[rubriek] machineveiligheid [CHAPEAU] Europese Unie verlengt harmonisatie EN 954 [KOP]
EN 954-1 gaat nog 3 jaar door!
[intro] In een eerder artikel is aangekondigd dat de norm NEN-EN 954-1 zou gaan verdwijnen per 28 december 2009. Deze geharmoniseerde EN-norm zou dan vervangen worden door zijn opvolger NEN-EN-ISO 13849-1. Toch ziet het er naar uit dat de Europese Commissie in december gaat besluiten om de harmonisatie van de “EN 954” met maar liefst 3 jaar te verlengen. Dit artikel gaat in op de beweegredenen hiervoor en de eventuele gevolgen voor machinebouwers.
Nick de With
Geschiedenis NEN-EN 954-1 In 1996 is de Europese norm NEN-EN 954-1 aangenomen. Deze norm behandelt de algemene ontwerpbeginselen en -eisen van onderdelen van een besturingssysteem (elektrisch, hydraulisch, pneumatisch of mechanisch) met een veiligheidsfunctie. De norm beschikt niet over eisen voor programmeerbare veiligheidscircuits, maar hierover later meer. De norm EN 954-1 werd ook op internationaal niveau gewaardeerd en is al in 1999 ook op internationaal niveau (ISO) aangenomen onder de naam ISO 13849-1.
NEN-EN 954-1 of NEN-EN-ISO 13849-1:1999 kent een kwalitatieve risicobeoordelingsmethodiek, risicograaf genoemd, die het risico in vijf categorieën: B, 1, 2, 3 of 4 verdeelt. Iedere categorie stelt speciale technische eisen aan de opbouw en uitvoering van het totale veiligheidscircuit. Bijvoorbeeld in categorie 3 (zie schakeling figuur 1) mag een enkele fout niet tot verlies van de veiligheidsfunctie leiden en moet deze (indien praktisch mogelijk) worden gedetecteerd. Een opeenhoping van fouten kan in deze categorie wel tot verlies van de veiligheidsfunctie leiden.
In de NEN-EN 954 wordt helemaal geen rekening gehouden met de betrouwbaarheid (faalkans) van de toegepaste componenten in het veiligheidscircuit. Dat kan ertoe leiden dat je met slechte componenten toch een goede “EN 954 categorie” kunt bereiken!
1
Nadat het conceptontwerp van de veiligheidsfuncties van de besturing is gerealiseerd is een belangrijke stap het controleren van de juistheid van het ontwerp. De norm spreekt in dit geval over de term “validatie” en sinds 2003 is hiervoor de zusternorm NEN-EN-ISO 13849-2:2003 beschikbaar.
Toepassing NEN-EN-ISO 13849-2 vaak vergeten! De huidige norm NEN-EN 954-1 is slechts gericht op het ontwerp van onderdelen van het besturingssysteem dat een veiligheidsfunctie vervult. In de praktijk komt het regelmatig voor dat een hardware engineer wel veiligheidscomponenten voor de juiste “EN 954 categorie” selecteert, maar ze foutief toepast en daarmee de categorie van de totale schakeling degradeert.
[figuur 1]
[bijschrift] Deurbeveiligingscircuit machine. (bron: Pilz Nederland c.v.)
De norm prEN 954-2 uit 1999 beschrijft een methodiek voor de validatie van het ontwerp van een veiligheidsfunctie. Deze norm is echter nooit definitief geworden als Europese EN-norm en daarom is validatie geen gemeen goed bij veel machinebouwers. Toch is de inhoud van de norm via een omweg in 2004 geharmoniseerd onder de Machinerichtlijn met de naam NEN-EN-ISO 13849-
2
2:2003. Dit betekent dat vanaf dat moment validatie op het ontworpen veiligheidscircuit tot een verplichte activiteit is gaan behoren!
Kortom na elk ontwerp van een veiligheidsfunctie volgens NEN-EN 954-1 zal het ontwerp gevalideerd moeten worden met de norm NEN-EN-ISO 13849-2.
