Specifieke achtergrondinformatie bij EN ISO :2006* voor de verkoopsmedewerkers en geïnteresseerde klanten van Schmersal en Elan

Specifieke achtergrondinformatie bij EN ISO 13 849-1:2006* voor de verkoopsmedewerkers en geïnteresseerde klanten van Schmersal en Elan

L a ag Risiko

te Vereis nc e a Per form Lr P l Leve a

P1 F1

van

g s p u nt Uitgan eling be oord e d r o vo dering vermin o ic is r de

b

P2

P1

S1 F2

P1

F1 S2

P2

F2

c

P2 d P1

e

P2 Ho he s Risiko

F2

S2 F1 S1

P2 P1

P2 P1 B

Categorie 1 2

ën

3

4

* EN ISO 13 849-1:2006 werd ondertussen door een nieuwe uitgave van EN ISO 13 849-1:2008 vervangen. Het enige verschil is het opnemen van de nieuwe Europese Machinerichtlijn 2006/42/EG in de nieuwe bijlage ZB aan de norm. Hierna houden we het bij EN ISO 13 849-1:2006.

Uitleg van veelgebruikte afkortingen

• B10d waarde: aantal cycli, totdat 10 % van de componenten van een steekproef van minstens 7 monsters gevaarlijk uitgevallen is (voor slijtagegevoelige, dus mechanische, pneumatische en elektromechanische componenten) • CCF: Common Cause Failure (ook “Common Mode Failure” genoemd): fouten met een gemeenschappelijke oorzaak, waarbij onderdelen of componenten, die om veiligheidsredenen hetzelfde meermaals gelijktijdig bewerken, tegelijkertijd uitvallen (bijvoorbeeld: bij een auto weigeren de 4 remmen tegelijkertijd dienst). • DC: Diagnostic Coverage (Foutendekking: vermindering van de waarschijnlijkheid van een gevaarlijke fout van het materiaal als resultaat van de automatische diagnosetests) • MTTFd: Mean Time To dangerous Failure (gemiddelde werkingsduur voor het optreden van een gevaarlijke fout in een onderdeel/component). Deze aanduiding mag niet verwisseld worden met een gegarandeerde levensduur(1). • PFH/PFHd: Probability of dangerous Failure per Hour (waarschijnlijkheid van het optreden van een gevaarlijke fout per uur)(2). • PL: Performance Level (EN ISO 13 849-1:2006) Er zijn 5 PL’s (“a”, “b”, “c”, “d”, “e”), waarbij de kwaliteit van de veiligheidstechnologie in overeenstemming met de ernst van het af te dekken risico – van “a” naar “e” – oploopt. • SIL: Safety Integrity Level (EN IEC 62 061:2005) Er zijn 3 SIL’s (1, 2, 3) waarbij de kwaliteit van de veiligheidstechnologie in overeenstemming met de ernst van het af te dekken risico – van “1” naar “3” – oploopt. • SILCL: SIL Claim Limit (IEC 62 061:2005) Maximale SIL die voor een subsysteem (deelsysteem) aangenomen kan worden, rekening houdend met de structurele beperkingen en de systematische uitvalintegriteit. • Cat. (B, 1, 2, 3, 4): de categorie bepaalt maatgevend (deterministisch) al de kwaliteit van de veiligheidstechnologie van een SRP/CS. Waar cat. B en cat. 1 op de kwaliteit van de gebruikte componenten/onderdelen ingaan, vereisen de hogere categorieën bijkomende onderdelen (kanalen), die de fouten van individuele onderdelen/componenten kunnen compenseren. • SRP/CS: Safety Related Part of (a) Control Systeem(s) (onderdeel/onderdelen van een besturingssysteem met veiligheidsfunctie) • Sub-PL/Sub-SIL: PL of SIL op het niveau van het subsysteem. Een subsysteem is een systeem dat, met betrekking tot een deelopdracht – een veiligheidsfunctie al correct uitvoert (bijvoorbeeld een ingangsmodule, die de ingangen veilig detecteert). • T10d waarde: richtwaarde voor een preventieve vervanging (10 % van de – op basis van de B10d waarde berekende – MTTFd waarde in jaren). Bij deze waarde is al ongeveer 63 % van alle componenten gevaarlijk uitgevallen. Hier raadt de norm EN ISO 13 849-1:12006 de vervanging aan. De index “d” vertegenwoordigt de richting van de gevaarlijke fouten. Voorbeeld: een transistor valt uit en schakelt niet uit (= gevaarlijk in de zin van de functionele machineveiligheid); omgekeerd “schakelt niet in” = ongevaarlijk in de zin van de functionele machineveiligheid, zelfs als de beschikbaarheid beïnvloed wordt. Zie ook Lexicon, trefwoord: “foutpercentages”. (2) Bij deze waarde is het onderscheid via de index “d” niet gebruikelijk, m.a.w. gewoonlijk wordt de richting van de gevaarlijke fout met een PFH- of met een PFHd waarde aangeduid. (1)

