PL en SIL, het ontwerp V-model in de praktijk

PL en SIL, het ontwerp V-model in de praktijk “Verificatie” en “validatie” van veiligheidsfuncties.

FUSACON B.V. Functional Safety Consultants Nederland ing. Nick de With , Senior Safety Consultant

Safety Event 2014 Dinsdag 13 mei 2014 © 2014 FUSACON B.V. - www.fusacon.nl

Page 1

Activiteiten FUSACON B.V.

© 2014 FUSACON B.V. - www.fusacon.nl

Page 2

Onderwerpen       

Wet en normeisen besturingstechniek. Functional Safety Management nieuw? Het V-model en “verificatie” en “validatie. Uitleg Safety Requirements Specification. (SRS) Welke info moet naar de gebruiker? (IFU) Uitleg Hardware Design Specification. (HDS) Vragen?


Page 3

Wettelijke eisen Machinerichtlijn

Wet iemand van u wat de huidige Machinerichtlijn zegt over de veiligheid van het machine-besturingssysteem? Wat wordt er wettelijk geeist? © 2014 FUSACON B.V. - www.fusacon.nl

Page 4

Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1:

De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf, 2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt, Ad. 2. Geldt dus voor falen hardware en fouten in embedded software! © 2014 FUSACON B.V. - www.fusacon.nl

Page 5

Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1:

De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden, 4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke situatie leiden. Ad. 3. Geldt dus voor fouten in applicatie software! © 2014 FUSACON B.V. - www.fusacon.nl

Page 6

VHC als veiligheidspal! Standaard-PLC

Overig

Motoren/ Cilinders

Veiligheidsrelais

Veiligheids-PLC met of zonder Safe bus systeem © 2014 FUSACON B.V. - www.fusacon.nl

Page 7

VHC als veiligheidspal! Zorg bij machines tevens voor ontwerp, bouw, verificatie en validatie volgens: SIL (EN-IEC 62061)

Veiligheidspal

of

PL (EN-ISO 13849) ZORG ALTIJD VOOR: Een veilige schil om de normale besturing heen!! © 2014 FUSACON B.V. - www.fusacon.nl

Page 8

Ontstaansreden IEC 62061 VDE 0801 DIN 19250 DIN 19251 Etc.

Machinesector

Medische sector

Start 1998 Einde 2004 90 pag. IEC 62061

IEC 60601 IEC 50128

IEC 61508 Start 1985 Einde 2000 732 pag.

Transportsector

IEC 61511

Start 1998 Einde 2003 208 pag.

IEC 60880

Nucleaire sector Processector


pagina 9

Ontstaansreden ISO 13849-1 Faalkans niet meegenomen

EN 954 d1: 1996 d2: pr1999

IEC 61508

ISO 13849 d1: 1999 d2: 2003 ISO 13849-1

EN 954-1

prEN 954-2

Start 1985 Einde 2000 732 pag.

ISO 13849 d1: 2006 d2: 2012 (at last…)

ISO 13849-1

ISO 13849-2


ISO 13849-2

pagina 10

Pilaren van het SIL of PL bouwwerk


Testintervallen

Resistentie

Diagnose

Betrouwnbaarheid

Structuur

SIL of PL Bouwwerk

Page 11

Parameters SIL of PL berekening EN ISO 13849-1

EN 62061

PL - Performance Level

SIL - Safety Integrity Level

Structuur

HFT / SFF / SILCL

Cat.

Betrouwbaarbeid

PFHD / λ

PFHD / MTTFD

Diagnose

SFF (DC)

DC

Resistentie

CCF (ß-factor)

CCF

Testintervallen

T1 (prooftest/ levensduur) T2 (diagnose/test)

T1 = 20 y fixed T2 (afh. categorie)

Voor een juiste bepaling zijn gegevens nodig ! © 2014 FUSACON B.V. - www.fusacon.nl

Page 12

SIL of PL rekentools SET

PAScal

SISTEMA

Siemens SET tool:

Pilz PAScal tool:

IFA SISTEMA Tool:





    

     

Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Door TÜV geteste online-tool Gratis maar registratie vereist Siemens producten in geïntegreerde bibliotheek Gegevens andere fabricaten te importeren en zelf aanmaken In Engelse taal https://eb.automation.siemens.co m/spice/sid/main/sid.jsf

   

 

Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Stand-alone te gebruiken Geringe vergoeding en registratie vereist Pilz producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken (Sistema library te importeren) In EN, DU, FR, IT, SP, JAP www.pilz.com/downloads/restric ted/pascal_1.5.2.zip © 2014 FUSACON B.V. - www.fusacon.nl