NEN-EN 954-1 niet voor programmeerbare veiligheidssystemen! Alhoewel het wel wordt genoemd in toepassingsgebied van de norm geeft NENEN 954-1 geen eisen voor veiligheidscomponenten die opgebouwd zijn uit programmeerbare logica, zoals de tegenwoordig beschikbare programmeerbare veiligheidsrelais of veiligheids-PLC’s. In dat geval wordt de gebruiker in EN 954-1 paragraaf 4.2 (step 5) doorverwezen naar de uit 7 delen opgebouwde norm NENEN-IEC 61508 die in totaal maar liefst 780 pagina’s bevat.
De “IEC 61508 norm” moet worden gezien als een sector overschrijdende “basic safety publication” en is veel te uitgebreid voor de machinesector. Dat probleem is onderkend door zowel de International Electrotechnical Commission (IEC) als ook de International Organization for Standardization (ISO). Door het ontbreken van een vroegtijdige afstemming heeft dit helaas geleid tot de ontwikkeling van respectievelijk de normen NEN-EN-IEC 62061:2005 en NEN-EN-ISO 138491:2006. De eerstgenoemde norm geeft het gerealiseerde veiligheidsniveau van een veiligheidsfunctie weer met safety integrity level (SIL), terwijl de tweede norm spreekt over Performance Level (PL).
NEN-EN-IEC 62061, de SIL-norm voor machines In het jaar 2005 heet IEC de ontwikkeling van een specifieke SIL-norm voor de machinesector afgerond, namelijk de norm NEN-EN-IEC 62061. Deze nieuwe norm, die slechts 200 pagina’s bevat, behandelt de functionele veiligheid van elektrische, elektronische en programmeerbaar elektronische veiligheidscircuits in de machinesector.
De benodigde prestaties van elke veiligheidsfunctie worden uitgedrukt in de vorm van een safety integrity level (SIL). Er zijn drie SIL-niveaus (SIL 1 t/m SIL 3) en een SIL level geldt voor de complete keten van componenten (sensor-logicaactuator) waaruit de veiligheidsfunctie is opgebouwd. Elk SIL-niveau (zie tabel 1) komt overeen met een bepaalde Probability of dangerous Failure per Hour (kans op gevaarlijk falen per uur). Hoe hoger het SIL-niveau des te kleiner is de kans
3
dat het systeem faalt. Voor een SIL 2 systeem geldt bijvoorbeeld dat de kans op falen per uur kleiner is dan 10-6 (0,0000001) dat wil zeggen kleiner dan 1 keer per miljoen uur.
[KADER 1] Tabel 1: Performance level versus Safety integrity level
[einde kader]
In hoofdstuk 6.10 wordt beschreven hoe de integriteit van applicatiesoftware op een programmeerbaar veiligheidsrelais of een veiligheids-PLC kan worden gegarandeerd. Toepassing van NEN-EN-IEC 61508 voor bedrijven die zelf een controller met geïntegreerde programmeerbare veiligheidsfuncties ontwikkelen is verplicht volgens dit hoofdstuk in NEN-EN-IEC 62061. Hierbij moet eveneens vermeld worden dat ook de nieuwe Machinerichtlijn een veiligheidscomponent die fungeert als “Logische eenheden voor veiligheidsfuncties” op Bijlage IV heeft geplaatst. Dit betekent dat een fabrikant van zo’n component een typekeuring door een Notified Body moet laten uitvoeren.
Voor bedrijven die gebruik maken van veilige veldbussen is door IEC een “Technical Report” opgesteld in de vorm van NPR-IEC/TR 62513:2008. Dit is een handig hulpmiddel bij het ontwerp en het gebruik van een veiligheidsveldbus.
Hoofdstuk 8 van de norm NEN-EN-IEC 62061 beschrijft de eisen en methodieken voor de validatie van elke veiligheidsfunctie in de machinebesturing.
4
Deze NEN-EN-IEC 62061 is al op 31 december 2005 opgenomen in de lijst van geharmoniseerde normen onder de Machinerichtlijn en opvolging geeft het zogenaamde “vermoeden van overeenstemming” met de besturingstechnische eisen uit de Machinerichtlijn.
In tabel 2 vindt u een uitgebreid overzicht van de versies van EN 954, ISO 13849 en IEC 62061.
