekken moeten gedemonteerd worden alvorens hierachter kan worden ingegrepen. De derde optie is het gebruik van enkel lichtschermen. Hier is de bereikbaarheid het beste. De machine dient stil te vallen wanneer deze in beweging is en het lichtscherm onderbroken wordt of de hekdeuren geopend worden. Nadat het hek geopend is, of tijdens het onderbreken van het lichtscherm, mag het niet mogelijk zijn de machine opnieuw op te starten. Op de rondhoekmachine zijn reeds veiligheidsfuncties aanwezig waaronder een noodstopknop. De noodstopknop staat binnen het bereik van de gevaarlijke situatie bij het rondhoekmes. Zo kan op de noodstop gedrukt worden indien een andere veiligheidsfunctie zou falen.
54
5.4.3
Stap 2: bepalen van het vereiste Performance Level
De parameters die in deze norm worden gebruikt zijn dezelfde als degene die worden gebruikt in de norm EN 954-1. Maar in plaats van een categorie wordt in deze norm een Performance Level bepaald. Hiervoor moet een andere risicografiek gevolgd worden. 5.4.3.1
Vingers onder het mes
De mate van verwonding: er treden zware verwondingen op die onomkeerbaar zijn, namelijk het amputeren van vingers. Æ S = S2 Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine en indien er een fout optreedt onder het rondhoekmes, is de blootstellingtijd kort. Æ F = F1 De mogelijkheid tot het afwenden van het gevaar: de snijbeweging is een snelle beweging en de afstand die deze beweging overbrugt is kort. Er is bijna geen mogelijkheid tot het afwenden van het gevaar. Æ P = P2
Figuur 5.4
PLr bepalen bij het risico ‘vingers onder het mes’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan een PLr = d.
55
5.4.3.2
Foute positie van het kaartendeck
De mate van verwonding: er treden geen zware verwondingen op, enkel lichte omkeerbare verwondingen zoals schaafwonden en lichte kneuzingen. Æ S = S1 Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine en indien er een fout optreedt met betrekking tot de positie van de kaartendecks, is de blootstellingtijd kort. Æ F = F1 De mogelijkheid tot het afwenden van het gevaar: de machine staat stil tijdens het wegnemen van het kaartendeck. Indien de carrousel ineens begint te draaien zal men geen actie meer kunnen ondernemen. Zodoende zal er weinig of geen mogelijkheid zijn tot het afwenden van het gevaar. Æ P = P2
Figuur 5.5
PLr bepalen bij het risico ‘foute positie van het kaartendeck’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan een PLr = b. 5.4.3.3
Afvoeren van het afgeronde kaartendeck
De mate van verwonding: er treden zware verwondingen op, namelijk het breken van vingers. Æ S = S2 Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine en indien er een fout optreedt bij het afvoeren van de kaartendecks is de blootstellingtijd kort. Æ F = F1 De mogelijkheid tot het afwenden van het gevaar: de afvoerbeweging is een eerder trage beweging. Er is voldoende ruimte om de vingers terug te trekken zodat er geen gevaar ontstaat. Æ P = P1
56
Figuur 5.6
PLr bepalen bij het risico ‘afvoeren van het afgeronde kaartendeck’
Op de risicografiek kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan een PLr = c. 5.4.3.4
Besluit
Na het uitwerken van de verschillende risico’s met de risicograaf kan besloten worden dat het grootste risico gelopen wordt indien met de vingers onder het rondhoekmes wordt gereikt. De beveiligingsmaatregelen moeten bijgevolg voldoen aan Performance Level d. Æ PLr = d 5.4.4
Stap 3: vormgeving en technische realisatie van veiligheidsfuncties
Als lichtscherm is er de keuze tussen een handbeveiliging en een vingerbeveiliging. Omwille van de kortere veiligheidsafstand die mogelijk is bij vingerbeveiliging wordt hiervoor geopteerd. Dit omdat de ruimte rond de rondhoekmachine beperkt is. Het lichtscherm dat gebruikt wordt, is een vingerbeveiligingslichtscherm van het type 4 van PSENopt met een hoogte van 750mm. Type 4 wordt gekozen omdat dit type gebruikt wordt bij toepassingen met een hoger risico, met name categorie 3 of 4. Een hoogte van 750mm is noodzakelijk om de gevaarlijke zone voldoende af te schermen. Zo kan niet over of onder de lichtschermen worden ingegrepen in de gevaarlijke zone zonder dat de lichtstralen worden onderbroken. Door het gebruik van keerspiegels kan de beveiliging van de rondhoeker gerealiseerd worden met slechts 1 lichtscherm. Æ PSENop4F – s – 14 – 075 van Pilz De hekbewaking wordt gerealiseerd door een contactloze magneetsensor. Van zodra een hekdeur wordt geopend valt de machine stil. Æ PSEN 2.1p – 20 van Pilz Het verwerken van de sensorsignalen gebeurt door een modulair veiligheidssysteem zoals de PNOZmulti. Æ PNOZ m0p van Pilz
57
De uitschakeling van de aandrijving vindt plaats door middel van een frequentieregelaar. De frequentieregelaar zorgt voor een gecontroleerde stop. De spanning blijft behouden tot alles stilstaat. Indien de spanning onmiddellijk wordt weggenomen gaan de frequentieregelaars in storing. Æ Micromaster 420 van Siemens 5.4.5
Stap 4: bepalen van het PL en kwantitatieve beschouwing
5.4.5.1
De eerste optie: magneetschakelaar met verwerking via PNOZmulti
•
De magneetschakelaar PSEN 2.1p – 20 heeft de volgende gegevens: Æ B10 = 2000000 Æ Failure mode ratio (safe/dangerous) = 0,1111 Om tot de MTTFd te komen gebruiken we de formule Æ MTTFd = B10 / (0.1 * nop) met nop = (dop * hop * 3600) / Tcyclus en dop = gemiddelde werktijd in dagen/jaar = 340 hop = gemiddelde werktijd in uren/dag = 24 Tcycle = gemiddelde tijd tussen 2 cyclussen = 300 seconden
(5.1) (5.2)
Dit geeft als resultaat voor MTTFd = ± 205 Æ MTTFd = high Æ DC = high Æ categorie 4 Het resultaat na het aflezen van de grafiek geeft een PL = e. •
Volgende gegevens van de PNOZmulti worden verkregen via Pilz: Æ MTTFd = 21 Æ MTTFd = medium Æ DC = high Æ categorie 4 Het resultaat na het aflezen van de grafiek geeft een PL = e.