2

Voorwoord

Door het in voege treden van de normen EN ISO 13 849-1:2006 en EN IEC 62 061:2005 krijgt het thema van het ontwerpen van onderdelen van een besturingssysteem met een veiligheidsfunctie een nieuw uitzicht, waarbij een SRP/CS voortaan samengesteld wordt uit een combinatie van deterministische(1) en probabilistische(2) beoordelingsmethodes. Hier komen nog een aantal andere – niet minder belangrijke – nieuwe vereisten bij onder de trefwoorden “systematische fouten” en “software” (zie lexicon, trefwoorden “Bijlage G” en “Software”. Deze scriptie heeft tot doel u achtergrondinformatie over het thema “De nieuwe SRP/CS norm” te verstrekken, die nuttig kunnen zijn voor uw dagelijkse werk. Met het oog op de toekomstige combinatie van deterministische en probabilistische SRP/CS beoordelingsmethoden moeten onze klanten voortaan met enkele nieuwe vereisten rekening houden. Zij beschikken echter wel over meer speelruimte bij het ontwerp. Als fabrikant van veiligheidsonderdelen worden wij door deze wijzigingen rechtstreeks getroffen en worden wij verzocht hierover uitspraken te doen. Hoewel wij onze klanten om praktische redenen aanraden voortaan EN ISO 13 849-1:2006 (en het PL filosofie van deze norm) te gebruiken voor het ontwerpen van hun SRP/CS, houden wij in deze scriptie ook rekening met de SIL filosofie volgens EN IEC 62 061:2005 – overal waar deze alternatief in aanmerking komt. Omwille van bevoegdheidsperikelen van de normalisatiecommissies komen inderdaad beide normen in aanmerking om de EN 954-1:1996 op te volgen. Er is echter geen probleem als men voor EN ISO 13 849-1:2006 kiest, omdat PL en SIL in principe compatibel met elkaar zijn en de achterliggende gedachte in hoge mate identiek is (zie ook lexicon, trefwoord “Normen”). Volgens ons is EN IEC 62 061:2005 slechts in enkele uitzonderlijke gevallen beter geschikt dan EN ISO 13 849-1:2006. Deze brochure is gebaseerd op de eerste uitgave met redactiestand “medio 2008”. Deze uitgave is echter nogmaals grondig bewerkt, gepreciseerd en uitgebreid geworden. Zij is –zoals gewoonlijk – onderverdeeld in meerdere delen met verschillende accenten, deels specifiek voor Schmersal/Elan, deels met betrekking tot de basisprincipes en de achtergrond. Raadpleeg hiervoor ook de inhoudsopgave vanaf pagina 4 en volgende. Bovendien vindt u in deel 7 (vanaf pagina 93) een kort lexicon met verdere informatie over de nieuwe SRP/CS normen. Als u zich eerst in de filosofie van EN ISO 13 849-1:2006 wil onderdompelen, begint u met deel 6, pagina 81 en volgende Wij willen hier onze dank betuigen aan alle collega’s die door hun actieve medewerking, hun suggesties en opmerkingen aan het welslagen van deze brochure hebben bijgedragen. Wuppertal/Wettenberg, januari 2009

Friedrich Adams K.A. Schmersal Holding GmbH & Co. KG, Wuppertal Hoofd Schmersal tec.nicum

Deterministisch/Determinisme: begrip uit de filosofische wetenschapstheorie; bedoeld wordt hier de eenduidige zekerheid en de voorbestemdheid van gebeurtenissen door (definieerbare en reproduceerbare) gebeurtenissen, bijvoorbeeld fouttolerantie door redundantie (toleranties en toevalligheden spelen geen rol!). (2) Probabilistisch/Probabilisme: classificatie van gebeurtenissen volgens de graad van hun zekerheid = waarschijnlijkheidsberekening/waarschijnlijkheidstheorie (deelgebied van de wiskunde). (1)

3

Inhoudsopgave

Deel 1: Verklaring van de achtergrond ...................................................................... Pagina 9

Deel 2: Specificaties (berekeningsbasis in de zin van van EN ISO 13 849-1:2006 en EN IEC 62 061:2005) .................................................. Pagina 15 Eenvoudige individuele componenten in het Schmersal/Elan programma ........ – Eenvoudige individuele componenten in het Schmersal/Elan programma .............. – Specificaties van de individuele componenten.......................................................... – Bespreking: vragen bij de architectuur of categorie ................................................. – Bespreking van het thema “foutendekking bij eenvoudige individuele componenten met een veiligheidsfunctie .................................................................

Pagina 21 Pagina 22 Pagina 25 Pagina 29

Componenten met een complexere veiligheidstechnische functionaliteit ......... – Componenten met een complexere veiligheidstechnische functionaliteit ............... – Componenten met een complexere veiligheidstechnische functionaliteit in het Schmersal/Elan programma . .......................................................................... – Combinaties van componenten ................................................................................ – ASi-SaW veiligheidsbussysteem/componenten met ASi-SaW interface .................

