Safety Integrated: Normen machineveiligheid

EN ISO 13849 EN 62061

Safety Integrated:

Normen machineveiligheid

Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL)

Safety Integrated – Normen Functionele Veiligheid

www.siemens.nl/industry/machineveiligheid 1

Het nut van veiligheidstechnologie Veiligheid vraagt om bescherming tegen gevaar voor … Mens

Milieu

Wettelijk verplichte bescherming

Machine

Proces

Economisch verantwoorde veiligheid

Gevaarlijke situaties die ontstaan door functiefouten moeten worden voorkomen vóór dat ze optreden ! Safety Integrated – Normen Functionele Veiligheid

2

Functionele veiligheid heeft betrekking op… … dat deel van de machine of productie-installatie waarbij de veiligheid afhangt van het correct functioneren van besturingen en afschermingen

Dit voorkomt:

Mens

Machine

Letsel (of dood) van mensen Vernietiging of beschadiging van - productie-faciliteiten (machines) en - productie-kwaliteit (productieverlies en uitval)

Functionele veiligheid moet een integraal onderdeel zijn van elke machine ! Safety Integrated – Normen Functionele Veiligheid

3

Toenemend belang veiligheidstechniek In veel productie-installaties schuilen gevaren voor mens en machine. Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken: 1e Wettelijke richtlijnen voor machinebouwers en installatiebeheerders (Machinerichtlijn, CE-markering) 2e Economische gegronde redenen: - b.v. het voorkomen van ongelukken en productiestilstand - of het verhogen van de beschikbaarheid van de installatie - machine en materiaal tegen schade behoeden (investering!)

Uw marktkansen worden verbetert dankzij de toenemende vraag naar ‘veilige’ machines! Safety Integrated – Normen Functionele Veiligheid

4

Veilige machines Wat maakt een machine veilig?

??

Veilig ontwerp Additionele veiligheidsmaatregelen Bescherming voor het bedieningspersoneel


5

Veiligheid begint met bewustwording

© Industriële automatisering


6

Belangrijke wijzigingen van wetgeving en normalisatie in de machinebouw

Nieuwe Machinerichtlijn

EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849

EN ISO 13849-1 (PL)

EN 62061

EN 62061 (SIL) Welke methode kiezen: SIL of PL? Safety Integrated – Normen Functionele Veiligheid

7

Normen Functionele Veiligheid

Nieuwe Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL Welke methode kiezen: SIL of PL? EN ISO 13849 EN 62061

EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail


8

Nieuwe machinerichtlijn (2006/42/EG) De belangrijkste feiten op een rij: Ingangsdatum: 29 december 2009 Geen overgangstermijn Aangepaste eisen aan besturing Verdwijnen van IIC verklaring (IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten) Eisen ‘niet-voltooide machines’ (IIB machines) aangescherpt Montagehandleiding IIB machines TCD ‘niet-voltooide machines’ vereist Veiligheid wordt ‘meetbaar’ Safety Integrated – Normen Functionele Veiligheid

9

Overzicht belangrijkste normen Machinerichtlijn Geharmoniseerd onder de EU Machinerichtlijn: EN ISO 12100-2010

(samenvoeging van EN ISO 12100 en EN ISO 14121, overgangstermijn 3 jaar) Leidraad voor risicobeoordeling Basisbegrippen en algemene ontwerpbeginselen

EN 60204-1 Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen

EN ISO 13850 (voorheen EN 418) Veiligheid van machines - Noodstop - Ontwerpbeginselen

EN ISO 13849-1/-2 (EN 954-1/-2)

Veiligheid van machines - Veiligheidgerelateerde gedeelten van besturingssystemen (SRP-CS)

EN 61496-1

Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen Deel 1: algemene eisen en beproevingen

EN 62061

Veiligheid van machines – Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen (SRECS) Safety Integrated – Normen Functionele Veiligheid

10

Overzicht belangrijkste normen Machinerichtlijn Niet geharmoniseerd onder de EU Machinerichtlijn: IEC 61508 Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/programmeerbare elektronische systemen

IEC 61496-2, -3, -4 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen Deel 2, -3, -4 - …

Meer informatie: www.newapproach.org

www.iso.org Safety Integrated – Normen Functionele Veiligheid

11

Overzicht Relevante machineveiligheid-normen voor functionele veiligheid

2006/42/EG

Machinerichtlijn 98/37/EG EN 954-1: 1996 (Cat)

Overgangsfase tot 31-12-2011 EN ISO 13849-1 (PL)

PL SIL

EN 62061 (SIL) 2006

2007

2008

2009

2010

2011

2012

Vanaf Januari 2012 mag EN 954-1 (Cat.) niet meer toegepast worden! Het uitfaseren van de EN 954-1 naar EN 62061 en EN ISO 13849-1 heeft tot gevolg dat u nu moet overstappen naar SIL of PL Safety Integrated – Normen Functionele Veiligheid

12

Hiërarchische structuur EN - Normen

EN IEC 61508

A-TYPE Basisveiligheidsnormen

normen

EN ISO 12100-2010 (EN ISO 12100 + EN ISO 14121)

Basisontwerprichtlijnen en basisbegrippen voor machines

Veiligheidsaspect normen

Specifieke normen

EN ISO 13849

B-TYPE normen B1 Normen Behandeling van gemeenschappelijke gevaarzettende aspecten

(EN 954)

EN 62061

B2 Normen Algemeen toepasbare veiligheidsvoorzieningen

b.v. EN ISO 13850

C-TYPE normen

(EN 418) (Noodstops)

Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten

b.v. EN 692 (machinegereedschappen – lasmachines) Safety Integrated – Normen Functionele Veiligheid

13

Richtlijnen, wetten en normen

Machineveiligheid

Artikel 95 EG-verdrag (machineveiligheid)

Artikel 137 EG-verdrag (sociale veiligheid)

Kaderrichtlijn veiligheid werknemers (89/391/EG)

Laagspannings richtlijn (2006/95/EG)

Machinerichtlijn (2006/42/EG)

Geharmoniseerde Europese normen

Richtlijn arbeidsmiddelen (2009/104/EG)

EN 62061 ISO 13849

Eventueel andere richtlijnen

Nationale wetsvoorschriften

Gebruiker

Fabrikant Scope vandaag: functionele veiligheid volgens EN 62061 en EN ISO 13849 Safety Integrated – Normen Functionele Veiligheid

14

Geharmoniseerde normen

‘vermoeden van overeenstemming’

Basisnormen voor veiligheidgerelateerde besturingsfuncties Ontwerp- en risicobeoordeling van de machine EN ISO 12100-2010 (EN ISO 12100 + EN ISO 14121, overgangsperiode tot eind 2013) Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject

Functionele- en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen Ontwikkeling en realisatie van veiligheidgerelateerde besturingssystemen EN 62061: 2005 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen

EN ISO 13849-1: 2006 Veiligheid van machines Veiligheidgerelateerde gedeelten van besturingssystemen, deel 1: algemene principes - Opvolger van EN 954-1: 1996 - Overgangsperiode tot dec. 2009

Willekeurige opbouwstructuren (architecturen) Safety Integrety Level (SIL), SIL 1, SIL 2 SIL 3

Bepaald architectuur (categorie) Perfomance Level (PL) PL a, PL b, PL c, PL d, PL e

Elektrische veiligheid EN 60204-1

Veiligheid van machines


Elektrische onderdelen van machines, deel 1: algemene eisen 15

Bijlagen Machinerichtlijn 2006/42/EG Nieuwe eisen aan de besturing - Defecten, bedieningsfouten, - Operationele- en noodstop Noodstop is geen vervanger van veiligheidsmaatregelen (is voor beperken van letsel/schade na incident, of aanvullende beveiliging) Lijst van veiligheidscomponenten


16

Bijlage V Machinerichtlijn 2006/42/EG Veiligheidscomponenten Eenheden voor veiligheidsfuncties Afschermingen Persoonsdetectie Noodstopvoorzieningen Tweehandenbediening Kleppen met storingsdetectie .…(momenteel zo’n 17 items)


17

Hoe maak je een machine veilig ? Voorkomen van gevaarlijke situaties

‘RIE’

(Risico Inventarisatie en Evaluatie)

Stappenplan: 1. Identificeren van het gevaar 2. Risicobeoordeling van het gevaar

(analyse) (schatting / -evaluatie)

3. Bepaling maatregelen voor risicoreductie (reductie: definities / maatregelen) 1e Ontwerp / mechanische oplossingen (b.v. afscherming met hek of beschermkap) 2e Elektronische en elektrische oplossingen 3e Organisatorische maatregelen (b.v. gebruikershandleiding, training machine-operators) De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated – Normen Functionele Veiligheid

18

Risicobeoordeling begint met gebruiksgrenzen aangeven van de machine ! Waarvoor te gebruiken Onder welke omstandigheden Door wie te bedienen ….…


19

Risicobeoordeling

Ernst van de verwonding

Hoe ernstig

Frequentie en duur van verblijf in de gevaarlijke zone

Mogelijkheid om schadelijk effect te beperken of uit te sluiten

• Zwaar • licht

Hoe vaak

Hoe waarschijnlijk


• Vaak • Zelden

• Bijna onmogelijk • Mogelijk

20

Basisbegrippen en leidraad voor risicobeoordeling: EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121) De ‚3-stapsmethode‘: algemene ontwerpbeginselen Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is n aan het gevaar: inherent ontwerp, technische beveiligingsmaatregelen en gebruiksinformatie. Start Stap 1: Risicoreductie door een veilige constructie/opbouw Is het risico voldoende verminderd?