  

Alleen voor ISO 13849-1 (PL) Freeware door BGIA BGIA heet nu IFA Stand-alone te gebruiken Diverse leveranciers producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken In EN, DU, FR http://www.dguv.de/bgia/en/pra/so ftwa/sistema/index.jsp

Page 13

SIL en PL: reken jij je (ook) rijk? Veel voorkomende denkfouten:  Door de faalkans te berekenen komen fouten in het systeem vanzelf naar boven.  Je past de veiligheidscomponenten toe en dan is het dus altijd goed.  De getallen in de bibliotheek zijn altijd correct en zonder meer toe te passen.  De uitdraai van de softwaretool is voldoende bewijslast verificatie en validatie!  NEE dus! Rekentools voor PL en SIL zijn “rekentools” en geen ontwerptools! © 2014 FUSACON B.V. - www.fusacon.nl

Page 14

Enige zekerheid in de techniek… Wat is de enige zekerheid in de techniek… Na een storing door een foutieve aansluiting van een meetwaarde-omvormer door een monteur zei Murphy tegen hem: "If there is any way to do it wrong, he'll find it.“ Later is dit geworden:

Edward Aloysius Murphy, Jr. "If anything can go wrong, it will“ Amerikaanse ruimtevaartingenieur die aan veiligheidkritieke systemen werkte. http://www.murphys-laws.com © 2014 FUSACON B.V. - www.fusacon.nl

Page 15

Beïnvloedingsfactoren veiligheid


Page 16

Falen van veiligheidssystemen  Veiligheidssystemen falen als gevolg van:  Random failures; spontaan falen van hardware;  Common Cause failures; falen van 2 kanalen door dezelfde faaloorzaak (meestal omgevingsfactoren);  Systematic failures; falen door verborgen HW/SW fout in bijv. de fase concept- of detailontwerp. LET OP: Systematische fouten zijn het slechtst te voorkomen en krijgen vaak de minste aandacht!


Page 17

Functionele veiligheid Een veiligheidsbesturingssysteem is “functioneel veilig” als…. Random, common cause en systematische fouten niet leiden tot het falen van het veiligheidssysteem en niet leiden tot: o Verwonding en dood van personen, o Milieu schade, o Verlies van productie en machines.


Page 18

Random en systematische fouten

Fouten

Fysieke (random +CC)

Functionele (systematische)

Fouten beheersen d.m.v. keuze juiste component/structuur.

Fouten vermijden d.m.v. Functional Safety Management.


Page 19

Structuur: redundantie Voorbeeld redundantie


Page 20

Structuur: drievoudige redundantie


Page 21

Functional Safety Management

Functional Safety Management Een voorbeeld uit de dagelijkse praktijk….. © 2014 FUSACON B.V. - www.fusacon.nl

Page 22

Functional Safety Management  Doel: Vastleggen van de management- en technische activiteiten die nodig zijn om de functionele veiligheid van de besturing te realiseren.  Input: Projectspecificatie + organisatie van de opdrachtnemer.  Eisen: IEC 62061 H4.2.1.  Output: Functional Safety Plan; het functional safety plan moet minimaal de volgende onderdelen bevatten:      

Beschrijving van alle relevante activiteiten (opstellen van functionele eisen, ontwerp, verificatie, validatie). Beschrijving van de strategie om aan de ontwerpeisen te voldoen. Overzicht van de benodigde personen, capaciteit, tools en overige hulpmiddelen. Input informatie waarmee het ontwerp proces en de risicobeoordeling kunnen worden gestart. Een verificatieplan, zie IEC 62061 4.2.g. voor informatie over de inhoud. Een validatieplan, zie IEC 62061 4.2.h. voor informatie over de inhoud. © 2014 FUSACON B.V. - www.fusacon.nl

Page 23

Is FSM nieuw?

Is Functional Safety Management

iets NIEUWS ….?


Page 24

FSM methodiek EN 954-1:1996 Functional safety management was er ten tijde van de EN 954:1996 ook al: 0. Doe een risicobeoordeling en stel de risicoparameters S, F en P vast. 1. Bepaal een categorie middels de risicograaf (Bijlage A). 2. De systeemvereisten liggen per categorie vast. 3. Stel een Safety Requirements Specification op. 4. Bouw het veiligheidscircuit. 5. Verifïeer het veiligheidscircuit. 6. Valideer het circuit volgens ISO 13849-2:2003.