Pagina 35 Pagina 36

Pagina 32

Pagina 38 Pagina 41 Pagina 42

Deel 3: Combinatie van sub-PL tot een globale PL ................................................ Pagina 45 Hoe bereken ik zelf een PL voor een subsysteem (een sub-PL)? ......................... Pagina 53 – Inleiding/voorwoord .................................................................................................. Pagina 54 – Voorbeelden .............................................................................................................. Pagina 56 – Hoe bereken ik zelf een sub-PL voor componenten uit het Schmersal/Elan programma? . .................................................................................. Pagina 63

Deel 4: Besprekingen ................................................................................................. Pagina 67 Foutendekking ............................................................................................................ Pagina 68 Invloed van de definitie van de veiligheidsfunctie op de PL berekening – voorbeelden . ............................................................................................................... Pagina 70

Deel 5: Schakelvoorbeelden uit het BGIA rapport . ................................................ Pagina 73 1) BGIA schakelvoorbeeld 8.2.34: veiligheidsdeurbewaking met nageschakelde signaalverwerking via een SRB veiligheidsmodule of veiligheids-PLC (het klassieke geval) ................................................................... Pagina 74 2) BGIA schakelvoorbeeld 8.2.29: cascadering of serieschakelingen ................... Pagina 75 3) BGIA schakelvoorbeeld 8.2.28: cascadering of serieschakelingen ................... Pagina 76

4

4) BGIA schakelvoorbeeld 8.2.18: veiligheidsdeurvergrendeling met nageschakelde signaalverwerking via SRB veiligheidsmodule of veiligheids-PLC (kanaal 1) en standaard-PLC (kanaal 2) .................................. Pagina 77 5) BGIA schakelvoorbeeld 8.2.19: veiligheidsdeurvergrendeling ......................... Pagina 78

Deel 6: Overzicht van de eigenschappen en toepassing van EN ISO 13 849-1:2006 ................................................................................................. Pagina 81 Doelstelling van de SRP/CS standaardisatie .......................................................... Pagina 82 Performance Level (1) . ............................................................................................... Pagina 85 Performance Level (2) ................................................................................................ Pagina 87 Performance Level (3) ................................................................................................ Pagina 92

Deel 7: Lexicon/Meer informatie over trefwoorden en begrippen ....................... Pagina 93 – Afronding/afrondingsgrens . ...................................................................................... Pagina 94 – Amendement 1 aan EN 1088:1996 . .......................................................................... Pagina 94 – Architecturen ............................................................................................................. Pagina 94 – B10d waarden............................................................................................................... Pagina 95 – Badkuipcurve ............................................................................................................ Pagina 97 – Bedradingsniveau . .................................................................................................... Pagina 98 – Beoordeling van PL en SIL ........................................................................................ Pagina 98 – Berekeningen (PL berekeningen) .............................................................................. Pagina 98 – Betrouwbaarheidstechnologie (betrouwbaarheidsengineering) ............................... Pagina 99 – BGIA......................................................................................................................... Pagina 100 – BGIA draaischijf ....................................................................................................... Pagina 101 – BGIA rapport 2/08 ................................................................................................... Pagina 101 – Bijkomende bewakingsschakelaar .......................................................................... Pagina 101 – Bijlage E ................................................................................................................... Pagina 101 – Bijlage G (volgens EN ISO 13 849-1:2006) ............................................................... Pagina 101 – Bijlage K (volgens EN ISO 13 849-1:2006) ............................................................... Pagina 102 – (Type-) C-normen .................................................................................................... – Categorieën ............................................................................................................. – Categorieën/categorie 2 .......................................................................................... – CCF (Common Cause Failure), CCF maatregelen, CCF management ................... – CCF management/maatregelen .............................................................................. – Compatibiliteit SIL ↔ PL/PL ↔ SIL ........................................................................

Pagina 104 Pagina 104 Pagina 104 Pagina 106 Pagina 106 Pagina 107

– Designated Architectures ....................................................................................... Pagina 108 – Diagnostic Coverage DC ......................................................................................... Pagina 108

5

– Doelstelling van de SRP/CS normen ....................................................................... Pagina 108 – Exponentiële verdeling ............................................................................................ – Foutendekking DC . ................................................................................................. – Foutendekking (extern) ............................................................................................ – Foutuitsluiting .......................................................................................................... – Foutuitsluiting: bedradingsniveau ........................................................................... – Foutuitsluiting bij manueel bediende componenten ............................................... – Foutuitsluiting bij vergrendelvoorzieningen . ........................................................... – Functionele geschiktheid ........................................................................................