JA

NEE Stap 2: Risicoreductie door technische beveiligingsmaatregelen Is het risico voldoende verminderd? NEE

JA

Stap 3: Risicoreductie door gebruikersinformatie over de restrisico‘s Is het risico voldoende verminderd?

JA

NEE Risicobeoordeling opnieuw uitvoeren Safety Integrated – Normen Functionele Veiligheid

Einde 21

Basisbegrippen en leidraad voor risicobeoordeling: EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121) Principe voor risicobeoordeling: Start Bepaling van de grenzen van de machine/installatie

Risicoanalyse

Risicoreductie, door het kiezen van de juiste beveiliging(en) Risicobeoordeling

NEE

Identificatie van de gevaren van de machine/installatie Voor elk gevaar: risicoschatting en risico-evaluatie

Is het risico voldoende gereduceerd? De machine is veilig, JA

het gevaar is teruggebracht tot een aanvaardbaar restrisico

Einde Safety Integrated – Normen Functionele Veiligheid

22

Essentieel onderdeel bij het ontwerpen van machines: Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model)

Risicobeoordeling vd machine vlgs EN ISO 12100

Machinevalidatie

Besturingstechnische veiligheidsfuncties

Ontwerp en engineering

Veiligheidsspecificaties SRS*

Einde

Gevalideerde machine

Test van specificaties SRS

Architectuur HW** en SW***

Integratie test HW en SW

HW-ontwerp

HW-test

SW-ontwerp

Verificatiie en Validatie

Start

SW-test

Realisatie * SRS = Safety Requirement Specification Verificatie / Validatie Resultaat Safety Integrated – Normen Functionele Veiligheid

** HW = Hardware *** SW = Software 23





24

Belangrijkste wijzigingen EN 60204 – 5e druk Veiligheid van machines – Elektrische onderdelen

Betere aansluiting op de IEC 60364 reeks (NEN 1010) Betere aansluiting op de IEC 61439 reeks (schakelen verdeelinrichtingen) Verdwijnen hoofdstuk 11 “elektronische uitrusting” Verwijzing naar EN 62061 en EN ISO 13849


25

Nieuwe samenhang besturingsnormen

EN 62061 Veiligheids georiënteerde onderdelen van een besturing

EN 60204 elektrische veiligheid van machines

ISO 13850 Noodstop (EN 418)

EN ISO 13849-1 (EN 954) Besturingssysteem met veiligheidsfunctie

ISO 13851 2 handenbediening (EN 574) ISO 14118 onbedoeld starten (EN 1037)


NEN-EN 953 afschermingen EN 1088 blokkeerinrichting afscherming

26





27

Indien de C-Norm geen klasse aangeeft Bepaling betrouwbaarheidscategorie volgens EN 954-1 Methode volgens EN 954-1

B 1 2 3 4

S1

Methode voor de inschatting van de betrouwbaarheid van een specifiek veiligheidsbesturingscircuit.

P1 F1

Frequentie en/of tijd in gevaarlijke zone


F2

P2 P1


P2

S1: Licht, herstelbaar

Mogelijkheid om gevaar te voorkomen

S2


S2: Zwaar, onomkeerbare tot en met dodelijke afloop

Frequentie en/of tijdsduur in gevaarlijke zone F1: Zelden tot vaak F2:

Frequent tot continue

Mogelijkheid om het gevaar te voorkomen P1: Mogelijk onder bepaalde omstandigheden P2: nauwelijks mogelijk

28

Systeemgedrag EN 954-1

Categorie

Samenvatting van de eisen

Systeemgedrag

B

Veiligheidsgerelateerde onderdelen van de besturingen moeten zodanig zijn ontworpen, gebouwd, samengesteld, volgens de relevante normen, zodat deze de te verwachten invloeden kunnen weerstaan

Een fout kan tot verlies van de veiligheidsfunctie leiden

1

Eisen van categorie B; Er moeten beproefde componenten en veiligheidsprincipes worden gebruikt en in acht worden genomen.

Zoals beschreven in categorie B, maar met een hogere mate van betrouwbaarheid van de veiligheidsfunctie

2

Eisen van categorieën B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd

Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend

3

Eisen van categorieën B en 1; Een afzonderlijke fout in de b esturing kan niet leiden tot verlies van de veiligheidsfunctie

Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden, echter de fouten worden niet allemaal gedetecteerd

4

Eisen van categorieën B en 1; Een afzonderlijke fout mag niet leiden tot verlies van de veiligheidsfunctie. De enkele fout moet gedetecteerd voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot verlies v.d. veiligheidsfunctie

Wanneer een samenloop van fouten optreedt, blijft de veiligheidsfunctie behouden en worden fouten tijdig herkend


Principe Overwegend gekenmerkt door de kwaliteit van de componenten

Overwegend gekenmerkt door de structuur van de besturing

29

Betrouwbaarheidscategorieën volgens EN 954-1 Categorie 2 Eisen van categorie B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd (vb. het sporadisch openen van veiligheidsdeuren /-hekken)

Eisen

Systeemgedrag

Voorbeeld voor categorie 2

Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Dicht

Principe

Veiligheid nog steeds voornamelijk afhankelijk van de kwaliteit van de componenten

3TK 28

Start K1

Open K1 M

Hekbewaking K1

Systeem Actuatoren

: v.b. volgens EN 418 : ”beproefde componenten” (v.b . magneetschakelaars) Foutherkenning : v.b. door gebruik van veiligheidsrelais


30

Betrouwbaarheidscategorieën volgens EN 954-1 Categorie 4 Eisen van categorieën B en 1; Een enkele fout mag niet leiden tot verlies van de veiligheidsfunctie De enkele fout moet worden gedetecteerd tijdens of voordat een beroep op de veiligheidsfunctie wordt gedaan Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot een verlies van de veiligheidsfunctie

Eisen

Systeemgedrag

Voorbeeld voor categorie 4

S1

Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden en de fouten worden tijdig herkend Veiligheid gewaarborgd door structuur van de besturing

K2

Start

K1 K2

3TK28 M

S2

Dicht

Principe

K1

K1

Open

K2

Hekbewaking

Systeem : Redundant ontwerp Actuatoren : Redundant ontwerp Foutherkenning : v.b. door gebruik van veiligheidsrelais Aanvullende controle op onderlinge kruissluiting, kortsluitdetectie en bewaakte start. Safety Integrated – Normen Functionele Veiligheid

31

Methode volgens EN 62061 en EN ISO 13849-1 Er

is een berekenbare methode geintroduceerd voor veiligheidgerelateerde aspecten: de “Safety Performance” - EN 62061: Safety Integrity Level (SIL) - EN ISO 13849-1: Performance Level (PL)

EN 62061 en EN ISO 13849-1 definiëren beiden veiligheid:

- Een gevaarlijke situatie van een machine kan beschreven worden in gedefinieerde veiligheidsfuncties. - Voor de gedefinieerde veiligheidsfuncties kan de vereiste “Safety Performance” bepaald worden. - De hoogte van de Safety Performance is afhankelijk van de kwaliteit van de gebruikte componenten, de gebruikscyclus èn de mate van diagnosemogelijkheden binnen de veiligheidsfuncties. Met SIL en PL is veiligheid meetbaar geworden ! Safety Integrated – Normen Functionele Veiligheid

32

Methode volgens EN 62061 en EN ISO 13849-1 .… de vereiste Safety Performance is afhankelijk van de risico’s.

Voorheen: Categorie (EN 954-1) Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur) Geen referentie voor de meetbaarheid van de risico’s

Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level) Onafhankelijke oplossing (kwantitatieve waardebepaling) Systeemgedrag/architectuur wordt gecombineerd met betrouwbaarheid (uitvalkans) van gebruikte componenten

Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL ! Safety Integrated – Normen Functionele Veiligheid

33

Uitgangspunten voor SIL en PLmet betrekking tot uitval/falen

Hoe lang bent u verantwoordelijk als fabrikant? Hoe vaak mag een veiligheidsvoorziening weigeren per jaar? Idem maar bij een zeer gering effect. Hoeveel uren zitten er in een jaar? Wat mag de kans op falen per uur zijn? Risk Assessment Management


34

Wat is nieuw aan EN 62061 en EN ISO 13849? Berekening en bepaling van veiligheidsfuncties (over de hele veiligheidsketen: Detecting – Evaluating – Reacting)

Eisen aan de uitvalwaarschijnlijkheid (PFHD / B10D / MTTF / DC / SFF / CCF / λ /…)

Naast bepaling van het vereiste veiligheidsniveau (beoordeling) ook bepaling van het behaalde veiligheidsniveau: de toetsing

Eisen aan de handelwijze (projectmanagement, testconcept, technische documentatie, ….)