5.4.5.2
De tweede optie: lichtschermen + hekken met verwerking via PNOZmulti
Deze optie geeft hetzelfde resultaat als de volgende optie. De lichtschermen bewaken de gevaarlijke zone en de hekken zorgen voor een extra veiligheid rond de overige zones van de machine. 5.4.5.3
De derde optie: lichtscherm met verwerking via PNOZmulti
•
Het lichtscherm is een ‘certified component’ met een vaste PFHd. Æ PFHd = 3,79 * 10-9 Dit resulteert in een PL = e.
•
De PNOZmulti is dezelfde als bij optie 1: PL = e.
58
5.4.6
Stap 5: verificatie
5.4.6.1
De eerst optie: PSENmag (hekken) + PNOZmulti
Æ PFHd = 5,55 * 10-11 + 1,087 * 10-8 = 1,09 * 10-8 Dit resulteert in een PL = e ≥ PLr = d. De oplossing voldoet en kan worden geïmplementeerd. 5.4.6.2
De tweede optie: PSENopt + PNOZmulti + hekken
De oplossing is identiek aan de derde optie. De oplossing voldoet en kan worden geïmplementeerd. 5.4.6.3
De derde optie: PSENopt + PNOZmulti
Æ PFHd = 3,79 * 10-9 + 1,087 * 10-8 = 1,466 * 10-8 Dit resulteert in een PL = e ≥ PLr = d. De oplossing voldoet en kan worden geïmplementeerd. 5.4.7
Stap 6: valideren
Indien het veiligheidssysteem aan alle eisen voldoet mag het geïmplementeerd worden.
59
5.5
Volgens de norm EN IEC 62061
De ontwerpstrategie volgens de norm IEC 62061 bestaat uit een aantal stappen. Door het volgen van deze stappen komt men tot een goede beveiliging met een gekende Safety Integrity Level. 5.5.1
Voorbereidende stap: risicobeoordeling van de machine uitvoeren
Vooraleer aan het stappenplan begonnen wordt, wordt een risicobeoordeling, volgens de norm EN 1050, uitgevoerd om te zien of op de machine wel degelijk veiligheidsfuncties dienen aangebracht te worden. De risicobeoordeling voor de rondhoekmachine werd reeds uitgevoerd in paragraaf 5.2. Conclusie was dat risicoreducerende maatregelen genomen dienen te worden. 5.5.2
Stap 1: veiligheidsplan voorbereiden
•
Welke activiteiten zijn nodig? De machine moet stilvallen bij een ongecontroleerde beweging van een persoon. Of indien er onderhoud van de machine nodig is mag de machine niet ongewenst starten.
•
Welke strategie is nodig om te voldoen aan de veiligheidseisen en om de veiligheidsfuncties te implementeren? - Om te voldoen aan de veiligheidseisen zal er gebruik gemaakt worden van componenten met de geschikte structuur, zelfcontrole, … - Bij het implementeren wordt rekening gehouden met ergonomie. Blijft de machine goed bereikbaar voor de operatoren, onderhoud, etc.
•
Het identificeren van personeel en verantwoordelijkheden. De operatoren zijn verantwoordelijk voor de goede werking van de machine.
•
Zijn stop- en startfuncties aanwezig? - Op de machine zijn stop- en startfuncties aanwezig. - De noodstop is binnen het bereik van de gevaarlijke situatie bij het rondhoekmes gemonteerd. Zo kan de knop ingedrukt worden indien andere veiligheidsfuncties falen.
5.5.3
Stap 2: reduceer de risico’s
De machine is bestaande. Aan de bron kan niet meer ingegrepen worden. Dit betekent dat collectieve beschermingsmaatregelen nodig zijn. 5.5.4
Stap 3: bepaal de benodigde SRCF
Drie mogelijke oplossingen die besproken worden zijn: hekbeveiliging met deuren en hekbeveiligingsschakelaar, lichtschermen + vaste hekbeveiliging en enkel lichtschermen. Deze oplossingen zijn reeds uitgelegd bij de uitwerking van de norm ISO 13849-1 (zie 5.4.2).
60
5.5.5
Stap 4: bepaal het vereiste SIL-niveau (Target-SIL) van de SRCF
Het vaststellen van de safety integrity level vindt plaats voor elk gevaar waarvan het risico door besturingstechnische maatregelen moet worden gereduceerd. Het vereiste SIL-niveau kan worden afgelezen aan de hand van een tabel in Excel. Tabel 5.1
Tabel in Excel voor bepalen van het vereiste SIL
mate van verwonding
Ernst S
de dood, verlies van een oog of arm
4
Niet omkeerbaar, verlies van vingers
3
Omkeerbaar, medische zorg nodig
2
Omkeerbaar, eerste hulp
Class CL 3-4 SIL 2
5-7
Frequentie en/of duur 8-10 11-13 14-15
SIL 2 SIL 2 SIL 3 SIL 3 OM
SIL 1 SIL 2 SIL 3 OM
1
F ? 1uur 1h < F < 1 dag
Vermijden
W
P
5 zeer hoog
5
5 waarschijnlijk
4
SIL 1 SIL 2
1 dag < F < 2 weken
4 mogelijk
3 onmogelijk
5
OM
2 weken < F < 1 jaar
3 zelden
2 zelden
3
2 verwaarloosbaar
1 waarschijnlijk
1
SIL 1
1 jaar < F
5.5.5.1
Waarschijnlijkheid
Vingers onder het mes
Frequentie en/of tijd van de blootstelling: de decks worden automatisch onder het mes gebracht (niet door de bediener) en er zijn bijna geen problemen met de rondhoekmachine. Indien toch een fout optreedt onder het mes is de blootstellingtijd kort. Frequentie kan bepaald worden tussen 1 uur en 1 dag. ÆF=5 Waarschijnlijkheid dat men aan het gevaar wordt blootgesteld: bij één van de zeldzame fouten met het rondhoekmes is het mogelijk dat men in de gevarenzone moet ingrijpen. ÆW=3 De mogelijkheid tot het afwenden van het gevaar: het rondhoekmes beweegt op en neer met een aanzienlijke frequentie en snelheid. De te overbruggen afstanden zijn klein. De mogelijkheid tot het afwenden van het gevaar is hierdoor zo goed als onbestaand. ÆP=5 De verschillende parameters werden bepaald en kunnen gebruikt worden om de klasse te bereken. Æ CL = F + W + P = 5 + 3 + 5 = 13 De mate van verwonding: contact met het rondhoekmes kan aanleiding geven tot ernstige verwondingen met name amputatie van vinger(s) of hand. ÆS=3
Figuur 5.7
SIL bepalen bij het risico ‘vingers onder het mes’
In de tabel kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan SIL 2.