Pagina 108 Pagina 109 Pagina 109 Pagina 110 Pagina 110 Pagina 111 Pagina 111 Pagina 111

– Good Engineering Practices (GEP) ......................................................................... Pagina 111 – Hardwarebetrouwbaarheid MTTFd .......................................................................... Pagina 111 – Herstartcircuit . ........................................................................................................ Pagina 111 – Inwerkingtreding ...................................................................................................... Pagina 112 – Literatuur ................................................................................................................. Pagina 112 – Low Demand Mode ................................................................................................. Pagina 112 – Machinerichtlijn (MRL) ............................................................................................. Pagina 112 – Mission Time (levensduur) ....................................................................................... Pagina 113 – MTTFd hardwarebetrouwbaarheid .......................................................................... Pagina 113 – Normen: ................................................................................................................... Pagina 113 – (Type) A, B en C normen . .................................................................................... Pagina 113 – EN 954-1:1996 . .................................................................................................... Pagina 113 – EN 954-2 .............................................................................................................. Pagina 113 – EN ISO 13 849-1:2006 .......................................................................................... Pagina 114 – EN ISO 13 849-2:2003 . ........................................................................................ Pagina 114 – EN IEC 62 061:2005 . ............................................................................................ Pagina 114 – EN IEC 61 508:2001 ............................................................................................. Pagina 114 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (vergelijking) . .............................. Pagina 115 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (vergelijking met EN 954-1:1996) . Pagina 116

– Optelling van uitvalwaarschijnlijkheden .................................................................. Pagina 117 – Overgangstermijn .................................................................................................... Pagina 117 – Parts Count Method ................................................................................................ – Performance Level .................................................................................................. – PFD (Probability of Failure on Demand) .................................................................. – PL – Performance Level .......................................................................................... – PLr = required .......................................................................................................... – PL resultaatsgrafiek . ............................................................................................... – Proof Test/Proof Testinterval ...................................................................................

6

Pagina 118 Pagina 118 Pagina 118 Pagina 118 Pagina 118 Pagina 119 Pagina 119

– Proven in use ........................................................................................................... Pagina 119 – Reset ....................................................................................................................... – Resultaatsgrafiek PL ............................................................................................... – Risico, Risicoanalyse, Risicobeoordeling ............................................................... – Risicograaf, Risico-evaluatie ................................................................................... – Risicograafbeoordeling volgens EN IEC 62 061:2005 ............................................. – Risicograafbeoordeling volgens EN ISO 13 849-1:2006 . ........................................

Pagina 119 Pagina 119 Pagina 119 Pagina 120 Pagina 120 Pagina 121

– Serieschakelingen ................................................................................................... – Serieschakelingen van elektromechanische componenten ................................... – Staafdiagram ........................................................................................................... – SIL (Safety Integrity Level) ....................................................................................... – SIL Claim Limit (SILCL) ............................................................................................ – SISTEMA ................................................................................................................. – Software .................................................................................................................. – Symmetrieformule ...................................................................................................

Pagina 122 Pagina 122 Pagina 122 Pagina 122 Pagina 123 Pagina 123 Pagina 124 Pagina 125

– T10d waardeberekening ............................................................................................ Pagina 125 – Terugkoppeling ........................................................................................................ Pagina 125 – Testvoorzieningen ................................................................................................... Pagina 125 – Uitvallen ................................................................................................................... – Uitvallen (systematische uitvallen) . ......................................................................... – Uitvallen (toevallige uitvallen) . ................................................................................. – Uitvalpercentages ...................................................................................................

Pagina 126 Pagina 126 Pagina 127 Pagina 127

– Veiligheidsfunctie . ................................................................................................... Pagina 129 – Voorziene architecturen . ......................................................................................... Pagina 129

Deel 8: Uittreksel uit onze brochure “Een nieuwe norm voor de machineveiligheid: EN ISO 13 849-1:2006 – Onderdelen van een besturingssysteem met veiligheidsfunctie” .......................................................... Pagina 131 Voorbeeld uit de norm volgens bijlage I van EN ISO 13 849-1:2006

Impressum .................................................................................................................. Pagina 137

De informatie in deze brochure wordt naar eer en geweten verstrekt. Met uitzondering van tegenstrijdige en dwingende wettelijke voorschriften, aanvaarden wij echter geen aansprakelijkheid voor eventuele fouten en misverstanden. De gebruiker van deze informatie is verplicht op eigen verantwoordelijkheid onze aanbevelingen en specificaties voor eigen gebruik te controleren. Wij hopen op uw begrip hiervoor. 7

8

Verklaring van de achtergrond

9

Verklaring van de achtergrond (1) (meer informatie: zie Deel 6, Pagina 81 en volgende)