35

Normen EN 62061 en EN ISO 13849-1 gebruiken veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN 62061 en EN ISO 13849-1 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (-systeem) Voert veiligheidsfunctie uit (b.v. hekbewaking) Moet voor elk afzonderlijk gevaar beschreven worden Is opgebouwd uit subsystemen Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden (wat is de uitvalkans) Proces/routine voor elke veiligheidsfunctie (-systeem) Beschrijving/specificatie van de veiligheidsfunctie Bepaling van het vereiste veiligheidsniveau (beoordeling) Ontwerp/opbouw van de veiligheidsfunctie Bepaling van het behaalde veiligheidsniveau (toetsing) Realisatie en testen van de veiligheidsfunctie Safety Integrated – Normen Functionele Veiligheid

36

Opbouw van veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN 62061 en EN ISO 13849-1 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1)

Input / Detecting (Sensor 2)

Subsysteem-elementen

Logic / Evaluating

Output / Reacting

(F-PLC / veiligheidsrelais)

(Relais / drive)

Subsysteem


Systeem 37

Veiligheidsfuncties/-systemen in de praktijk De subsystemen van de veiligheidsfunctie Detecting

Input

/ detecting

(sensor, eindschakelaar, lichtscherm, .…)

Logic / evaluating

(veiligheidsrelais, veiligheidsbesturing,…)

Output / reacting

(contactor, frequentieregelaar, …)

Evaluating Veiligheidsfunctie (-systeem)

Veiligheidsdeur

Subsysteem 1: input / detecting (sensoren)

Subsysteem 2: logic / evaluating (besturing)

Subsysteem 3: output / reacting (schakelen)

Motor

Reacting of

Voor elke veiligheidsfunctie moet een veiligheidsniveau bepaald worden (hoe groot is de uitvalkans) Safety Integrated – Normen Functionele Veiligheid

38

Voorbeeld: veiligheidsfunctie/-systeem Doel van het ontwerp Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde veiligheidsniveau vervullen (SIL, PLr).

Voorbeeld Veiligheidsfunctie: „Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden.“ Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e

Veiligheidsfunctie (-systeem) Veiligheidsdeur

input / detecting (sensoren)

logic / evaluating (besturing)

of


output / reacting (schakelen)

Motor

Ontworpen voor SIL 3, resp. PL e 39

Voorbeeld: veiligheidsfunctie/-systeem Toetsing van het ontwerp Kan het vereiste veiligheidsniveau (SIL, PL) gerealiseerd worden?

Handelwijze Berekening van de afzonderlijke subsystemen (Detecting, Evaluating, Reacting) Behaald veiligheidsniveau (SILCL, PL)


Subsysteem 1: detecting

Subsysteem 2: evaluating

Subsysteem 3: reacting

Motor

of

Uitvalwaarschijnlijkheid (PFHD)

Berekening van het veiligheidssysteem Behaald veiligheidsniveau (SILCL, PL): In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare maximaal veiligheidsniveau van het veiligheidssysteem. Uitvalwaarschijnlijkheid PFHD: som van alle PFHD-waarden van de subsystemen Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste (SIL, PL) van de veiligheidsfunctie? Safety Integrated – Normen Functionele Veiligheid

40

Voorbeeld: veiligheidsfunctie/-systeem Berekening van een subsysteem Veiligheidsrelevante kengetallen voor een subsysteem: Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid PFHD Subsysteem 2 logic / evaluating (besturing)

‚Kant en klaar‘ subsysteem Gegevens en certificaten van leverancier

of

‚Ontworpen‘ subsysteem Gegevens moeten berekend worden Norm EN ISO 13849 en EN 62061 beschrijven hoe. (diagnosedekking, uitvalwaarschijnlijkheid van componenten)


Subsysteem 1 input / detecting (sensoren) Subsysteem 3 output / reacting (schakelen)

41

Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFYD) / per uur (PFHD)

EN ISO 13849-1 : PL PL

EN 62061 : SIL

Gemiddeld gevaarlijk falen per jaar (PFYD)*

Gemiddeld gevaarlijk falen per uur (PFHD)**

SIL

a

0,1 ≤ PFYd < 1

10-5 ≤ PFHd < 10-4

b

0,03 ≤ PFYd < 0,1

3 x 10-6 ≤ PFHd < 10-5

c

0,01 ≤ PFYd < 0,03

10-6 ≤ PFHd < 3 x 10-6

d

0,001 ≤ PFYd < 0,01

10-7 ≤ PFHd < 10-6

2

e

0,0001 ≤ PFYd < 0,001

10-8 ≤ PFHd < 10-7

3

1

* PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar ≈ 10000 uur Safety Integrated – Normen Functionele Veiligheid

42

Vergelijk parameters EN ISO13849-1 versus EN 62061 EN 62061

EN ISO 13849-1

SIL - Safety Integrity Level

PL - Performance Level

Structuur

HFT

Cat. (architectuur)

Betrouwbaarheid

PFHD / λ

MTTFD / PFYD / λ

Diagnose

SFF (DC)

DC

Resistentie

CCF (ß-factor)

CCF

Proof-Test-Interval

Processen

T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie


T1 (= 20 jaar ‚fixed‘) T2 (afh.v.d. Cat.) Handelwijze Verificatie 43

Bepaling van het Performance Level (PL)

Structuur

Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem:

Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure)

Regel voor de PL van een veiligheidsfunctie: PL ≥ PLr Safety Integrated – Normen Functionele Veiligheid

44

Riscograaf voor bepaling van het Performance Level (PL)

Structuur

Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Ernst van letsel

S

ernstig, (meestal blijvend), incl. dood

S2

licht, vaak herstelbaar letsel

S1

Frequentie / duur van blootstelling frequent tot continu / blootstellingtijd is lang zelden tot soms / blootstellingtijd is kort

F

Mogelijkheid tot voorkomen

P

F2

nauwelijks mogelijk

P2

F1

Mogelijk onder bepaalde voorwaarden

P1

P1 F1 S1

P1 F2

Startpunt voor schatting van risicoreductie

P2

F1 S2 F2

Laag risico

PLr b

P2 P1

PLr c

P2 P1 P2


PLr a

PLr d PLr e

Hoog risico 45

Scope van EN ISO 13849

Structuur

Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN 13849 is opgedeeld in: - EN ISO 13849 deel 1:2006, Algemene ontwerpprincipes - EN ISO 13849 deel 2:2003, Validatie


46

Scope van EN 62061

Structuur

Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Bepaling van het vereiste veiligheidsniveau (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849 Validatie van SRECS Wijziging/aanpassing van SRECS


47

Bepaling van het vereiste veiligheidsniveau: Safety Integrity Level (SIL)

Structuur

Het vereiste veiligheidsniveau (risico) wordt bepaald door:

Frequentie en duur van blootstelling

Risico gerelateerd aan het geïdentificeerde gevaar

=

Ernst van de schade / letsel

Se

en

aan het gevaar

Fr

Waarschijnlijkheid van optreden

Pr


Av



48

Factoren voor het vaststellen van de SIL-Claim

Se

: Ernstgraad van het letsel 1 t/m 4

Fr

: Frequentie en duur van blootstelling 2 t/m 5

Pr

: Waarschijnlijkheid van optreden 1 t/m 5

Av

: Mogelijkheid tot voorkomen 1, 3 en 5

Cl

: Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av)


Structuur

49


Structuur

Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar (Frequency) ≤ 1 uur > 1 uur tot ≤ 1 dag > 1 dag tot ≤ 2 wkn. > 2 wkn. tot ≤ 1 jaar > 1 jaar

Fr 5 5 4 3 2

+

Waarschijnlijkheid van optreden van gevaarlijke situatie (Probability) erg hoog vaak mogelijk zelden verwaarloosbaar

Ernst van letsel (Severity) Dood, verlies van oog of ledematen Permanent, verlies van vingers Herstelbaar, medische behandeling door arts Herstelbaar, eerste hulp

Pr 5 4 3 2 1

+

Mogelijkheid tot voorkomen Av gevaar (Avoidance) onmogelijk 5 in bijzondere 3 gevallen mogelijk mogelijk 1

Se 4 3 2 1

Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3 tot 4 5 tot 7 8 tot 10 11 tot 13 14 tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 SIL 1 Safety Integrated – Normen Functionele Veiligheid

50

Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem

Structuur

Annex A van norm EN 62061: Template voor SIL-bepaling


51

Electromechanische componenten: MTTFD op basis van B10D

Betrouwbaarheid

B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop – number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated – Normen Functionele Veiligheid

52


Betrouwbaarheid

B10-waarden van SIRIUS industrieel schakelmateriaal:

3


53

Invloed van diagnose-mogelijkheden: Diagnostic Coverage (DC)

Diagnose

De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking)

Bereik 0 < DC < 60 %

Laag

60 % ≤ DC < 90 %

Gemiddeld

90 % ≤ DC < 99 %

Hoog

99% < DC (≤99,9%)

- Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated – Normen Functionele Veiligheid

54

Bepaling van de ‘diagnosedekking’ (Diagnostic Coverage) EN ISO 13849

Diagnose

De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10


55

Systeemgedrag volgens categorieën in relatie met diagnosedekking (DC)

Diagnose

Opbouw veiligheidsfunctie: (Detecting – Evaluating – Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (≤ 60 %) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (>99 %) (optimale diagnose mogelijk door dubbelpolig circuit) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2e hek) Safety Integrated – Normen Functionele Veiligheid

56

Bepaling van de ‘uitval door gemeenschappelijke oorzaak’ (Common Cause Failure - CCF) EN ISO 13849

Resistentie

Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak.