61
5.5.5.2
Foute positie van het kaartendeck
Frequentie en/of tijd van de blootstelling: er zijn bijna geen problemen met de rondhoekmachine. Indien er toch een probleem optreedt met betrekking tot de positie van de kaartendecks is de blootstellingstijd kort. De frequentie kan bepaald worden tussen 1uur en 1 dag. ÆF=5 Waarschijnlijkheid dat men aan het gevaar wordt blootgesteld: het zal zelden tot nooit voorvallen dat de machine begint te werken tijdens het wegnemen van de kaarten die fout gepositioneerd liggen. ÆW=1 De mogelijkheid tot het afwenden van het gevaar: de machine staat stil tijdens het wegnemen van het kaartendeck. Indien de carrousel ineens begint te draaien zal men geen actie meer kunnen ondernemen zodoende zal er weinig mogelijkheid zijn tot het afwenden van het gevaar. ÆP=5 De verschillende parameters werden bepaald, waardoor de klasse berekend kan worden. Æ CL = F + W + P = 5 + 1 + 5 = 11 De mate van verwonding: er treden geen zware verwondingen op, enkel lichte omkeerbare verwondingen zoals schaafwonden en lichte kneuzingen. ÆS=2
Figuur 5.8
SIL bepalen bij het risico ‘foute positie van het kaartendeck’
In de tabel kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan SIL 1. 5.5.5.3
Afvoeren van het afgeronde kaartendeck
Frequentie en/of tijd van de blootstelling: de decks worden automatisch van de carrousel weggenomen. Problemen treden in deze zone bijna niet op. De frequentie van in aanraking komen met het wegnemen van het kaartendeck kan bepaald worden tussen 1 dag en 2 weken. ÆF=4 Waarschijnlijkheid dat men aan het gevaar wordt blootgesteld: indien een zeldzame fout optreedt in de zone is het mogelijk dat men moet ingrijpen. ÆW=3 De mogelijkheid tot het afwenden van het gevaar: de afstanden die hier overbrugd moeten worden zijn klein en de frequentie van het wegnemen is hoog. Er is bijna geen mogelijkheid tot het afwenden van het gevaar. ÆP=5
62
Na het bepalen van de verschillende parameters kan de klasse berekend worden. Æ CL = F + W + P = 4 + 3 + 5 = 12 De mate van verwonding: er treden zware verwondingen op die niet omkeerbaar zijn in een relatief korte periode, namelijk het kneuzen of breken van vingers. ÆS=3
Figuur 5.9
SIL bepalen bij het risico ‘afvoeren van het afgeronde kaartendeck’
In de tabel kunnen we aflezen dat de machine moet beveiligd worden met componenten die voldoen aan SIL 2. 5.5.5.4
Besluit
Na het uitwerken van de verschillende risico’s met de risicograaf kan besloten worden dat het grootste risico gelopen wordt indien met de vingers onder het rondhoekmes terecht wordt gekomen. De beveiligingsmaatregelen moeten bijgevolg voldoen aan een Safety Integrity Level 2. Æ Target-SIL = 2 5.5.6 •
Stap 5: specificeer voor de SRCF de SRS
Opsomming af te koppelen aandrijvende delen. De frequentieregelaar geeft spanning aan één elektromotor. Deze elektromotor is de enige aandrijfbron voor alle bewegende onderdelen. - Het ronddraaien van de carrousel, het opleggen en afvoeren van de kaartendecks en het snijden en verzamelen van de kaartendecks wordt mechanisch aangedreven via tandwielverbindingen en riemverbindingen. Door het wegvallen van de aandrijfbron vallen deze onderdelen stil. - Het op en neer bewegen van het rondhoekmes, het neerdrukken van het plaatje achter aan de grijper en het goedduwen van het kaartendeck wordt door een pneumatische cilinder aangedreven. De pneumatische cilinder ontvangt een aantal inputs. Indien al de inputs correct zijn zal de cilinder zijn beweging uitvoeren, zoniet dan blokkeert hij. Wanneer de aandrijfbron stilvalt zullen de inputs niet meer correct zijn en zal de cilinder blokkeren. Door het stilvallen van de elektromotor zullen alle bewegende delen naar een rusttoestand evolueren.
63
•
Noodzakelijke responstijd van de totale SRCF. De noodzakelijke responstijd (in seconden) bestaat uit de responstijd van het lichtscherm, de cyclustijd van de PNOZmulti en de uitlooptijd van de machine. T = t1 + t2
met en
t1 = (lichtscherm + PNOZmulti) t2 = nalooptijd machine
De responstijd van het lichtscherm en de cyclustijd van de PNOZmulti liggen vast. De uitlooptijd van de machine wordt bepaald door de instelling van de frequentieregelaar. De frequentieregelaar zal de frequentie in een aantal stappen laten dalen tot 0Hz en zo de motor afremmen tot stilstand. De tijd die hiervoor nodig is, wordt de rampdown time (parameter p1121) genoemd. De ramp-down time staat op het moment dat hij wordt afgelezen op 0,700s. Op de machine is ook een rem aanwezig. Wanneer deze wordt ingeschakeld, wordt bepaald door parameter p731 van de frequentieregelaar. Deze parameter staat momenteel op de waarde r53.2. Dit betekent dat de rem opkomt wanneer de frequentie kleiner wordt dan de minimum frequentie. De minimum frequentie wordt dan weer ingesteld door parameter p1080. In deze parameter kan afgelezen worden dat de minimum frequentie is ingesteld op 0Hz. Met andere woorden: de rem zal pas opkomen wanneer de machine geen spanning meer krijgt. De machine zal om wille van de grote wrijvingskrachten stil staan vooraleer de rem opkomt. Als uitlooptijd van de machine kan bij deze instellingen dus best de ramp-down time worden genomen. De uitlooptijd bedraagt ongeveer 0,700s. T = (0,030 + 0,015) + 0,700 = 0,745s •
De daaruit vloeiende minimale veiligheidsafstand. De bepaling van de minimale veiligheidsafstand wordt besproken in 4.5.2. Uit de tabel die daar is uitgewerkt kan afgelezen worden dat bij vingerbescherming en een responstijd van 0,745s de minimale afstand 1192mm bedraagt.