Page 25

Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen

Veiligheids specificatie (SRS) hardware

SRECSarchitectuur

Validatie

Validatietests

Gevalideerde hardware

Integratietests [componenten, subsystemen & PE]

Hardwarearchitectuur

Integratietests [Subsysteem]

Subsysteem ontwerp

Detailontwerp HW

Detailontwerp tests

Leverbaar Verificatie

Bouwen


26

Ontwerpproces SW: V-model SRECS Specificatie voor veiligheidseisen

Specificatie voor veiligheidseisen software

SRECSarchitectuur

Validatie Validatietests

Gevalideerde software


Softwarearchitectuur

Integratietests [Module]

Softwaresysteemontwerp

Moduulontwerp

Moduultests

Leverbaar Verificatie CODEREN


Page 27

Definitie “verificatie” Verificatie Encyclo.nl: onderzoek naar de waarheid of authenticiteit van iets. EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found.

EN 62061 3.2.51: confirmation by examination (e.g. tests, analysis) that

the SRECS, its subsystems or subsystem elements meet the requirements set by the relevant specification. Wat is verificatie?  Heb ik het werk goed gedaan?  Heb ik het (sub-)systeem correct gebouwd?  Verificatie wordt uitgevoerd na elke levenscyclus © 2014 FUSACON B.V. - www.fusacon.nl

Page 28

Definitie “validatie” Validatie Encyclo.nl: het geldig verklaren (van iets). EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found.

EN 62061 3.2.52: confirmation by examination (e.g. tests, analysis) that

the SRECS meets the functional safety requirements of the specific application. Wat is validatie?  Biedt de gekozen oplossing ook voldoende risicoreductie?  Heb ik het juiste (sub-)systeem gebouwd?  Validatie wordt uitgevoerd na integratie en installatie (FAT, SAT). © 2014 FUSACON B.V. - www.fusacon.nl

Page 29

Belangrijke aspecten Uitleg van enkele belangrijke aspecten: 1. Safety Requirements Specification. 2. Componentkeuze en toepassing. 3. Information For Use. 4. Hardware Design Specification (HDS).


Page 30

Safety Requirements Specification

Het BESTEK van de veiligheidsfuncties in de Machinebesturing.


Page 31

Safety Requirements Specification    

VHF nummer: 1 VHF naam: bijv. Neerstanddetectie slagboom. VHF type: bijv. Vergrendeling brugbeweging. VHF beschrijving: Beschrijving van de veiligheidsfunctie in woorden. Bijv. Indien de slagboom uit de de neerstand is of daaruit wordt bewogen wordt de beweging van het brugdek geblokkeerd cq. gestopt volgens stopcategorie 0 en daarna geblokkeerd.  Functionele specificatie VHF:

 Vereiste SIL niveau of PL niveau: (bijv. SIL 2 of PLd ).  Stopcategorie uit EN-IEC 60204-1: (bijv. stopcategorie 0, 1 of 2). Let op: stopcategorie 2 is alleen toegestaan als de frequentieregelaar (Power Drive System) voldoet aan IEC 61800-5-2).

 Andere vaste vereisten vanuit wetgeving en normen: (bijv. Hardwarefouttolerantie, timing).


Page 32

Safety Requirements Specification  Functionele specificatie VHF:  Verwachte aanspraakfrequentie v.d. VHF: (bijv. Elke brugcyclus).  De gekozen “demand modus”: (bijv. low demand/high demand continuous mode).  Besturingsbereik v.d. VHF: (bijv. Opsomming van alle aangesloten aandrijvingen die afgeschakeld worden).  Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF actief is: (bijv. normaal bedrijf).  Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF NIET actief is: (bijv. in instelbedrijf kan VHF worden overbrugt met de hold-to-run).


Page 33

Safety Requirements Specification  Functionele specificatie VHF:  Prioriteit van de VHF boven andere VHF’s die tegelijkertijd actief kunnen zijn. (bijv. Een noodstop heeft prioriteit boven deze VHF).  Verwachte omgevingscondities: (bijv. temperatuur, luchtvochtigheid, stof, chemische substanties, mechanische trillingen en schokken).    

Timing/ testen: Vereiste totale responstijd v.d. VHF: (bijv. Max. 500 ms.). Proof test interval van de totale VHF: in uren/jaren. Beschrijving van de prooftest(s): (bijv. type test(s), benodigde testapparatuur, vereiste testprocedure etc.). © 2014 FUSACON B.V. - www.fusacon.nl

Page 34

SRS: een ingevuld voorbeeld

Inzage in FUSACON praktijkvoorbeeld.