Kort samengevat is een Performance Level, zoals dit voortaan(1) door de nieuwe norm EN ISO 13 849-1:2006 voor het ontwerp van SRP/CS geëist wordt, een beschouwing of een beoordeling van meerdere invloedsgrootheden die vandaag wereldwijd erkend zijn om de veiligheid en de betrouwbaarheid van meet-, regelen besturingssystemen te bepalen, d.w.z. invloedsgrootheden die de veiligheidsintegriteit van een systeem vormen. In tegenstelling tot de momenteel gangbare procedures in de machinebouw, stemt een Performance Level overeen met een meerdimensionale beschouwing. In plaats van complexe modelleringen gebruikt EN ISO 13 849-1:2006 daarvoor echter een vereenvoudigde aanpak, waarbij 4 hulpgrootheden beoordeeld worden. Opgelet! Een Performance Level moet bijkomend, ongeacht zijn waarde, aan essentiële vereisten (basisvereisten) voldoen, d.w.z. maatregelen ter vermijding en ter beheersing van systematische uitvallen en fouten, terwijl het bij een PL classificatie (PL “a”…”e”) in principe om de vermijding en de beheersing van toevallige uitvallen en fouten gaat (zie elders). • Het uitgangspunt van een PL beoordeling is het bepalen van de diverse veiligheidsfuncties van een machine of een machinebesturing. • Dan volgt de bepaling van het vereiste Performance Level PLr voor de veiligheidsfunctie in kwestie. Welk van de 5 Performance Levels (“a”…”e”) gekozen moet worden, wordt afgeleid uit de C-norm (productnorm) in kwestie of uit de risicograaf. • Het Performance Level weerspiegelt daarbij de vereiste mate aan maatregelen voor de risicovermindering.

Restrisico

a b c d

e Ernst van het risico

a) Het risico moet in zeer geringe mate gereduceerd worden b) Het risico moet in geringe mate gereduceerd worden c) Het risico moet in grote mate gereduceerd worden d) Het risico moet in hoge mate gereduceerd worden e) Het risico moet in aanzienlijke mate gereduceerd worden

• De doeltreffendheid van de (vereiste) maatregelen wordt uitgedrukt in de vorm van een PFHd waarde (een waarde van de overblijvende maximaal te tolereren gemiddelde waarschijnlijkheid van het optreden van een gevaarlijke uitval per uur = Average Probability of dangerous Failure per Hour). De PFHd waarde is daarbij ook het verbindend element met de internationale Safety Integrity Levels (SIL’s) die in de EN IEC 61 508:2000 of EN IEC 62 061:2005 gebruikt worden. • De beoordeling (berekening) gebeurt nu volgens EN ISO 13849-1:2006 op basis van de beoordeling van 4 individuele parameters (hulpgrootheden):

Uiterlijk vanaf 2010; EN 954-1:1996 (of ISO 13 849-1:1999) wordt in december 2009 afgeschaft.

(1)

10

1. De architectuur, die in principe identiek is aan de beoordeling van de categorieën¸zoals deze uit EN 954-1:1996 (ISO 13 849-1:1999) gekend zijn en die in EN ISO 13 849-1:2006 overgenomen wordt; 2. de beoordeling van de betrouwbaarheid van de hardware, uitgedrukt als Mean Time to dangerous Failure (Gemiddelde werkingsduur voor het optreden van een gevaarlijke fout in een kanaal van een systeem) MTTFd in jaren (een statistisch gebaseerde vermoeden van de tijd, waarin de hardware zonder toevallige uitvallen veiligheidstechnisch foutloos zal functioneren); 3. de beoordeling (de waarschijnlijkheid) van de werkzaamheid van de foutendekkende maatregelen in de SRP/CS of in het betrokken onderdeel van de SRP/CS, uitgedrukt als foutendekking DC (voor Diagnostic Coverage) in %; 4. de beoordeling van maatregelen tegen zogeheten Common Cause of Common Mode fouten (CCF = Common Cause Failures = fouten met een gemeenschappelijke oorzaak die het veiligheidstechnische gebruik van de meerkanaligheid van een systeem kunnen verstoren. • Via een grafiek – een staafdiagram – of Bijlage K van EN ISO 13 849-1:2006 kan dan het bereikte Performance Level PL bepaald en met het voor de veiligheidsfunctie vereiste PLr vergeleken en gevalideerd worden.

Schematische samenvatting PL Performance Level PLr Bron: C norm of beoordeling via de risicograaf

Voorziene architectuur (categorieën): Beoordelingen uit de oude EN 954-1996

Waarschijnlijkheid van een gevaarlijke fout per uur (PFH d)

Hardwarefouttolerantie MTTFd (Mean Time To dangerous Failure): Specificaties van de fabrikant, de norm of uit naslagwerken

Resultaatsgrafiek PFH (1/h)

b

≥ 3 × 10 –6 … < 10 –5

c

≥ 10 –6 … < 3 × 10 –6

=

Geen overeenkomst

≙

SIL 1

d

≥ 10 –7 … < 10 –6

≙

SIL 2

e

≥ 10 –8 … < 10 –7

≙

SIL 3

Diagnostic Coverage DC (foutendekkingsgraad): Bijlage E van EN ISO 13 8491:2006 of fabrikantspecificaties