Opmerking: De veiligheidsafstand is aanzienlijk groot bij de huidige uitlooptijd. Met betrekking op de ergonomie is het aangeraden de uitlooptijd te verlagen. Het verlagen van de ramp-down time is een mogelijkheid. De ramp-down time kan tot op zekere hoogte verlaagd worden. Indien deze te kort wordt genomen zal de frequentieregelaar in storing gaan. Een andere mogelijkheid is het sneller laten opkomen van de rem.
64
5.5.7
Stap 6: bedenk een functionele architectuur voor de SRCF
Sensor: bestaat uit 1 lichtscherm of 1 magneetschakelaar. De logische operator: gebruik makend van 1 veiligheidscomponent. De actuator: 1 frequentieregelaar.
Figuur 5.10
Architectuur: lichtscherm, PNOZmulti en Micromaster 420
of
Figuur 5.11
5.5.8
Architectuur: magneetschakelaar, PNOZmulti en Micromaster 420
Stap 7: maak een conceptontwerp voor de SRCF
De inwendige structuur van de veiligheidscomponenten wordt redundant gekozen zodat één enkele fout niet leidt tot het falen van de veiligheidscomponenten. De inwendige structuur moet een 1oo2 ontwerp hebben. 5.5.9
Stap 8: kies voor de SRCF de benodigde veiligheidscomponenten of ontwerp deze zelf
Lichtscherm: Magneetsensor: Logische operator: Actuator:
PSENopt PSENmag PNOZmulti Frequentieregelaar
Æ Æ Æ Æ
PSENop4F – s – 14 – 075 PSEN 2.1p – 20 PNOZ m0p Micromaster 420
65
5.5.10
Stap 9: bepaal de zogenaamde SILCL van de complete veiligheidsfunctie
HFT = 1 want de inwendige structuur is op 1oo2 bepaald. Om de SFF te bepalen moet bijlage D van de norm IEC 62061 bekeken worden. Hierin staan een aantal foutsituaties omschreven die geïnterpreteerd moeten worden als zijnde veilig of gevaarlijk falen. Zo kan via de formule een uiteindelijk percentage van SFF bekomen worden. Deze werkwijze is niet gevolgd. Het percentage wordt dus geschat op ± 95%. SFF = ± 95%
Figuur 5.12
Bepalen van SILCL
De SILCL = SIL 3. 5.5.11
Stap 10: bereken het SIL-niveau
5.5.11.1 De eerste optie: magneetschakelaar met verwerking via PNOZmulti •
De magneetschakelaar PSEN 2.1p – 20 heeft de volgende gegevens: Æ B10 = 2000000 Æ Failure mode ratio (safe/dangerous) = 0,1111 Æ C = 1 [1/h] Æ DC = 0,99 We hebben hier te maken met een aan slijtage onderworpen component. Hiermee moet rekening worden gehouden bij het berekenen van λ. Æ λ = (0,1 * C) / B10 = (0,1 * 1) / 2*10-6 = 5*10-8 Æ λD = λ * aandeel van gevaarlijk falen in % Æ λD = 0,1111 * 5*10-8 = 5,55*10-9
(5.3) (5.4)
We kiezen een subsysteem dat we gaan gebruiken om de componenten te implementeren. Æ subsysteem C wordt gekozen omdat bij dit systeem slechts één component moet geplaatst worden. (cfr. 4.8) Æ λDssC = 5,55*10-9 * (1 – 0,99) = 5,55*10-11 -11 -11 -11 (cfr. 4.9) Æ PFHDssC = 5,55*10 * C = 5,55*10 * 1 = 5,55*10 Dit resulteert in een SIL = 3.
66
•
Volgende gegevens van de PNOZmulti worden verkregen via Pilz: Æ MTTFd = 21 Om de PFHd voor deze norm uit te rekenen moet de MTTFd omgezet worden in een λ waarde. (5.5) Æ λ = 1 / MTTFd = 1 / (21jaar * 8760h/jaar) = 5,44*10-6 Æ C = duty cycle = 1 De faalkans λ bestaat uit een gedeelte veilig falen (λs) en een gedeelte gevaarlijk falen (λD). (5.6) Æ λ = λs * λ D Æ λD = 0,20 * 5,44*10-6 = 1,09*10-6 (cfr. 5.4) We kiezen een subsysteem dat we gaan gebruiken om de componenten te implementeren. Æ subsysteem C (cfr. 4.8) Æ λDssC = 1,09*10-6 * (1 – 0,99) = 1,09*10-8 (cfr. 4.9) Æ PFHDssC = 1,09*10-8 * C = 1,09*10-8 * 1 = 1,09*10-8 Dit resulteert in een SIL = 3.
5.5.11.2 De tweede optie: lichtschermen + hekken met verwerking via PNOZmulti Deze optie geeft hetzelfde resultaat als de volgende optie. De lichtschermen bewaken de gevaarlijke zone en de hekken zorgen voor een extra veiligheid rond de overige zones van de machine. 5.5.11.3 De derde optie: lichtscherm met verwerking via PNOZmulti •
Het lichtscherm is een ‘certified component’ met een vaste PFHd. Æ PFHd = 3,79 * 10-9 Dit resulteert in een SIL = 3.
•
De PNOZmulti is dezelfde als bij optie 1: SIL = 3.
5.5.12
Stap 11: voldoet de SRCF
5.5.12.1 De eerste optie: PSENmag (hekken) + PNOZmulti Æ PFHd = 5,55 * 10-11 + 1,087 * 10-8 = 1,09 * 10-8 Dit resulteert een SIL = 3 ≥ Target-SIL = 2. De oplossing voldoet en kan worden geïmplementeerd. 5.5.12.2 De tweede optie: PSENopt + PNOZmulti + hekken De uitwerking is identiek aan de derde optie. De oplossing voldoet en kan worden geïmplementeerd.
67
5.5.12.3 De derde optie: PSENopt + PNOZmulti Æ PFHd = 3,79 * 10-9 + 1,087 * 10-8 = 1,466 * 10-8 Dit resulteert in een SIL = 3 ≥ Target-SIL = 2. De oplossing voldoet en kan worden geïmplementeerd. 5.5.13
Stap 12: valideer of de SRCF voldoet aan de SRS
Als het veiligheidssysteem geïnstalleerd is kan men enkele vagen stellen en beantwoorden om te zien of het veiligheidssysteem voldoet. Bijvoorbeeld: •
Schakelen alle aandrijfcomponenten veilig af?