(niet in syllabus)


Page 35

Conceptontwerp blokkeerscherm Conceptontwerp PM4 Energy flow

Veiligheidsfunctie met blokkeerscherm

SW1

MC1 LS1

SW2 inside cabinet

outside cabinet


NEN-EN-IEC 62061:Functionele

Componentkeuze en uitvoering

Symbool op schakelaar voor positief openende contacten. EN-IEC 60947-5-1.


Page 37

Contactuitbreiding veiligheids-PLC


Page 38

Is deze component geschikt?


Page 39

Deze variant is niet geschikt

Schakeling met twee hulprelais van het fabrikaat SMITT type M2-L-D024, zonder mechanische gedwongen contacten volgens de norm EN 50205:2002 type A. (Nederlandse titel: Relais met gedwongen schakelende contacten. Engelse titel: Relays with forcibly guided (mechanically linked) contacts). Het hulprelais van het fabrikaat SMITT type M2-L-D024 is middels een hendel aan de buitenzijde eenvoudig te forceren in de ingeschakelde stand. Dit relaistype is daarom ongeschikt voor gebruik in veiligheidscircuits. © 2014 FUSACON B.V. - www.fusacon.nl

Page 40

Deze variant is WEL geschikt!

SMITT heeft wel een range relais met mechanisch verbonden contacten, namelijk de range D-BW. © 2014 FUSACON B.V. - www.fusacon.nl

Page 41

Veilige lampstroombewaking


(niet in syllabus)


Page 42

Informatie voor gebruiksfase

Gedachten van (sommige) fabrikanten.

Wat zeggen de SIL en PL normen? © 2014 FUSACON B.V. - www.fusacon.nl

Page 43


 De SIL norm (EN 62061:2005) geeft in hoofdstuk 7: Information for use.*  De PL norm (EN-ISO 13849-1:2008) geeft in hoofdstuk 11: Information for use.* * IFU: Informatie over besturingstechnische veiligheidsfuncties, die minimaal door de fabrikant ter beschikking moet worden gesteld aan de gebruiker. © 2014 FUSACON B.V. - www.fusacon.nl

Page 44


Inzage in de normtekst.

(niet in syllabus)


Page 45


Lichtscherm beveiliging AAN/UIT? Een nette schakelkast of toch niet…!?

Mogelijk (dodelijke) oplossing… © 2014 FUSACON B.V. - www.fusacon.nl

Page 46

Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen

Veiligheids specificatie (SRS) hardware

SRECSarchitectuur

Validatie

Validatietests

Gevalideerde hardware


Hardwarearchitectuur

Integratietests [Subsysteem]

Subsysteem ontwerp

Detailontwerp HW

Detailontwerp tests

Leverbaar Verificatie

Bouwen


47

Hardware Design Specification


(niet in syllabus)


Page 48

Resumé  Wettelijke eisen zijn duidelijk.  Functional Safety Management.  Ontdekken systematische fouten is het belangrijkste. Zeker in de machinebouw!!  Verificatie en validatie: Check, check, double check.

VRAGEN? © 2014 FUSACON B.V. - www.fusacon.nl

Page 49

Activiteiten FUSACON B.V.


Page 50

Uw KennisPartner FUSACON levert docenten aan: NEN, PAO Techniek en Mikrocentrum

FUSACON is lid van:  Nederlandse Vereniging Van Veiligheidskundigen (NVVK)  Working Equipment Safety Platform (WESP)  Safety Cluster Foundation  Nationale normcommissie NEC 44 (o.a. NEN-EN-IEC 60204-1)  Internationale werkgroep IEC/TC 44 WG7: IEC 62061:2005 (SIL)


Page 51

Nick de With ing. Nick de With , Senior Safety Consultant E [email protected] T +31 347 352519 M +31 6 11 915 917 FUSACON B.V. Functional Safety Consultants Nederland Vogelenzangseweg 20 – 4124 AS – Hagestein http://www.fusacon.nl

Specialisatie: Industriële automatisering Veiligheid van machines (sinds 1994) Auteur: Diverse artikelen + Handboek Machineveiligheid

Gecertificeerd als: TÜV Functional Safety Engineer © 2014 FUSACON B.V. - www.fusacon.nl

Page 52

PL en SIL, het ontwerp V-model in de praktijk

Recommend Documents