57


Resistentie

Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) Waarden bij elkaar optellen voor totaalscore

- Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren

De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF:


Score ≥ 65

Voldoet aan de eisen

Score < 65

Proces mislukt, kies additionele maatregelen 58

Bepaling van de ‘uitval door gemeenschappelijke oorzaak’ (Common Cause Failure - CCF) EN 62061

Resistentie

Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated – Normen Functionele Veiligheid

59


Resistentie

Criteria voor CCF-bepaling: Tabel F1 - criteria:

- Diversiteit (verschillende technieken)

Waarden bij elkaar optellen voor totaalscore

- Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse

Tabel F2 - ß-factor:

- Beveiliging tegen overspanning

Totaalscore omrekenen naar percentage

- EMC invloeden - Omgevingsfactoren

De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated – Normen Functionele Veiligheid

60

Praktijkvoorbeelden van veiligheidsfuncties (1) in relatie tot DC- / CCF-waarden en PL/SIL-niveau: Betrouwbaarheid

Veiligheidsfunctie:

PL/SIL:

Structuur

Diagnose

Resistentie

Opbouw:

DC (SFF):

CCF:

(is maximaal realiseerbaar veiligheidsniveau)

(*Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm)

(**Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm)

Hoog (>99 %)*

≥ 65 pt** (PL) 1%-10%** (SIL)

Geen (≤ 60 %)*

n.v.t.

Hoog (>99 %)*

≥ 65 pt** (PL) 1%-10%** (SIL)

Veiligheidsfunctie noodstop (dubbelpolig) Subsysteem 1: detecting


of

(2NC)

PL e / SIL 3


Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten

(2x)

(vb: 2NC-noodstop - veiligheidsrelais - 2 magneetschak.) Veiligheidsfunctie noodstop (enkelpolig) Subsysteem 1: detecting


(1NC)

PL c / SIL 1


of

(1x)

Enkelpolig - max.Cat.2 (PL) - 1 channel/kanaal - 1 component/contact

(vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld) Subsysteem 1a: detecting 1a

Subsysteem 1b: detecting 1b

(2NC)

(2NC)

Noodstop 1

Noodstop 2


of


PL e / SIL 3

(2x)

(vb: 2 noodstoppen in serie – veiligheidsrelais - 2 magneetschak.) Safety Integrated – Normen Functionele Veiligheid

Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten

61


Veiligheidsfunctie:

PL/SIL:

Structuur

Diagnose

Resistentie

Opbouw:

DC (SFF):

CCF:




Veiligheidsfunctie hekbewaking (enkelpolig) Subsysteem 1: detecting

(1x)



of

PL c / SIL 1

(1x)

Enkelpolig - max.Cat.2 (PL) - 1 channel/kanaal - 1 component/contact

Geen (≤ 60 %)*

n.v.t.

Gemiddeld (90 %)*

≥ 65 pt** (PL) 1%-10%** (SIL)

(vb: 1NC-schak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting

(1x)



PL d / SIL 2

(2x)

of

Dubbelpolig - max.Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar

- beperkingen in architectuur voor ‘schakelaar’ (SIL)

(vb: 1 schak.met 2NC - veiligheidsrelais - 2 magneetschak.) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: detecting

(2x)


of


PL e / SIL 3

(2x)

(vb: 2 schak.met 1-/2NCSafety - veiligheidsrelais 2 magneetschak.) Integrated – -Normen Functionele Veiligheid

Dubbelpolig (redundant+divers)

Hoog (>99 %)*

≥ 65 pt** (PL) 1%-10%** (SIL)

- Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak 62


Veiligheidsfunctie:

PL/SIL:

Structuur

Diagnose

Resistentie

Opbouw:

DC (SFF):

CCF:




Veiligheidsfunctie hekbewaking (hekken in serie geschakeld) Subsysteem 1a: detecting 1a

Subsysteem 1b: detecting 1b


of (hek 1)


PL d / SIL 2

(2x)

(hek 2)

Dubbelpolig (redundant/divers)

Laag (60 %)*

≥ 65 pt** (PL) 1%-10%** (SIL)

- Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 of 2 componenten/schak.

(vb: 1-/2 schak.p/hek met 1-/2NC – veiligheidsrelais - 2 magneetschak.)

Serieschakeling van hekken is niet aan te bevelen, er kan een gevaarlijke situatie ontstaan! Een persoon kan ingesloten raken in het gevaarlijke gebied ! - als na openen van het 1e hek een persoon ongemerkt door het 2e hek naar binnen gaat en dit hek achter zich sluit, - kan de machine gestart worden zodra ‘iemand’ het 1e hek sluit en het veiligheidscircuit reset ! Safety Integrated – Normen Functionele Veiligheid

63

Vergelijking van de verschillende normen: uitgangspunt EN954-1

Risicocategorie Performance v.d. besturing Level EN 954-1 EN ISO 13849

Safety Integrity Level EN 62061

PFHD (Waarschijnlijkheid gevaarlijke uitval per uur)

Omschrijving / architectuur

Cat. B

PL a

--

Cat. 1

PL b

SIL 1

≥ 3x10-6 – < 10-5

Veiligheidscomponenten en -pricipes; testprocedures

Cat. 2

PL c

SIL 1

≥ 10-6 – < 3x10-6

Complete zelftest binnen één cyclus, redundantie niet vereist

Cat. 3

PL d

SIL 2

≥ 10-7 – < 10-6

Redundantie, snelle foutherkenning, additionele zelftests in diverse cycli

Cat. 4

PL e

SIL 3

≥ 10-8 – < 10-7

Verschillende hardware en software

≥ 10-5 – < 10-4


Standaard besturingen

64

Vergelijking van de verschillende normen: uitgangspunt EN 62061 / EN ISO 13849

Risicocategorie Performance v.d. besturing Level EN 954-1 EN ISO 13849



Relatie tot gevaarlijke uitval Omschrijving / architectuur van de veiligheidsfunctie

Cat. B

PL a

--

Cat. 1

PL b

SIL 1

≥ 3x10-6 – < 10-5

Cat. 2

PL c

SIL 1

≥ 10-6 – < 3x10-6

Cat. 3

PL d

SIL 2

≥ 10-7 – < 10-6

Niet meer dan 1 gevaarlijke uitval Redundantie, snelle foutherkenning, v.d. veiligheidsfunctie per 100 jaar additionele zelftests in diverse cycli

Cat. 4

PL e

SIL 3

≥ 10-8 – < 10-7

Niet meer dan 1 gevaarlijke uitval Verschillende hardware en software v.d. veiligheidsfunctie per 1000 jaar

≥ 10-5 – < 10-4


--

Standaard (geen overeenstemming) besturingen

Veiligheidscomponenten en -pricipes; testprocedures Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar Complete zelftest binnen één cyclus, redundantie niet vereist

65

Voorbeeld 1: Project met meerdere subsystemen op basis van SIL

Betrouwbaarheid

Veiligheidsfunctie (Sensor 1)



Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem

Systeem

SIL-CL 2

SIL-CL 3

SIL-CL 1

PFHD = 2.10-7

PFHD = 3.10-8

PFHD = 1.10-6

PFHDT = 20.10-8 + 3.10-8 + 100.10-8 = PFHDT = 123. 10-8 = 1,23 10-6 ~ SIL 1 Safety Integrated – Normen Functionele Veiligheid

66


Betrouwbaarheid




Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem

Systeem

SIL-CL 2

SIL-CL 3

SIL-CL 2

PFHD = 5.10-7

PFHD = 3.10-8

PFHD = 7.10-7


67





68

Welke methode kiezen: SIL of PL? Beide normen beschrijven eisen aan de veiligheidsniveaus van veiligheidsfuncties / veiligheidssystemen EN 62061 (SIL) en EN ISO 13849 (PL) beschrijven de vereisten voor de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen: PL a SIL 1

PL b PL c

SIL 2

PL d

SIL 3

PL e

Toenemende eisen aan de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen

Alle fasen van de machine life-cycle moeten hierbij in acht genomen worden: Vanaf het ontwerp en engineering Tot en met buitenbedrijfstelling Safety Integrated – Normen Functionele Veiligheid

69

Welke methode kiezen: SIL of PL? De eisen omvatten: Techniek (sterk afhankelijk van vereist veiligheidsniveau) Handelwijze Eisen ten aanzien van techniek: Structuur van de hardware Mogelijkheid van foutherkenning Betrouwbaarheid van de onderdelen