•
Zijn de afschermingen op de goede afstand geplaatst?
5.5.14
Stap 13: gebruiksinformatie bundelen
Als het veiligheidssysteem geïnstalleerd is, kan men nog nagaan of alle noodzakelijke informatie in de gebruiksinfo zit. Indien dit niet het geval is, wordt nagegaan welke bijkomende documenten nog nodig zijn. 5.5.15
Stap 14: valideren
Indien het veiligheidssysteem aan alle eisen voldoet mag het geïmplementeerd worden.
68
6
VEILIGHEIDSCOMPONENTEN
In dit hoofdstuk worden de gebruikte veiligheidscomponenten toegelicht. De technische gegevens van de componenten worden weergegeven in bijlagen 4 t/m 7
6.1
Wat is een veiligheidscomponent?
•
Een veiligheidscomponent is een component welke volgens de fabrikant een veiligheidsfunctie vervult.
•
Bij een gebrekkige of slechte werking vormt de component een gevaar voor de veiligheid of de gezondheid van de blootgestelde personen.
6.2
Eisen aan veiligheidscomponenten
•
De component moet gedurende zijn ganse levensduur zijn werking kunnen vervullen.
•
Veiligheidscomponenten moeten dezelfde certificatieprocedure als machines ondergaan.
•
Elke veiligheidscomponent moet een IIC-verklaring (conformiteitsverklaring) hebben en eventueel een CE-teken.
6.3
Sensoren
Er worden twee soorten sensoren besproken. De optische elektronische veiligheidsvoorzieningen met daarbij de lichtschermen. En de magnetische veiligheidsschakelaars. 6.3.1
Figuur 6.1
Optische elektronische veiligheidsvoorziening
Symbool lichtscherm
De optische elektronische veiligheidsvoorziening die gebruikt is, is een lichtscherm. Lichtgordijnen en lichtschermen zijn contactloos werkende veiligheidsvoorzieningen (CWB). Ze kunnen worden opgedeeld in lichtschermen voor de bescherming van vingers, handen of het lichaam.
Figuur 6.2
Symbolen vinger-, hand en lichaamsbescherming
69
De lichtschermen worden ook Electro Sensitive Protection Equipment (ESPE) of Active Opto-electronic Protective Device (AOPD) genoemd. Ze maken gebruik van een sensorfunctie met zender en ontvanger, gebaseerd op een optisch systeem volgens de relevante normen EN 61496-1 en EN 61496-2. In de normen EN 61496-1 en EN 61496-2 zijn de eisen vastgelegd waaraan de fotoelektrische veiligheidsvoorzieningen moeten voldoen. •
EN 61496-1: deze B-norm specificeert de algemene eisen voor het ontwerp, de constructie en de test van contactloos werkende beveiligingsinrichtingen (CWB) die worden toegepast voor het afschermen van de gevaarlijke zone(s) van machines.
•
EN 61496-2: deze B-norm specificeert bijzondere eisen voor actieve foto-elektrische beveiligingsinrichtingen.
Een AOPD bestaat uit: •
een sensor
•
bedienings- / bewakingsapparatuur
•
geschakeld uitgangssignaal (OSSD)
De OSSD is de component van het lichtscherm die is aangesloten op het besturingssysteem van de machine. Als de sensor geactiveerd is door onderbreking van de stralen bij normaal bedrijf, reageert deze door naar de UIT-stand te gaan. Zo worden werknemers beschermd tegen letsels op een effectieve manier, zonder hinder. Door hun geïntegreerde plaatsingshulp en hun compacte inbouwmaten laten zij zich ook eenvoudig en snel in bedrijf nemen. Bovendien worden kosten bespaard met geïntegreerde functies zoals muting, blanking en cascadering.
Figuur 6.3
Symbolen muting, blanking en cascadering
Muting dient ter onderscheiding van mens en machine. Het is het tijdelijk overbruggen van een veiligheidsvoorziening. Zo kan men materiaal naar of vanuit een gevaarlijke zone vervoeren zonder uitval van de machine. Bijvoorbeeld om het materiaal op paletten te plaatsen of van de paletten af te halen. Blanking dient voor het flexibele en ongestoorde verloop van de productie te garanderen. Het is een functie waarmee een gedefinieerd bereik van het lichtscherm kan worden uitgeschakeld. Zodoende zal de doorloop van het materiaal de beveiligingsfunctie niet uitschakelen en wordt het productieproces niet verstoord. Cascadering dient voor het eenvoudige afschermen van naastgelegen beveiligingszones. Daartoe verbindt het een master lichtscherm met een slave, met behulp van een connector. De afzonderlijke eenheden behouden dan dezelfde test- en diagnoseprocedure. Een dergelijke cascadering kan bijvoorbeeld gebruikt worden om de voor-, boven- en achterzijde van een machine met slechts één lichtschermsysteem af te schermen.
70
Naast deze drie functies is er ook nog de terugkoppelcircuitfunctie voor kleine, lokale installaties. Deze functie zorgt voor de bewaking van de schakeltoestand van de magneetschakelaars of veiligheidsrelais die aan de uitgangen van de optische veiligheidsfuncties zijn aangesloten. Voordelen: •
meer ergonomisch verantwoorde werkplekken, vergeleken met mechanische veiligheidsvoorzieningen
•
maximale veiligheid op basis van normen en richtlijnen voor contactloos werkende beveiligingsinrichtingen getest en goedgekeurd
•
geïntegreerde extra functies: muting, blanking, cascadering en terugkoppelcircuitbewaking
•
snelle installatie en eenvoudig onderhoud door eenvoudige aansluittechniek en geprefabriceerde kabel
•
eenvoudige ingebruikneming en economisch in gebruik door compacte inbouwmaten, grote flexibiliteit, geïntegreerde plaatsingshulp en ingebouwde diagnosefunctie
6.3.2
Contactloze, magnetische veiligheidsschakelaars
Deurbewakingsschakelaars vormen zeer belangrijke soorten veiligheidsapparatuur om gevaarlijke situaties te voorkomen, door de spanning van de machine te verwijderen. Contactloze, magnetische veiligheidsschakelaars zijn geschikt voor zowel standbewaking van beweegbare afschermingen, als voor positiebewaking. Als besloten is om de machine te beveiligen met veiligheidshekken, moet men er zeker van zijn dat de enige toegang naar het gevaarlijke gebied via de afscherming is. Indien de afscherming geopend is, stopt de magnetisch geactiveerde positiedetector de machine. Fundamentele vereiste is dat de machine bij een geopende deur moet stoppen vooraleer iemand de gevaarlijke bewegende delen van de machine kan bereiken. Een andere vereiste is dat de machine niet kan opgestart worden zolang de veiligheidsdeur openstaat. De positieschakelaar zal in de positieve modus worden geactiveerd. Het verbreekcontact van de positieschakelaar zal zijn van het type ‘positief openingsbedrijf’ (EN 60947-5-1). Dit betekent dat de schakelaar zal ingedrukt zijn bij een openstaande deur.