NEN-EN-ISO 13849-1, de PL-norm voor machines In het jaar 2006 heeft ISO, de internationale normcommissie voor nietelektrische normen, ter vervanging van de oude NEN-EN 954-1 de totaal vernieuwde norm NEN-EN-ISO 13849-1 aangenomen. Deze norm voert naast een systeemgedrag, ook een faalkansberekening van een veiligheidscircuit in op basis van kwaliteit en zelfdiagnose. Zo is ook elektronica en software toe te passen in veiligheidsfuncties van machinebesturingen. Deze nieuwe NEN-EN-ISO 138491:2006 specificeert voor het gewenste veiligheidsniveau geen categorie meer maar een zogenaamd Performance Level (PLa, PLb, PLc, PLd of PLe), zie tabel 1. Een PL level kan gelden voor een component, een subsysteem en ook de gehele keten waaruit een veiligheidsfunctie is opgebouwd.
De norm beschrijft in hoofdstuk 4.6 de eisen voor de software van programmeerbare veiligheidssystemen. NEN-EN-ISO 13849-1 beschrijft eisen voor zowel veiligheidsgerelateerde applicatiesoftware als ook veiligheidsgerelateerde embedded software (software in chip op controllerprint). Hierbij moet worden opgemerkt dat in een aantal gevallen, maar zeker in PLe, de norm NEN-EN-IEC 61508 moet worden toegepast. Hierbij moet eveneens vermeld worden dat ook de nieuwe Machinerichtlijn een veiligheidscomponent die fungeert als “Logische eenheden voor veiligheidsfuncties” op Bijlage IV heeft geplaatst. Dit betekent dat een fabrikant van zo’n component een typekeuring door een Notified Body moet laten uitvoeren.
Voor de eindcontrole (validatie) van de totale veiligheidsfunctie zal de norm NENEN-ISO 13849-2:2008 moeten worden toegepast. Helaas is deze norm echter op dit moment nog niet aangepast aan de nieuwe Performance Level methodiek.
Deze NEN-EN-ISO 13849-1:2006 is al op 8 mei 2007 opgenomen in de lijst van geharmoniseerde normen onder de Machinerichtlijn en opvolging geeft het
5
zogenaamde “vermoeden van overeenstemming” met de besturingstechnische eisen uit de Machinerichtlijn.
In tabel 2 vindt u een uitgebreid overzicht van de versies van EN 954, ISO 13849 en IEC 62061.
[KADER 2] Tabel 2: Overzicht versies EN 954, ISO 13849 en IEC 62061 Europese norm
Cat./SIL/PL
Opmerkingen
NEN-EN 954-1:1996 (H1)
Cat.
Eerste deel EN 954 met cat. B,1,2,3 en 4
ISO 13849-1:1999
Cat.
Gelijk aan deel 1 van huidige EN 954
NEN-EN-ISO 13849-1:2006 (H4)
PL
Opvolger EN 954-1 met PL-levels a,b,c,d en e
NEN-EN-ISO 13849-1:2008 (H5)
PL
Gelijk aan 2006 versie met toevoeging annex ZA+ZB!
prEN954-2:1999
Cat.
Tweede deel EN 954, nooit als EN-norm aangenomen
NEN-EN-ISO 13849-2:2003 (H2)
Cat.
ISO versie van prEN 954-2 met cat. B,1,2,3 en 4
NEN-EN-ISO 13849-2:2008 (H5)
Cat.
Gelijk aan 2003 versie met toevoeging annex ZA+ZB!
NEN-EN-IEC 62061:2005 (H3)
SIL
Machinesectorversie van NEN-EN-IEC 61508
NPR-IEC/TR 62513:2008
SIL
Richtlijnen voor het gebruik van veilige veldbussen voor veiligheidsfuncties
Vetgedrukte normen zijn op dit moment geharmoniseerd (H1) Geharmoniseerd sinds 8-5-1997. Harmonisatie wordt (naar verwachting) verlengt tot 31-12-2012 (H2) Geharmoniseerd sinds 20-4-2004 (H3) Geharmoniseerd sinds 31-12-2005 (H4) Geharmoniseerd sinds 8-5-2007 (H5) Geharmoniseerd sinds 22-8-2008
[einde kader]
Reden prolongatie NEN-EN 954-1 Op 30 juli 2009 heeft het Comité Européen de Normalisation (CEN) aan de Machinery Working Group van de Europese commissie gevraagd om harmonisatie van de NEN-EN 954-1:1996 met maar liefst drie jaar te verlengen tot 31 december 2012!