(laag hoog veiligheidsniveau) (éénkanalig tweekanalig) (geen omvangrijke diagnose) (toenemend) Structuur Betrouwbaarheid

Eisen ten aanzien van de handelwijze: Projectmanagement Testconcept Technische documentatie, .…

Diagnose Resistentie Proof-Test-Interval Processen


70

Toepassingsgebieden EN 13849 EN ISO 13849-1: Performance Level (PL) Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen. Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische systemen zonder beperkingen worden toegepast. Gebruik van programmeerbare veilige elektronica kan, echter met beperkingen: Voor bepaalde opbouwstructuren (architectuur) Tot en met PL d resp. SIL 2. Programmeerbare veiligheidsbesturingen (F-PLC, etc.) moeten voor PL e voldoen aan IEC 61508. Berekeningsconcept van EN ISO 13849-1 is gebaseerd op (beperkt aantal) vast gedefinieerde opbouwstructuren (architecturen). Minder uitgebreide berekeningen dan EN 62061 maar daardoor wel eenvoudiger. ‘PL’ kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting – Evaluating – Reacting). Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen. …. Safety Integrated – Normen Functionele Veiligheid

71

Toepassingsgebieden EN 62061 EN 62061: Safety Integrity Level (SIL) Toepasbaar voor alle elektrische-, elektronische bestuingssystemen met elk mogelijke opbouwstructuur (architectuur is minder gedefinieerd): van SIL 1 tot n met SIL 3. Programmeerbare veiligheidsbesturingen (F-PLC) moeten voldoen aan IEC 61508. Is nauwkeuriger dan EN ISO 13849 maar vraagt meer rekenwerk. Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines. Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd. Alle fasen van de life-cycle van de machine worden beschreven: ontwerp – inbedrijfstelling – gebruik – upgrades - uitbedrijfname. ‘SIL’ kan alleen voor een gehele veiligheidsfunctie verkregen worden (Detecting – Evaluating – Reacting). Voor afzonderlijke onderdelen geldt ‘SIL CL’. Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de berekeningen van EN 62061 worden meegenomen. ….


72

Verschillen in toepassingsgebieden EN 62061 en EN ISO 13849


73

Mate van gevaarlijke uitval is leidraad bij beide normen Er zijn overeenkomsten tussen de uitvalkanwaarden van SIL en PL PerformanceLevel EN ISO 13849 (PL)

Waarschijnlijkheid gevaarlijke uitval per uur (PFHD)

Safety Integrity Level EN 62061 (SIL)

PL a

≥ 10-5 – < 10-4

--

PL b

≥ 3x10-6 – < 10-5

SIL 1

PL c

≥ 10-6 – < 3x10-6

SIL 1

PL d

≥ 10-7 – < 10-6

SIL 2

PL e

≥ 10-8 – < 10-7

SIL 3


74

Valkuilen Minder voorspelbaar en daarmee functioneel gedrag Bij een ontwerp kan men zich “rijk” rekenen op basis van faalkansen Nog prille ervaring in faalkans-cijfers en faalkans-berekeningen met betrekking tot machinebesturingen (verificatie-tools zijn niet heilig) Engineeringfouten Vergt vooral in het begin de nodige studie en extra werk


75

Belangrijkste termen en definities op een rij PFHD

Probability of dangerous Failure per Hour: De waarschijnlijkheid van een gevaarlijk falen per uur

PL

Performance Level: Prestatieniveau / veiligheidsniveau

PLr

Required Performance Level: Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL ≥ PLr)

SIL

Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau

SILCL

Safety Integrity Level - Claim Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem

MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten MTTFD Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout λD

Lambda: Kans van gevaarlijke uitval van een subsysteem(element), (λD = 1/ MTTFD )

CCF

Common Cause Failure: (ook wel ß-factor genoemd), foutbestendigheid bij meerdere kanalen / resistentie tegen falen

DC

Diagnostic Coverage: (≈ SFF), diagnosegraad of dekkinggraad tegen fouten/falen

SFF

Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen ≈ DC), het percentage van falen wat leidt tot niet-gevaarlijk falen Safety Integrated – Normen Functionele Veiligheid

76

Beschikbare documentatie Praktische uitvoering nieuwe machinerichtlijn - Nederlandstalige normen overzichtsbrochure EN 62061 en EN ISO13849-1 / EN954-1 - Overzichtsposter normen (A0-formaat) - Relatie SIL versus PL


77

Trainingsaanbod Machineveiligheid: www.siemens.nl/training/safety Trainingsmogelijkheden voor machineveiligheid: Cursus Functionele veiligheid voor ontwerpers in de praktijk - Ontwerpen van besturingstechnische veiligheidsfuncties volgens EN 62061 en EN ISO 13849-1 - Vanaf het opstellen van de Safety Requirements Specifications tot en met de verificatie en validatie van veiligheidsfuncties - Oefening en uitwerking aan de hand van praktijkcases - Templates en checklist die direct in de dagelijkse praktijk kunnen worden toegepast

Risicobeoordelingstraject-Management - Het risicobeoordelingstraject (Risk Assessment Management): normconforme methodiek voor het uitvoeren van de risicobeoordeling volgens EN ISO 14121-1, resp. EN ISO 12100:2010

Normen cursussen - De Machinerichtlijn (EN2006/42/EC) en CE-markering: actuele Europese richtlijnen voor machineveiligheid en CE-markeringstraject. - Functionele veiligheid: Europese normen voor functionele veiligheid van machines en productieinstallaties volgens EN 62061 en EN ISO 13849-1

Product-/systeemtrainingen - PROFIsafe / F-PLC / FH-PLC - Modulair Safety Systeem / ASIsafe / Drives

Technische Workshops Safety Integrated – Normen Functionele Veiligheid

78

Machineveiligheid-workshops: www.siemens.nl/workshop


79

Meer informatie: www.siemens.nl/industry/machineveiligheid


80

Normen informatie op site Machineveiligheid: www.siemens.nl/industry/machineveiligheid


81





82

Performance Level PL - EN ISO 13849-1 Berekenbare veiligheid:

- op basis van faalkans van componenten en systemen in combinatie met architectuur-eigenschappen Risico van de totale installatie

Restrisico (daadwerkelijk aanwezig restrisico)

Aanvaardbaar risico

Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch, ..)

Electronische en elektrische veiligheidssystemen


Externe voorzieningen en organisatorische maatregelen

83

Parameters binnen EN ISO 13849-1 - Overzicht EN ISO 13849-1 PL - Performance Level Structuur

Cat. (architectuur)

Betrouwbaarheid

MTTFD / PFYD / λ

Diagnose

DC

Resistentie

CCF T1 (= 20 jaar ‚fixed‘)

Proof-Test-Interval T2 (afh.v.d. Cat.)

Processen Safety Integrated – Normen Functionele Veiligheid

Handelwijze Verificatie 84

Scope van EN ISO 13849

Structuur

Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN 13849 is opgedeeld in: - EN ISO 13849 deel 1:2006, Algemene ontwerpprincipes - EN ISO 13849 deel 2:2003, Validatie


85

Toepassingsgebieden EN ISO 13849

Structuur

Veiligheidgerelateerde onderdelen van besturingssystemen (SRP/CS): Bedienings- en signaleringsapaaratuur (b.v. tweehanden-bedieningsunit, hekvergrendelingen) Elektrische beveiligingsapparatuur (b.v. lichtscherm), drukgevoelige schakelmatten Besturingscomponenten (b.v. verwerkingsunit voor het verwerken van veiligheidssignalen, dataverwerking, bewaking, etc.) Schakelapparatuur (b.v. relais, kleppen, etc.) Elektrische- en niet elektrische apparatuur (b.v. onderdelen van besturingssystemen opgebouwd met pneumatiek, hydrauliek) Veiligheidsfuncties in machines: - Van eenvoudig (b.v. koffie automaat of automatische deur) - Tot een productieproces (b.v. verpakkings-, drukpers-, spuitgietmachines) Safety Integrated – Normen Functionele Veiligheid

86

Opbouw van veiligheidsfuncties/-systemen (SRP/CS) binnen EN ISO 13849 Technische beveiligingsmaatregelen worden in normen EN ISO 13849-1 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1)



Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem


Systeem 87

Parameters binnen EN ISO 13849-1 (1) Definities en gebruikte termen: Structuur

PL: Performance Level

- Prestatieniveau voor de veiligheid van veiligheidsfuncties (Safety Performance) - Mate voor risicoreductie (PL a = laagste, … , PL e = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten

Betrouwbaarheid

PLr: Required Performance Level

- Minimaal vereist veiligheidsniveau van een veiligheidsfuncties (met PL ≥ PLr)

Betrouwbaarheid

PFY : Probability of Failure per Year PFYD: Probability of dangerous Failure per Year

- De waarschijnlijkheid van een gevaarlijk falen per jaar - Rekenwaarde Safety Integrated – Normen Functionele Veiligheid

88

Parameters binnen EN ISO 13849-1 (2) Definities en gebruikte termen: Betrouwbaarheid