Figuur 6.4
Positief openingsbedrijf van de positieschakelaar
71
Magnetische veiligheidsschakelaars kunnen gebruikt worden voor toepassingen waarbij volgens de risicoanalyse een hoge risicocategorie is voorgeschreven, ernstige vervuilingen optreden, of strenge hygiënische voorschriften moeten worden nageleefd. In toepassingen waarin precieze hekgeleiding moeilijk is, machinehekken aan hoge trillingen blootstaan of grotere toleranties bij het dichtrijden nodig zijn, vormen magnetische veiligheidsschakelaars een goede keuze. Voordelen: •
hoog veiligheidsniveau met één schakelaar tot en met categorie 4 volgens EN 954-1
•
rendabel dankzij de mogelijkheid van serieschakeling en lange technische levensduur door mechanische slijtvastheid
•
flexibiliteit en snelheid bij de installatie
•
hoge beschikbaarheidgraad van de installatie dankzij: compact formaat, grote schakelafstanden en goed zichtbare statusaanduidingen
•
ongevoelig voor schokken en trillingen
6.4
Logische operatoren
Als logische operator is gekozen voor het gebruik van het modulaire veiligheidssysteem PNOZmulti. Enkele andere mogelijke logische operatoren zijn de verschillende veiligheidsrelais van PNOZ. Namelijk de PNOZ X, PNOZsigma, PNOZelog en PNOZpower. 6.4.1
Figuur 6.5
PNOZmulti
De PNOZmulti
Het modulaire veiligheidssysteem PNOZmulti is multifunctioneel, vrij configureerbaar en op maat gesneden voor veel gebieden van de installatie- en machinebouw. Veiligheidsfuncties zoals noodstop, hekbewaking, lichtschermen en vele andere worden veilig bewaakt. Ook standaard besturingstaken kunnen met PNOZmulti economisch worden opgelost. Vooral als er meer dan vier functies moeten beveiligd worden, is de PNOZmulti uitstekend geschikt. Bij de PNOZmulti is het omslachtig bedraden niet meer nodig: PNOZmulti configurator is een grafische intuïtief te bedienen tool om de veiligheidsschakeling vanachter uw pc te ontwerpen. De data worden van de pc naar een basismodule gestuurd en opgeslagen op een, in de basismodule geplaatste, chipkaart. Deze chipkaart kan zo vaak worden beschreven en gekopieerd dan nodig is.
72
Voordelen: •
bereik van vier veiligheidsfuncties optimaal gedekt, maar kan ook meer dan vier functies beveiligen
•
voor alle veiligheidsfuncties zoals bewaking noodstop, hekken, lichtschermen, tweehandenbediening, …
•
één apparaat voor vele functies
•
wijzigen en aanpassingen in de configuratie zijn achteraf eenvoudig mogelijk
•
korte stilstandtijden en hoge beschikbaarheid van installaties door eenvoudige en comfortabele diagnose
•
eenvoudig en economisch uitbreidbaar door de keuze van passende modulen
6.5
Actuatoren
De actuator aanwezig in het stuurbord van de rondhoekmachine is een frequentieregelaar. Andere mogelijke actuatoren zijn contactoren, kleppen, … 6.5.1
Frequentieregelaar: Micromaster 420 invertor
De frequentieregelaar die geïnstalleerd is in het stuurbord van de combi 48, is een Micromaster 420 invertor van Siemens. De Micromaster heeft een voltage van 220240V en een vermogen van 2,2kW.
Figuur 6.6
De micromaster 420
De Micromaster 420 invertor kan gebruikt worden voor een gamma van verschillende aandrijfapplicaties. Het is de ideale kosten-optimalisatie frequentieomvormer oplossing. De omvormer wordt speciaal gekarakteriseerd door zijn op klanten georiënteerde prestaties en zijn gemakkelijk gebruik. Door zijn groot voltage bereik kan de micromaster 420 over de hele wereld worden toegepast.
73
De micromaster 420 invertor heeft een modulair ontwerp. De bedieningspanelen en communicatie modules kunnen gemakkelijk worden uitgewisseld / veranderd zonder de noodzaak van een gereedschap. Zo een bedieningspaneel wordt Basic Operating Panel (BOP) genoemd. Met de BOP kunnen individuele parametersettings worden gemaakt. Waarden en eenheden worden getoond en afgelezen op een 5-digit display. Eén BOP kan gebruikt worden voor verschillende omvormers. Figuur 6.7
BOP van de Micromaster
Voordelen: •
gemakkelijk, begeleid opstarten
•
modulair ontwerp
•
3 volledig programmeerbare, geïsoleerde digitale inputs
•
lange levensduur
•
compacte behuizing
•
afneembare operatorpanelen
74
BESLUIT Na het uitvoeren van de norm EN 954-1 kan besloten worden dat de beveiligingsmaatregelen voldoen aan de categorie 2 of 3. Na het uitvoeren van de norm ISO 13849-1 kan besloten worden dat de drie voorgestelde opties een identiek resultaat geven, namelijk PL = e. De drie opties voldoen dus want de PLr was slechts gelijk aan d. Na het uitvoeren van de norm IEC 62061 kan besloten worden dat de drie voorgestelde opties een identiek resultaat geven, namelijk SIL = 3. De drie opties voldoen dus want de Target-SIL was slechts gelijk aan 2. Er valt af te leiden dat de beveiliging bovengedimensioneerd is. In verband met het kostenplaatje is nagegaan of er goedkopere componenten zijn die kunnen gebruikt worden en die voldoen aan PL = d of SIL = 2. Hier kan besloten worden dat er weinig tot geen verschil zal zijn. Zoals hierboven vermeld, zijn de resultaten voor de drie voorgestelde opties identiek. De optie waarbij enkel lichtschermen worden geplaatst (zie ook bijlage 8) is de meest ergonomische optie en hiernaar gaat mijn voorkeur dan ook uit. De plaatsing van de lichtschermen kan snel en makkelijk gebeuren. Na het plaatsen van de lichtschermen blijft de machine makkelijk bereikbaar voor onderhoud. Na de uitvoering van de verschillende normen gaat mijn voorkeur, in het concreet geval van de rondhoekmachine, uit naar de norm ISO 13849-1. Deze norm sluit aan bij de bestaande norm EN 954-1 die nog gebruikt mag worden, maar houdt ook rekening met de faalkans van de gekozen componenten. Bij Cartamundi Turnhout NV is nog geen beslissing genomen over welke beveiliging nu genomen zal worden en welke norm er gevolgd zal worden. Wel hoop ik dat dit eindwerk voor het bedrijf naar de toekomst toe een goede basis zal zijn bij het beveiligen van machines.