Common-Cause-Failure CCF: In principe kan voor veiligheidscomponenten > 65 punten aangenomen worden

Tabel K.1 – Numerieke weergave van afbeelding 5 (uit EN ISO 13 849-1:2006 [D] – Bijlage K [informatief])

PL

MTTFd voor ieder kanaal Jaren

a 10 –5 b –6

c 10 –6 d 10 –7 e 10 –8

≥ 10 –5 … < 10 –4

Numerieke weergave volgens EN ISO 13 849-1:2006 Bijlage K

10 –4

3 × 10

Safety Integrity Level (SIL)

a

MTTFd = laag MTTFd = gemiddeld MTTFd = hoog Categorie B Categorie 1 Categorie 2 Categorie 2 Categorie 3 Categorie 3 Categorie 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog

3 3,3 3,6 3,9 4,3 4,7 5,1 5,6 6,2 6,8 7,5 8,2 9,1

Gemiddelde waarschijnlijkheid van een gevaarlijke fout per uur [1/u] en het bijbehorende Performance Level PL Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL

DCavg = geen 3,80 × 10 –5 3,46 × 10 –5 3,17 × 10 –5 2,93 × 10 –5 2,65 × 10 –5 2,43 × 10 –5 2,24 × 10 –5 2,04 × 10 –5 1,84 × 10 –5 1,68 × 10 –5 1,52 × 10 –5 1,39 × 10 –5 1,25 × 10 –5

DCavg = geen a a a a a a a a a a a a a

DCavg = laag 2,58 × 10 –5 2,33 × 10 –5 2,13 × 10 –5 1,95 × 10 –5 1,76 × 10 –5 1,60 × 10 –5 1,47 × 10 –5 1,33 × 10 –5 1,19 × 10 –5 1,08 × 10 –5 9,75 × 10 –6 8,87 × 10 –6 7,94 × 10 –6

a a a a a a a a a a b b b

DCavg = gemiddeld 1,99 × 10 –5 1,79 × 10 –5 1,62 × 10 –5 1,48 × 10 –5 1,33 × 10 –5 1,20 × 10 –5 1,10 × 10 –5 9,87 × 10 –6 8,80 × 10 –6 7,93 × 10 –6 7,10 × 10 –6 6,43 × 10 –6 5,71 × 10 –6

a a a a a a a b b b b b b

DCavg = laag 1,26 × 10 –5 1,13 × 10 –5 1,03 × 10 –5 9,37 × 10 –6 8,39 × 10 –6 7,58 × 10 –6 6,91 × 10 –6 6,21 × 10 –6 5,53 × 10 –6 4,98 × 10 –6 4,45 × 10 –6 4,02 × 10 –6 3,57 × 10 –6

a a a b b b b b b b b b b

DCavg = gemiddeld 6,09 × 10 –6 5,41 × 10 –6 4,86 × 10 –6 4,40 × 10 –6 3,89 × 10 –6 3,48 × 10 –6 3,15 × 10 –6 2,80 × 10 –6 2,47 × 10 –6 2,20 × 10 –6 1,95 × 10 –6 1,74 × 10 –6 1,53 × 10 –6

DCavg = hoog b b b b b b b c c c c c c

+ CCF

11

Verklaring van de achtergrond (2)

• Deze brochure concentreert zich kort samengevat op informatie die betrekking heeft op de berekening (beoordeling) van een Performance Level op basis van EN ISO 13 849-1:2006 en baseert zich daarbij voor de belangrijkste zaken op de methode van de zogeheten subsysteembeoordeling. Opmerking: de woorden “berekening” en “beoordeling”, zoals ze hierna frequent gebruikt worden, moeten in de context van het Performance Level (PL) als gelijkluidend beschouwd worden. EN ISO 13 849-1:2006 spreekt regelmatig van beoordeling. Beoordeling mag echter niet met schatten verward worden (hiermee wordt eerder het mathematische jargon voor hulpgrootheden in verband met ongelijkheden bedoeld), maar omgekeerd wordt de rekenkundige absolute nauwkeurigheid ook niet zo nauw genomen. Het gaat eerder om de juiste richting of beter gezegd de juiste grootteorde.

• In principe bestaan er twee mogelijkheden voor het berekenen van de veiligheidsfunctie van een Performance Level (PL): Mogelijkheid 1 is gebaseerd op de zogeheten blokmethode volgens Bijlage B van EN ISO 13 849-1:2006, waarbij de volledige SRP/CS beoordeeld wordt. Een totaalbeoordeling volgens de blokmethode is bijvoorbeeld het voorbeeld uit d enorm, dat u in bijlage I4 van EN ISO 13 849-1:2006 vindt (zie Bijlage achter het lexicongedeelte pagina 131. Het gebruik van de blokmethode wordt bij voorkeur aanbevolen voor complexe met elkaar verweven SRP/ CS en voor speciale gevallen (als alternatief voor de subsysteemmethode.