MTTF : Mean Time To Failure MFFTD : Mean Time To Dangerous Failure

- MTTF : Tijd tot het optreden van een fout (eerste fout!) - MTTFD : Tijd tot het optreden van een gevaarlijke fout - MTBF : Mean Time Between Failure – Tijd tussen het optreden van twee fouten - MTTR : Mean Time To Repair – Tijd tot reparatie (onderhoud/service) - MTBF = MTTF + MTTR - MTBF>>MTTR, MTTR kan verwaarloosd worden, dus MFBF ≈ MTTF - MTBF waarden: opgave van fabrikant Betrouwbaarheid

λ en λD : Lambda

- λ : Uitvalkans van een subsysteem(element) - λD : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Relatie met MTTF: MTTF = 1 / λ (en MTTFD = 1 / λD) - Rekenwaarde Safety Integrated – Normen Functionele Veiligheid

89

Parameters binnen EN ISO 13849-1 (3) Definities en gebruikte termen: DC: Diagnostic Coverage

Diagnose

- Factor voor diagnosedekking in % - Is verhouding tussen aantal gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten - Bepaling DC: opgave van fabrikant

CCF (of ß-factor): Common Cause Failure

Resistentie

- Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN ISO 13849-1, Annex F - Bepaling CCF: opgave van fabrikant Proof-Test-Interval

T1 en T2: Tijden voor de gebruiksduur en het testen

- T1: ‘Proof-Test-Interval’ - Gebruiksduur/levensduur van het component / SRP/CS (jaren) - T2: ‘Proof-Test’ - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated – Normen Functionele Veiligheid

90

Hoe werkt bij de EN ISO-13849-1 de bepaling van het Performance Level (PL)

Processen

Handelwijze EN ISO 13849-1 /-2:

Stap 1: Bepaling van veiligheidsfuncties/-systemen Stap 2: Specificatie van het vereiste Performance Level PLr (PL-required) Stap 3: Ontwerp en technische realisatie van de veiligheidsfunctie Stap 4: Specificatie van het Performance Level en de architectuur/opbouwstructuur Stap 5: Validatie (EN ISO 13849-2)

Toetsing/verificatie na elke stap ! Safety Integrated – Normen Functionele Veiligheid

91

Bepaling van veiligheidsfuncties/-systemen Bepaling van veiligheidsfuncties/-systemen: Risicobeoordeling van de machine Zijn er vereiste veiligheidsfuncties die onder ‘C-normen’ vallen Voorbeelden van veiligheidsfuncties (zie ook in norm EN60204-1): - Stopfunctie - Start/herstartfunctie - Handmatige resetfunctie - Mutingfunctie - Noodstopfunctie (EN ISO 13850) - ...


92

Bepaling van het Performance Level (PL)

Structuur

Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem:

Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure)

Regel voor de PL van een veiligheidsfunctie: PL ≥ PLr Safety Integrated – Normen Functionele Veiligheid

93

Riscograaf voor bepaling van het Performance Level (PL)

Structuur

Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Ernst van letsel

S

ernstig, (meestal blijvend), incl. dood

S2

licht, vaak herstelbaar letsel

S1

Frequentie / duur van blootstelling frequent tot continu / blootstellingtijd is lang zelden tot soms / blootstellingtijd is kort

F


P

F2

nauwelijks mogelijk

P2

F1

Mogelijk onder bepaalde voorwaarden

P1

P1 F1 S1

P1 F2

Startpunt voor schatting van risicoreductie

P2

F1 S2 F2

Laag risico

PLr b

P2 P1

PLr c

P2 P1 P2


PLr a

PLr d PLr e

Hoog risico 94

Definitie van ‘gemiddelde tijd tot gevaarlijk falen’ van een enkel kanaal (MTTFD )

Betrouwbaarheid

MTTFD : Tijdsaanduiding voor het gebruiksduur zonder dat een gevaarlijke fout in één enkel kanaal van het besturingssysteem optreedt

MTTFD van elk kanaal Benaming

Bereik

Laag

3 jaar ≤ MTTFD < 10 jaar

Gemiddeld


Hoog


- Wordt hoofdzakelijk bepaald door de kwaliteit van de componenten. - Is een statistische gemiddelde waarde en geen gegarandeerde levensduur. Safety Integrated – Normen Functionele Veiligheid

95

Betekenis van MTTFD

Betrouwbaarheid

Niet acceptabel

Laag Gemiddeld Hoog Niet realistisch


96

Bepaling van MTTFD

Betrouwbaarheid

Hiërarchische procedure voor bepaling van MTTFD:

1e : Gebruik gegevens van de fabrikant of 2e : Gebruik de methoden in Annex C en -D van de norm of 3e : Kies 10 jaar

Volgorde is dwingend voorgeschreven ! Safety Integrated – Normen Functionele Veiligheid

97


Betrouwbaarheid

B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop – number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated – Normen Functionele Veiligheid

98


Betrouwbaarheid

B10-waarden van SIRIUS industrieel schakelmateriaal:

3


99

Architectuur gebaseerd op bestaande categorie B en 1

Betrouwbaarheid

Systeem


Veiligheidsdeur



Motor

1/MTTFD Totaal = 1/MTTFD Detecting + 1/MTTFD Evaluating + 1/MTTFD Reacting

(MTTFD in jaren) Safety Integrated – Normen Functionele Veiligheid

100

Voorgeschreven architectuur categorie 2

Betrouwbaarheid





Motor

of

Voor het bewaken en testen van de veiligheidsfunctie zijn gekwalificeerde componenten en systemen vereist

gebruik veiligheidscomponenten, failsafe besturing / veiligheidsrelais ! Safety Integrated – Normen Functionele Veiligheid

101

Voorbeeld: MTTFD op basis van B10D

Betrouwbaarheid

Op basis van 10 % uitval van een groep identieke componenten Bij contactoren en relais afhankelijk van het aantal keer schakelen en de daarbij optredende condities MTTFD = B10D x tcyclus : (0,1 x d x h x 3600) - B10D in aantal schakelingen - tcyclus in seconden - d : dagen per jaar - h : uren per dag - Als i.p.v. B10D alleen B10 is gegeven neem 2 x B10


102

Berekening

Betrouwbaarheid

PFHD B10 in aantal schakelingen

(10.000.000)

tcyclus in seconden

(circa 5 seconden)

d : dagen per jaar

(365 dagen continu)

h : uren per dag

(24 uur)

B10D = 2 x B10 = 2 x 10.000.000 = 20.000.000 MTTFD = B10D x tcyclus : (0,1 x d x h x 3600) MTTFD = 2.106 x 95 : (0,1 x 365 x 24 x 3600) MTTFD ≈ 30 jaar


103

Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFYD)* / per uur (PFHD)**

Betrouwbaarheid

MTTFD uitgedrukt in de kans op een gevaalijke uitval per jaar PFYD en per uur PFHD in relatie tot het Performance Level (PL) EN ISO 13849-1 : PL Gemiddeld gevaarlijk falen per jaar (PFYD)

Gemiddeld gevaarlijk falen per uur (PFHD)

a

0,1 ≤ PFYD < 1

10-5 ≤ PFHD < 10-4

b

0,03 ≤ PFYD < 0,1

3 x 10-6 ≤ PFHD < 10-5

c

0,01 ≤ PFYD < 0,03

10-6 ≤ PFHD < 3 x 10-6

d

0,001 ≤ PFYD < 0,01

10-7 ≤ PFHD < 10-6

2

e

0,0001 ≤ PFYD < 0,001

10-8 ≤ PFHD < 10-7

3

PL


SIL

1

* PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar ≈ 10000 uur

104

Performance Level in relatie met de kans op gevaarlijke uitval per uur (PFHD)

Betrouwbaarheid

PFHD = Probability of Dangerous Failure per Hour:

EN ISO 13849 hanteert max.Functionele MTTFDVeiligheid = 100 jaar Safety Integrated – Normen

105

Invloed van diagnose-mogelijkheden: Diagnostic Coverage (DC)

Diagnose

De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking)

Bereik 0 < DC < 60 %

Laag

60 % ≤ DC < 90 %

Gemiddeld

90 % ≤ DC < 99 %

Hoog

99% < DC (≤99,9%)

- Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated – Normen Functionele Veiligheid

106

Bepaling van ‘Diagnosedekking’ (Diagnostic Coverage - DC)

Diagnose

Hiërarchische procedure voor bepaling van DC:

1e : Gebruik gegevens van de fabrikant of 2e : Gebruik methode uit Annex E van de norm of 3e : Kies DC = 0

Volgorde is dwingend voorgeschreven ! Safety Integrated – Normen Functionele Veiligheid

107

Bepaling van de ‘diagnosedekking’ (Diagnostic Coverage) EN ISO 13849

Diagnose

De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10


108

Performance Level in relatie met DC, Categorie en MTTFD

Kwaliteit MTTFD

PL

B

Categorie (Architectuurkeuze) 1 2 2 3 3

Diagnose

4 10-4

a laag 3 tot 10 jaar

10-5

b c

gemiddeld 10 tot 30 jaar

10-6

D

d

10-7

e hoog 30 tot 100 jaar

P F H

10-8 geen geen

laag gemid. laag gemid. hoog DC inschatting


109

Systeemgedrag volgens categorieën in relatie met diagnosedekking (DC)

Diagnose

Opbouw veiligheidsfunctie: (Detecting – Evaluating – Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (≤ 60 %) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (>99 %) (optimale diagnose mogelijk door dubbelpolig circuit) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2e hek) Safety Integrated – Normen Functionele Veiligheid

110


Resistentie

Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak.