75
LITERATUURLIJST Dhr. Ing. N.W. de With. Handboek machineveiligheid. Pilz Benelux. de With, Nick. (2006). Faalkansberekening nu ook noodzakelijk in de machinesector!? Gevonden op 21 augustus 2007 op het internet: http://www.embedded.nl/nassau/engineers.nsf/1E9E77FE8B40F3E2C1257157003AED7 7/$FILE/PDF%20Constr.3%20pagina%2034%20t.m%2037.pdf Functionele veiligheid volgens EN/IEC 62061 Gevonden op 6 augustus 2007 op het internet: http://www.pilz.de/knowhow/standards/standards/functional_safety/articles/00241/ind ex.nl.jsp Functionele veiligheid volgens EN ISO 13849 Gevonden op 6 augustus 2007 op het internet: http://www.pilz.de/knowhow/standards/standards/functional_safety/articles/00242/ind ex.nl.jsp International Standard ISO/FDIS 13849-1:2006. Safety of machinery – Safety-related parts of control systems – Part 1: General principles for design. Omron (2003). Veiligheidshandboek: Complete oplossingen voor industriële veiligheid. Omron Europe B.V. Pilz: more than automation, safe automation (2005). IEC 62061 – ISO 13849-1. Benelux: Pilz Benelux Pilz: more than automation, safe automation (2007a). Veilig ontwerpen: RL & normen. Benelux: Pilz Benelux. Pilz: more than automation, safe automation (2007b). Documentatiemap Pilz: more than automation, safe automation. Huidige Stand der Techniek. België: Pilz Belgium Pilz: more than automation, safe automation. Nieuwe en oude machinerichtlijn Pilz: more than automation, safe automation. PSENopt: Basis: Installatie en montage Siemens Automations & drives, cd-rom (2005). Micromaster 420/430/440 documentation Siemens in samenwerking met Vinçotte (2007). Learnshop: Vernieuwde aanpak bij machineveiligheid. Hoe moet het verder na het verdwijnen van de veiligheidscategorieën? Siemens – Safety Integrated. Functional Safety of Machines and Systems. Convenient implementation of the European Machine Directive
76
BIJLAGEN Bijlage 1. Eisen aan het besturingssysteem door de categorieën Categorie B (basiscategorie) Onderdelen van machinebesturingssystemen met een veiligheidsfunctie en/of de beveiliging en de componenten daarvan moeten in overeenstemming met de toepasselijke normen zodanig worden ontworpen, geconstrueerd, geselecteerd, gemonteerd en gecombineerd, dat ze de te verwachten invloeden kunnen weerstaan. Categorie 1 Onderdelen met een veiligheidsfunctie moeten met gebruik van betrouwbare onderdelen en betrouwbare veiligheidsprincipes worden ontworpen en gebouwd. Betrouwbare veiligheid betekent dat de gebruikte onderdelen in talrijke gevallen met succesvolle resultaten bij soortgelijke toepassingen zijn gebruikt, of dat ze zijn geproduceerd volgens principes waarvan de geschiktheid en betrouwbaarheid voor toepassingen met een veiligheidsfunctie kan worden aangetoond. Betrouwbare veiligheidsprincipes zijn schakelingen die zo worden opgebouwd dat bepaalde fouten door de plaatsing of opbouw van onderdelen kunnen worden vermeden. Opmerking: het optreden van een fout kan leiden tot verlies van de veiligheidsfunctie. Categorie 2 Onderdelen van besturingssystemen met een veiligheidsfunctie moeten zo worden ontworpen dat hun veiligheidsfunctie(s) in bepaalde tijdsintervallen door de machinebesturing worden gecontroleerd. De controle van de veiligheidsfunctie(s) dient plaats te vinden (a) bij de start van de machines en het in gang zetten van een gevaarlijke situatie, en (b) periodiek tijdens het bedrijf, indien uit de risicoanalyse en de bedrijfsmodus blijkt dat dit nodig is. Deze controle mag automatisch of handmatig worden geactiveerd. Automatisch kan dit b.v. een signaal zijn dat door een besturing wordt voortgebracht met de vereiste tijdsintervallen. De automatische test heeft de voorkeur. De beslissing over de manier van testen hangt af van de risicoanalyse en de inschatting van de eindgebruiker of de machinebouwer. Op grond van de uitkomst van de test kan het bedrijf worden toegelaten als er geen fout is gedetecteerd, of kan een uitgang worden gemaakt om adequate besturingsmaatregelen in gang te zetten als er wel een fout is gedetecteerd. Daarvoor is een tweede onafhankelijke uitschakelweg noodzakelijk. Opmerkingen: In een aantal gevallen is cat. 2 niet van toepassing, aangezien de controle van de veiligheidsfunctie niet bij alle onderdelen en apparatuur kan worden uitgevoerd. Verder kunnen de kosten voor de correcte toepassing van categorie 2 aanzienlijk zijn, zodat om economische redenen de toepassing van een andere categorie zinvoller lijkt. Cat. 2 kan over het algemeen met elektronische technieken worden gerealiseerd. Het systeemgedrag laat toe dat: het optreden van een fout tot verlies van de veiligheidsfunctie tussen de controles leidt, en het verlies van de veiligheidsfunctie bij de controle wordt gedetecteerd.