Globale beoordeling van een veiligheidsfunctie ➔ Blokmethode ➔ Voorbeeld uit de norm open

+

+

+

L

A

gesloten

SW1B SW2 P K1B SW1B

API PLC

SW2

PLC

Besturingssignaal

CC: Stroomomvormer PLC: Programmeerbare logische besturingseenheid RS M: Motor RS: Draaisensor P: Schakelaar afgebeeld in bediende positie

n

CC

PLC

K1B

CC RS

M

Mogelijkheid 2 is de subsysteemmethode, die als vereenvoudiging bedoeld is, (hierna ook wel “sub-PL beoordeling” of “sub-PL methode” genoemd)¸die uitgevoerd wordt met behulp van de zogeheten combinatietabel (tabel 11 van EN ISO 13 849-1:2006, zie pagina 45). Zie hiertoe ook Bijlage H van de norm. Het voordeel van de subsysteemmethode is dat hiervoor enerzijds componenten en systemen op de markt zijn, die al een subsysteem vormen, waaraan door de fabrikant al een sub-PL (of sub-SIL) en een bijbehorende PFHd waarde toegekend is (d.w.z. in dit geval moet men niet meer zelf rekenen) en anderzijds – als men zelf een sub-PL moet beoordelen – de beoordeling of berekening in feite gemakkelijker (minder complex) is.

12

Indeling van de veiligheidsfunctie in I , L en O ➔ Sub-PL methode ➔ zie pagina 47 en volgende Veiligheidsfunctie B Veiligheidsfunctie A

Function Sensor I block B 1 Function block A 1

Function block Veiligheidsmodule L B 2 Function block A 2

Function block Actuator O B 3 Function block A 3

oder

Subsysteem 1

Subsysteem 2

Subsysteem 3

SRECS

• Aan de basis van sub-PL’s of sub-SIL’s(1) ligt een modularisering of opsplitsing van een totale SRP/CS in deel-SRP/CS-en (= deel- of subsystemen), die uit functieblokken (typisch functieblokken voor ingangs-, signaalverwerkings- en uitgangsniveau = I voor input + L voor logica + O voor output) afgeleid worden. Zie hiertoe de afbeelding hierboven. Zoals hiervoor al gezegd, zorgt deze opsplitsing later voor een vereenvoudiging van de berekening van de globale PL (of globale SIL) met behulp van de combinatietabel (zie pagina 45 en volgende). • Als men het productengamma van Schmersal/Elan (en van onze concurrenten) bekijkt, moet men voor een sub-PL of een sub-SIL beoordeling twee types componenten onderscheiden, namelijk de groep “eenvoudige individuele componenten met veiligheidsfunctie” en de groep “componenten met een complexe veiligheidstechnische functionaliteit”. • Het eerder genoemde onderscheid in twee componentengroepen houdt geen kwalificatie in, d.w.z. de beide componentengroepen kunnen hun veiligheidstechnische taken in de SRP/CS op dezelfde correcte manier vervullen; alleen hun gebruik (zie pagina 15 en volgende) is verschillend.

Sub-PL’s en sub-SIL’s worden hierna vaak in een adem genoemd, omdat EN IEC 62 061:2005 bij voorkeur ook de methode voor de subsysteembeoordeling beschrijft.

(1)

13

• Het essentiële verschil tussen de beide groepen ligt in de architectuur van de componenten, die verschillend is. Er bestaan architecturen – zie afbeelding links – met (automatische) “externe diagnose” en architecturen – zie afbeelding rechts – met (automatische) “zelfdiagnose” (zie ook pagina 15 en volgende). In deze context en in beide gevallen betekent automatisch “grotendeels door het systeem uitgevoerd” of “onafhankelijk van de wil”.

Eenvoudige individuele componenten met veiligheidsfunctie

Componenten met een complexere veiligheidstechnische functionaliteit

Verschil: externe diagnose vs. zelfdiagnose Toegekende functie- en integriteitsvereisten Schakelaar vergrendeling TSE 1.1 Schakelaar vergrendeling TSE 1.2

Toegekende functie- en integriteitsvereisten Deelsystemen (TS)

D

implementeren functieblokken en zijn elementen in het ontwerp van de architectuur op het hoogste niveau, waarbij een uitval van een deelsysteem tot een uitval van de besturingsfunctie met betrekking tot de veiligheid leidt.