111


Resistentie

Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) Waarden bij elkaar optellen voor totaalscore

- Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren

De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF:


Score ≥ 65

Voldoet aan de eisen

Score < 65

Proces mislukt, kies additionele maatregelen 112

Systeemgedrag in relatie met Categorie, PL, MTTFD , DC en CCF

Categorie CCF DC gem.

van elk kanaal

1

-

-

geen

geen

2

laag

Overwegend gekenmerkt door de kwaliteit van de componenten

Principe

MTTFD

B

2

3

3

4

Zie Annex F

Zie Annex F

Zie Annex F

Zie Annex F

gemiddeld

laag

gemiddeld

hoog


laag

PL a

Niet beschreven

PL a

PL b

PL b

PL c

Niet beschreven

gemiddeld

PL b

Niet beschreven

PL b

PL c

PL c

PL d

Niet beschreven

Niet beschreven

PL c

PL c

PL d

PLd

PL d

PL e

hoog


113

Systeemgedrag in relatie met Categorie, PL, MTTFD , DC en CCF

Categorie CCF DC gem.

van elk kanaal

1

-

-

geen

geen

2

laag

Overwegend gekenmerkt door de kwaliteit van de componenten

Principe

MTTFD

B

2

3

3

4

Zie Annex F

Zie Annex F

Zie Annex F

Zie Annex F

gemiddeld

laag

gemiddeld

hoog


laag

PL a

Niet beschreven

PL a

PL b

PL b

PL c

Niet beschreven

gemiddeld

PL b

Niet beschreven

PL b

PL c

PL c

PL d

Niet beschreven

Niet beschreven

PL c

PL c

PL d

PLd

PL d

PL e

hoog


114

Validatie van SRP/CS binnen EN ISO 13849

Processen

De validatie van SRP/CS moet uitgevoerd worden volgens het validatieplan: Prestatie-eisen Gebruiks- en gebruiksomgeving voorwaarden Veiligheidsprincipes Beproefde componenten Foutinschatting en foutuitsluiting Analyses, tests, toetsing/verificatie Documenteren (vastleggen / ‚bewijs‘)

De validatie moet onder vastgestelde omgevingscondities worden uitgevoerd. De validatie moet worden uitgevoerd met behulp van tests en analyses. Hoeveel hiervan uitgevoerd moeten worden is afhankelijk van: De veiligheidsgerelateerde onderdelen Systeemtype Gebruikte technologie Omgevingscondities (EMC / trillingen / klimaat /…) Safety Integrated – Normen Functionele Veiligheid

115

Performance Level Calculator IFA: http://www.dguv.de/ifa/de/pra/drehscheibe/index.jsp

PL aflezen 2e stap Legende

1e stap MTTFd instellen Safety Integrated – Normen Functionele Veiligheid

116





117

Safety Integrity Level (SIL) - EN 62061 Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met hardware-fouttolerantie eigenschappen (in mindere mate: architectuur) Risico van de totale installatie


Aanvaardbaar risico





118

Parameters EN 62061 - Overzicht EN 62061 SIL - Safety Integrity Level Structuur

HFT

Betrouwbaarheid

PFHD / λ

Diagnose

SFF (DC)

Resistentie

CCF (ß-factor)

Proof-Test-Interval

Processen Safety Integrated – Normen Functionele Veiligheid

T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie 119

IEC 61508 de veiligheidsparaplu voor software en elektronica


Structuur

120

Risicobeoordeling volgens IEC 61508

Structuur

Risico van de totale installatie


Aanvaardbaar risico




Failsafe (F-) Systeem: Eigenschap van een systeem dat gebruik maakt van een dusdanige opbouw en technische maatregelen, zodat het ontstaan van gevaarlijke situaties uitgesloten is of teruggebracht worden tot een aanvaardbaar risico Safety Integrated – Normen Functionele Veiligheid

121

Focus Producent/ Fabrikant

Overzicht van normen voor functionele veiligheid

IEC 61508 (700 pagina’s)

IEC 61511 Procesindustrie

Focus Systeem integrator/ Machinebouwer

Structuur

IEC 62061 (100 pagina’s)

ISO 13849

IEC 61513 EN 954

Nucleaire industrie

(tot 31-12-2011)

IEC 60601 Medische sector

Toepasbaar voor veiligheidsgerelateerde elektrische- en elektronische besturingssystemen (SRECS)

… etc. ...

ProcesIndustrie Safety Integrated – Normen Functionele Veiligheid

Toepasbaar voor elektrische/ elektronische- én andere veiligheidsgerelateerde besturingssystemen (pneumatiek, hydrauliek, mechanisch, etc.) (SRP/CS)

Productie-industrie (machinebouw) 122

Verschillen en overeenkomsten tussen IEC 61508 en EN 62061

Structuur

IEC 61508 (Basisnormen) Voor fabrikanten van besturingen en eventueel gebruikers ervan Beschrijft gedetailleerde eisen voor het systeem, subsysteem en componenten Beschrijft algemene eisen zonder specifieke toepassingseisen

EN 62061 (Applicatienorm) Beschrijft hoe een systeem opgebouwd kan worden met bestaande subsystemen en hoe zijn veiligheidseisen (SIL) bepaald kunnen worden Beschrijft de eisen voor het ontwerp van de subsystemen alleen voor “niet complexe subsystemen” (niet voor programmeerbare elektronica) Voor complexe systemen/subsystemen (b.v. veiligheids-PLC) wordt aangenomen dat deze voldoen aan de eisen van IEC 61508.

Een systeem dat ontworpen is volgens EN 62061 voldoet ook aan de relevante eisen volgens IEC 61508 Safety Integrated – Normen Functionele Veiligheid

123

Scope van EN 62061

Structuur

Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Bepaling van het vereiste veiligheidsniveau (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849 Validatie van SRECS Wijziging/aanpassing van SRECS


124

Structuur van EN 62061 (1)

Structuur

Functional Safety Management (FSM) Managementactiviteiten en technische verantwoording ten aanzien van de functionele veiligheid: verantwoordelijkheden Opstellen van het veiligheidsplan

Specificeren van de eisen aan veiligheidsfuncties (SRCF - Safety-Related Control Function) Methode en uitgangspunten voor het opstellen van de veiligheidsvereisten (SRS - Safety Requirements Specifications)

Ontwerp en integratie van de veiligheidgerelateerde elektrische besturingssystemen (SRECS) Systeemarchitectuur/-opbouw Hardware en Software Toetsing/verificatie

Gebruikersinformatie van de machine Bedieningshandleiding en service/onderhoudinstructies Safety Integrated – Normen Functionele Veiligheid

125

Structuur van EN 62061 (2)

Structuur

Validatie van de SRECS Proceseisen voor de validatie Inspectie en testen van SRECS ‘in bedrijf’

Aanpassingen/wijzigingen aan de SRECS Proceseisen voor aanpassingen Analyseren van de impact van de wijziging

Documentatie Algemene richtlijnen en eisen


Risk Assessment Management

126

Opbouw van veiligheidsfuncties/-systemen (SRECS) binnen EN 62061

Structuur

Architectuur / opbouwstructuur volgens norm Een veiligheidsfunctie (SRECS) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Data-overdracht tussen de subsystemen wordt meegenomen in berekening (kabel(s), bussysteem) Data-overdracht Veiligheidsfunctie (SRECS) (Sensor 1)



Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem


Systeem 127

Parameters binnen EN 62061 (1) Definities en gebruikte termen: Structuur

SIL: Safety Integrity Level

- Mate voor risicoreductie (SIL 1 = laagste, … , SIL 3 = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten Structuur

SIL CL: Safety Integrity Level – Claim Limit

- Maximaal haalbare SIL voor een subsysteem(element) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten - De laagste SIL CL bepaald het maximaal haalbare SIL - Bepaling SIL CL: opgave van fabrikant of door berekening Structuur

HFT: Hardware Fault Tolerance

- Hardware fouttolerantie – De mogelijkheid van een hardware-unit om de vereiste veiligheidsfunctie uit te kunnen blijven voeren bij optreden van een fout - Opbouwstructuur (1-/2-kanaals, redundantie) - Toepasbaar op eenvoudige componenten/apparatuur en voor complexe (pogrammeerbare) apparatuur (redundante CPU) Safety Integrated – Normen Functionele Veiligheid

128

Parameters binnen EN 62061 (2) Definities en gebruikte termen: Betrouwbaarheid

PFH : Probability of Failure per Hour PFHD: Probability of dangerous Failure per Hour

- De waarschijnlijkheid van een gevaarlijk falen per uur - Bepaling PFHD: opgave van fabrikant

Betrouwbaarheid

λ en λD : Lambda

- λ : Uitvalkans van een subsysteem(element) - λD : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Rekenwaarde