Dit verzoek is gedaan om de volgende drie redenen: 1) Veel actuele C-normen hebben hun verwijzing naar NEN-EN 954-1 nog niet omgezet naar de andere twee normen NEN-EN-IEC 62061 en NEN-EN-ISO 13849-1:2008. 2) Veel leveranciers kunnen de faalgegevens van hun veiligheidscomponenten nog niet leveren. 3) De machinebouwers in de industrie en zeker de kleine en middelgrote bedrijven hebben aangegeven nog niet klaar te zijn voor de overgang van een kwalitatieve naar een kwantitatieve (rekenkundige) analyse van de veiligheidscircuits.
6
Op 7 en 8 december wordt het verzoek van CEN besproken in de vergadering van de Machinery Working Group, waarna de Europese Commissie een definitief besluit hierover zal gaan nemen. Omdat in een eerdere vergadering (begin juli) van deze commissie het idee voor verlenging al is besproken bestaat er een grote kans dat het voorstel definitief wordt aangenomen.
Conclusie Bedrijven die nog geen gebruik maken van programmeerbare veiligheidscomponenten kunnen, door de verwachte prolongatie van de NEN-EN 9541:1996, nog tot 31-12-2009 gebruik maken van de “EN 954 categorieën”. Ze hoeven nog geen kwantitatieve berekening van de faalkans van de complete veiligheidsfunctie te bepalen. Voor de bedrijven die wel gebruik maken van een programmeerbaar veiligheidsrelais of een veiligheids-PLC’s is toepassing van de NEN-EN 954-1 toch ontoereikend en zal gekozen moeten worden voor toepassing van NEN-EN-IEC 62061:2005 of NEN-EN-ISO 13849-1:2008, zie tabel 3.
[KADER 3] Tabel 3: Toepassingsgebied EN 954, ISO 13849 en IEC 62061 Type systeem
Elektromechanisch
NEN-EN 954-1:1996*
ISO 13849-1:2008
+
+
ISO 13849-2:2008
ISO 13849-2:2008
JA*
JA
IEC 62061:2005
JA
Electronisch
JA*
JA
JA
Programmeerbaar
NEE
JA
JA
electronisch * toepasbaar tot uiterlijk 31-12-2012
[einde kader]
De overgang van de oude en vertrouwde NEN-EN 954-1:1996 naar de nieuwe normen zal voor de meeste bedrijven wel wat inspanningen kosten. Allereerst moet men zich de nieuwe methodieken eigen maken en vergt het bepalen van de benodigde parameters het nodige rekenwerk. Daarnaast zullen de toeleveranciers van veiligheidscomponenten ook moeten beginnen met het leveren van adequate faalkansgegevens. Het verdient aanbeveling om de betrokken medewerkers van de engineeringafdeling nu een opleiding NEN-EN-ISO 13849-1 (PL), NEN-EN-IEC 62061 (SIL) of een combinatie daarvan, aan te bieden, zodat de overgang zonder problemen zal geschieden. Naast het NEN (zie kader 4) zijn er steeds meer opleidingsbedrijven die zich op deze nieuwe kennisbehoefte richten.
7
[KADER 4] Het Nederlands Normalisatie Instituut (www.nen.nl) heeft een productonafhankelijke cursus “Ontwerp veilige machinebesturing: Inleiding PL en SIL” ontwikkeld voor de engineers van machinebouwers en/of eindgebruikers. Hierin wordt de methodiek van beide normen uitvoerig onder de loep genomen. [einde kader]
Ing. Nick de With is senior consultant bij Fusacon B.V., docent bij NEN en lid van de normcommissies NEC 44 en IEC TC44/WG7.
Adresgegevens FUSACON B.V.
Functional Safety Consultants Nederland Vogelenzangseweg 20, 4124 AS HAGESTEIN E:
[email protected]
P:
+31 (0) 347 352 519
F:
+31 (0) 877 843 520
W : www.fusacon.nl
8