77
Categorie 3 Onderdelen van besturingssystemen met een veiligheidsfunctie moeten zo zijn ontworpen dat een enkele fout in een van deze onderdelen niet kan leiden tot het verlies van de veiligheidsfuncties. Indien praktisch mogelijk moet de enkele fout bij of vóór de volgende aanvraag van de veiligheidsfunctie worden gedetecteerd. Dit betekent niet dat alle fouten worden gedetecteerd. De opstapeling van nietgedetecteerde fouten kan leiden tot een onvoorzien uitgangssignaal en tot een gevaarlijke situatie bij de machine. Categorie 4 Onderdelen van besturingssystemen met een veiligheidsfunctie moeten zo zijn ontworpen dat een enkele fout in een van deze onderdelen niet leidt tot het verlies van de veiligheidsfuncties en de enkele fout bij of vóór de volgende aanvraag van de veiligheidsfuncties wordt gedetecteerd (b.v. direct bij het inschakelen, aan het eind van een machinecyclus). Als het niet mogelijk is om een enkele fout te detecteren, dan mag een opeenhoping van fouten niet tot verlies van de veiligheidsfunctie(s) leiden.
78
Bijlage 2. Architectuur van de categorieën Categorie B
Enkelvoudige uitvoering van het besturingssysteem. Categorie 1
Enkelvoudige uitvoering van het besturingssysteem. De gebruikte componenten zijn beproefde veiligheidscomponenten. Categorie 2
Enkelvoudige uitvoering van het besturingssysteem. De veiligheidsfuncties worden op gepaste tijdsstippen gecontroleerd door de test equipement. Categorie 3
Redundante uitvoering van het besturingssysteem. Eén enkele fout mag niet leiden tot het verlies van de veiligheidsfunctie en de fout wordt indien mogelijk gedetecteerd.
79
Categorie 4
Redundante uitvoering van het besturingssysteem. Eén enkele fout mag niet leiden tot het verlies van de veiligheidsfunctie. Indien de fout niet wordt ontdekt, mag een opeenhoping van fouten niet tot het verlies van de veiligheidsfunctie leiden.
80
Bijlage 3. Architectuur van de veiligheidsfuncties Subsysteem A
Bij subsysteem A word(en) 1 of meer elementen in serie geplaatst zonder de aanwezigheid van detectie. Indien 1 fout optreedt zal het systeem zijn functie niet meer uitoefenen. Subsysteem B
Bij subsysteem B worden 2 elementen parallel geplaatst met detectie van CCF. Indien beide elementen uitvallen door een gemeenschappelijke fout zal de fout gedetecteerd worden. Individueel uitvallen van de elementen wordt niet gedetecteerd want er worden geen zelftests uitgevoerd. Subsysteem C
Bij subsysteem C word(en) 1 of meer elementen in serie geplaatst met de aanwezigheid van diagnostic coverage. Indien er een fout optreedt, wordt deze gedetecteerd en zal de veiligheidsfunctie uitgeoefend worden. Na herstellen van de elementen kan de machine opnieuw ingeschakeld worden. Subsysteem D
Bij subsysteem D worden 2 elementen parallel geplaatst met detectie van CCF en met diagnostic coverage. Door de redundantie en de aanwezigheid van zelftests is dit subsysteem het meest betrouwbaar en zal hierdoor normaal nooit een gevaarlijke situatie ontstaan aan de machine.
81
Bijlage 4. Technische gegevens PSENopt: PSEN op4F-s-14-075 PSEN op4F-s-14-075 Bestelnummer: 630604 Type volgens EC 61496: Type 4 Aantal stralen: 105 Hoogte beveiligingsveld: 735 mm Muting: nee Blanking: nee Cascading: nee Reikwijdte: 0,2 - 6,0 m Reactietijd: 30 Uitschakeling van beveiligingszones: -Afmeting breedte: 35,0 mm Afmeting hoogte: 844,0 mm Afmeting diepte: 40,0 mm Afmeting breedte (inch): 1.38" Afmeting hoogte (inch): 33.23" Afmeting diepte (inch): 1.57" Aantal OSSD-uitgangen: 2 Toepassing volgens: EN 61496-1 , EN 61496-2 Beschermingsgraad behuizing: IP65 Omgevingstemperatuur in °C: -10 - 55 °C Omgevingstemperatuur in °F: -Voedingsspanning [V]: 24 Soort voedingsspanning: DC Brutogewicht: 3.192 g Nettogewicht: 2.192 g
82
Bijlage 5. Technische gegevens PSENmag: PSEN 2.1p - 20 PSEN 2.1p-20/PSEN 2.1-20 /8mm/1unit Bestelnummer: 502220 Type: PSEN 2.1p-20 Formaat: rechthoekig Beveiligde schakelafstand: 8 mm Beveiligde uitschakelafstand: 26 mm Statusweergave: zonder LED Geschikt voor serieschakeling: ja Beschermingsgraad behuizing: IP65, IP67 Aansluitmethode: M8 Goedkeuringen: BG, UL/cUL Afmeting breedte: 26,0 mm Afmeting hoogte: 42,8 mm Afmeting diepte: 13,0 mm Afmeting breedte (inch): 1.02" Afmeting hoogte (inch): 1.69" Afmeting diepte (inch): 0.51" Aantal verbreekcontacten: 1 Aantal sluiters: 1 Omgevingstemperatuur in °C: -25 - 70 °C Omgevingstemperatuur in °F: -Voedingsspanning [V]: 24 Soort voedingsspanning: DC Brutogewicht: 35 g Nettogewicht: 30 g
83
Bijlage 6. Technische gegevens PNOZmulti: PNOZ m0p PNOZ m0p base module not expandable Bestelnummer: 773110 Type: PNOZ m0p SIL-waarde: SIL3 Voedingsspanning [V]: 24 Soort voedingsspanning: DC Aantal digitale ingangen: 20 Aantal halfgeleideruitgangen: 4 Aantal testpulsuitgangen: 4 Aantal relaisuitgangen: -Max. stroom bij DC1: 6,0 A Max. stroom bij AC1: 6,0 A Aantal RS-232-poorten: -Toegestaan aantal uitbreidingsmodulen: -Goedkeuringen: BG, CCC, CE, GOST-Rusland, TÜV-Süd, UL/cUL Afmeting breedte: 135,0 mm Afmeting hoogte: 94,0 mm Afmeting diepte: 121,0 mm Afmeting breedte (inch): 5.31" Afmeting hoogte (inch): 3.70" Afmeting diepte (inch): 4.76"
84
Bijlage 7. Technische gegevens Micromaster 420
85
Bijlage 8. Schets rondhoekmachine met lichtschermen
geel = PSENopt zwart = keerspiegels