Diagnose

SFF: Safe Failure Fraction

- Percentage van falen wat leidt tot niet-gevaarlijk falen (%) - Is verhouding tussen veilig falen en niet-veilig falen - Komt overeen met DC (Diagnostic Coverage) waarde uit EN ISO 13849-1 - Bepaling SFF (DC): opgave van fabrikant Safety Integrated – Normen Functionele Veiligheid

129

Parameters binnen EN 62061 (3) Definities en gebruikte termen: CCF (of ß-factor): Common Cause Failure

Resistentie

- Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN 62061, tabel F1/F2 - Waarden ß-factor: 1%, 2%, 5% of 10% - Bepaling CCF: opgave van fabrikant

Proof-Test-Interval

(0,01 / 0,02 / 0,05 of 0,1)

T1 en T2: Tijden voor de gebruiksduur en het testen

- T1: ‘Proof-Test-Interval’ - Gebruiksduur/levensduur van het component / SRECS (in jaren) - T2: ‘Proof-Test’ - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated – Normen Functionele Veiligheid

130

Ontwerpproces voor SRECS binnen EN 62061 Ontwerpproces SRECS:

Processen

1: Vaststellen van SRECS voor elke veiligheidsfunctie (SRCF) 2: Opdelen van SRCF in functies: functieblokken (FB) 3: Gedetailleerde veiligheidseisen voor elk functieblok (FB) 4: FB’s omzetten in subsystemen en kans op gevaarlijke uitval (PFHD) 5: Toetsing / verificatie (formules) 6: Component-selectie voor het subsysteem of ontwikkeling van een subsysteem 7: Opbouw van diagnosefuncties 8: SIL bepaling 9: Documenteren van SRECS architectuur/opbouw 10: Implementatie van SRECS Safety Integrated – Normen Functionele Veiligheid

131

Ontwerpproces voor SRECS binnen EN 62061 Processen

Ontwerpproces SRECS – schematische voorstelling


132


Structuur

Het vereiste veiligheidsniveau (risico) wordt bepaald door:

Frequentie en duur van blootstelling

Risico gerelateerd aan het geïdentificeerde gevaar

=

Ernst van de schade / letsel

Se

en

aan het gevaar

Fr


Pr


Av



133

Factoren voor het vaststellen van de SIL-Claim

Se

: Ernstgraad van het letsel 1 t/m 4

Fr

: Frequentie en duur van blootstelling 2 t/m 5

Pr

: Waarschijnlijkheid van optreden 1 t/m 5

Av

: Mogelijkheid tot voorkomen 1, 3 en 5

Cl

: Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av)


Structuur

134


Structuur

Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar (Frequency) ≤ 1 uur > 1 uur tot ≤ 1 dag > 1 dag tot ≤ 2 wkn. > 2 wkn. tot ≤ 1 jaar > 1 jaar

Fr 5 5 4 3 2

+

Waarschijnlijkheid van optreden van gevaarlijke situatie (Probability) erg hoog vaak mogelijk zelden verwaarloosbaar

Ernst van letsel (Severity) Dood, verlies van oog of ledematen Permanent, verlies van vingers Herstelbaar, medische behandeling door arts Herstelbaar, eerste hulp

Pr 5 4 3 2 1

+

Mogelijkheid tot voorkomen Av gevaar (Avoidance) onmogelijk 5 in bijzondere 3 gevallen mogelijk mogelijk 1

Se 4 3 2 1

Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3 tot 4 5 tot 7 8 tot 10 11 tot 13 14 tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 SIL 1 Safety Integrated – Normen Functionele Veiligheid

135

Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem

Structuur

Annex A van norm EN 62061: Template voor SIL-bepaling


136

EN 62061 - Hardware fouttolerantie architectuur: Safe Failure Fraction (SFF)

Diagnose

Hardware fouttolerantie Verhouding tussen veilig en niet-veilig falen SFF * (≈ DC)

0

1

2

(1 uit 1)

(2 uit 1)

(3 uit 1)

< 60 %

X**

SIL 1

SIL 2

60 %≤ SFF< 90%

SIL 1

SIL 2

SIL 3

90 %≤ SFF< 99%

SIL 2

SIL 3

SIL 3*** (4)

≥ 99 %

SIL 3

SIL 3*** (4)

SIL 3*** (4)

* SFF Safe Failure Fraction ** Niet toegestaan behalve onder bijzondere voorwaarden (o.a.:’beproefde componenten’ zoals b.v. noodstop, Type-A apparatuur, mechanische comp.) *** SIL 4 is niet toegepast in de EN 62061 Safety Integrated – Normen Functionele Veiligheid

137


Resistentie

Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated – Normen Functionele Veiligheid

138


Resistentie

Criteria voor CCF-bepaling: Tabel F1 - criteria:

- Diversiteit (verschillende technieken)

Waarden bij elkaar optellen voor totaalscore

- Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse

Tabel F2 - ß-factor:

- Beveiliging tegen overspanning

Totaalscore omrekenen naar percentage

- EMC invloeden - Omgevingsfactoren

De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated – Normen Functionele Veiligheid

139

Berekening van de kans op gevaarlijke uitval λD voor SRECS op basis van B10D

Betrouwbaarheid

EN 62061 biedt de mogelijkheid om de kans op gevaarlijke uitval van een subsysteem(element) te berekenen op basis van B10D-waarden: - Dit wordt gebruikt voor (elektromechanische) componenten waarvan alleen een B10D-waarde bekend is. - Met behulp van de gebruikscyclus (aantal schakelingen) en het percentage gevaarlijke uitval is vervolgens λD te bepalen (kans op gevaarlijk falen per uur, PFHD).

3


140

Berekening van de kans op gevaarlijke uitval λD voor SRECS op basis van B10D

Betrouwbaarheid

Voorbeeld: Veiligheidsfunctie (-systeem)

- Veiligheidsfunctie hekbewaking met een hekschakelaar met aparte bedieningssleutel

Veiligheidsdeur

Subsysteem 1: detecting



Motor

- Beschouw nu alleen: subsysteem 1 ‘Detecting’:

- Uit tabel SIRIUS B10-waarden: B10 = 1.10E+6 schakelcycli, % gevaarlijke uitval = 20% Aantal schakelingen C = 10 per uur Omrekenformules:

λ = 0,1 x C / B10 λD = gevaarlijke uitval % x λ

λ = 0,1 x C / B10

= 0,1 x 10 / 1.10E+6 = 1.10E-6

λD = 20% x λ

= 0,2 x 1.10E-6


= 2.10E-7

(= PFHD)

= PFHD 141


Betrouwbaarheid




Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem

Systeem

SIL-CL 2

SIL-CL 3

SIL-CL 1

PFHD = 2.10-7

PFHD = 3.10-8

PFHD = 1.10-6


142


Betrouwbaarheid




Logic / Evaluating

Output / Reacting


(Relais / drive)

Subsysteem

Systeem

SIL-CL 2

SIL-CL 3

SIL-CL 2

PFHD = 5.10-7

PFHD = 3.10-8

PFHD = 7.10-7


143

Relatie tussen SIL-waarden en de kans op gevaarlijke uitval

Performance Level EN ISO 13849


PL a

--

PL b

SIL 1


Betrouwbaarheid

Relatie tot gevaarlijke uitval van de veiligheidsfunctie

≥ 10-5 – < 10-4

--

(geen overeenstemming)

≥ 3x10-6 – < 10-5 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar

PL c

SIL 1

≥ 10-6 – < 3x10-6

PL d

SIL 2

≥ 10-7 – < 10-6

Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 100 jaar

PL e

SIL 3

≥ 10-8 – < 10-7

Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 1000 jaar


144

Validatie (1)

Processen

De validatie moet uitgevoerd worden volgens het validatieplan:

Zowel voor hardware en software Functionele testen EMC test Fouttest met ‘echte’ gesimuleerde fouten Test softwarebouwstenen (Siemens) Test eigen software Onafhankelijkheid Verantwoordelijkheden Wijzigingen / aanpasingen Documenteren (vastleggen / ‚bewijs‘) Doel is te toetsen of voldaan is aan alle vereiste veiligheidsaspecten die opgenomen zijn in de Safety Requirement Specifications (SRS) Safety Integrated – Normen Functionele Veiligheid

145

Validatie (2)

Processen

De validatie moet uitvoerig worden gedocumenteerd: (in het TCD - Technisch Constructie Dossier)

Aanpassing/updaten van het gemaakte validatieplan Updaten van gewijzigde hardware en software Geteste veiligheidsfuncties Gebruikte testapparatuur inclusief calibratiegegevens Testresultaten Verschillen in waarden tussen verwachte- en daadwerkelijke resultaten Door wie is de validatie uitgevoerd en wanneer?

Het up-to-date houden van het Technisch Constructie Dossier is een must! Safety Integrated – Normen Functionele Veiligheid

146

EN ISO 13849 EN 62061

Safety Integrated:

Normen machineveiligheid

Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL)


www.siemens.nl/industry/machineveiligheid 147

Safety Integrated: Normen machineveiligheid

Recommend Documents