PLC conform aant IEC 61 508

TS 1 Relais TSE 4.1

D Snelheidssensor TSE 2.1 Snelheidssensor TSE 2.2 TS 2

Relais TSE 4.2

D TS 3

TS 4

Elementen van een deelsysteem (TSE)

Schakelaar vergrendeling TSE 1.2

Deelsystemen (TS)

D


TS 1 Relais TSE 4.1

D

Diagnosefuncties (D) worden als afzonderlijke functies beschouwd, die een aparte structuur kunnen hebben ten opzichte van de veiligheidsgerichte besturingsfunctie. Zij kunnen uitgevoerd worden • binnen het deelsysteem, • door een ander deelsysteem van de SRECS, • door een deelsysteem dat niet tot de SRECS behoort.

implementeren functieblokken en zijn elementen in het ontwerp van de architectuur op het hoogste niveau, waarbij een uitval van een deelsysteem tot een uitval van de besturingsfunctie met betrekking tot de veiligheid leidt.

PLC conform aan IEC 61508

zijn bouwgroepen die de elementen van de functieblokken die aan de deelsystemen toegekend zijn, implementeren

Eenvoudige individuele componenten met veiligheidsfunctie (in de grafiek hierboven ook elementen van een deelsysteem TSE genoemd, kenmerken zich in het bijzonder door het feit dat zij van huis uit niet zelf tot foutendekking in staat zijn, maar hiervoor andere onderdelen van de SRP/CS nodig hebben (= externe diagnose. Zie ook de gescheiden uitvoering van D in de grafiek hierboven. In zijn geheel (TSE of TSE’s + D ) leidt dit dan tot een deelsysteem (of subsysteem) dat voor een (hogere) sub-PL berekening geschikt is. Voor lagere PL’s volstaat een beoordeling van de hardwarebetrouwbaarheid van de eenvoudige individuele componenten (TSE’s).

14

Schakelaar vergrendeling TSE 1.1

Snelheidssensor TSE 2.1 Snelheidssensor TSE 2.2 TS 2

Relais TSE 4.2

D TS 3

TS 4

D


Diagnosefuncties (D) worden als afzonderlijke functies beschouwd, die een aparte structuur kunnen hebben ten opzichte van de veiligheidsgerichte besturingsfunctie. Zij kunnen uitgevoerd worden • binnen het deelsysteem, • door een ander deelsysteem van de SRECS, • door een deelsysteem dat niet tot de SRECS behoort.

Componenten met een complexere veiligheidstechnische functionaliteit beschikken al van huis uit over een architectuur, die alle kenmerken bezit die voor een (hogere) sub-PL vereist zijn, en vooral het vermogen tot eigen foutendekking (= zelfdiagnose). Zie ook de directe indeling van D in de grafiek hierboven, d.w.z. TSE en D vormen al een eenheid (een deel- of een subsysteem met – gewoonlijk – een hogere sub-PL).

Specificaties (berekeningsbasis in de zin van EN ISO 13 849-1:2006 en EN IEC 62 061:2005)

15

Specificaties (berekeningsbasis in de zin van EN ISO 13 849-1:2006 en EN IEC 62 061:2005)

• Alle grote fabrikanten zullen hun technische gegevens – als zij het ondertussen al niet doen – meer en meer uitbreiden met specificaties in de zin van EN ISO 13 849-1:2006 en EN IEC 62 061:2005 of deze specificaties op aanvraag ter beschikking stellen. Naast de fabrikantenspecificaties zijn er een groot aantal andere bronnen, waarvan men zich eventueel kan bedienen (bijvoorbeeld EN ISO 13 849-1:2006 [Bijlage C] en EN IEC 62 061:2005, de norm SN 29 000 en de [relatief verouderde] MIL handboeken). Beide normen vermelden echter duidelijk dat bij voorkeur de fabrikantenspecificaties gebruikt moeten worden. • Afhankelijk van het componenttype zijn de specificaties echter verschillend. Men moet een onderscheid maken of het om componenten (bijvoorbeeld elektronische bouwelementen), eenvoudige individuele componenten, bijvoorbeeld eenvoudige veiligheidsschakelcomponenten of componenten met een complexere veiligheidstechnische functionaliteit gaat. Hiertoe behoren eventueel ook combinaties van componenten. • Bouwelementen worden hierna niet verder besproken. Het essentiële verschil is overigens dat componenten met een complexere veiligheidstechnische functionaliteit en componentencombinaties al van huis uit over een specifieke veiligheidsgerichte architectuur (categorie 2 en hoger) en een eigen vermogen tot foutendekking (via een – uit dit standpunt bekeken – eigen “intelligentie”) beschikken. Men zou dit ook het vermogen tot zelfdiagnose kunnen noemen. Componenten met een complexere veiligheidstechnische functionaliteit hebben dus van huis uit al een hogere sub-PL of sub-SIL. • Eenvoudige individuele componenten zoals eenvoudige veiligheidsschakelaars, daarentegen bezitten gewoonlijk slechts een eenvoudige architectuur (in het beste geval zijn ze 2-kanalig uitgevoerd). Zij beschikken echter niet over het vermogen tot zelfdiagnose. Bij deze componenten gebeurt de foutendekking eerder door andere voor- of nageschakelde SRP/ CS onderdelen, bijvoorbeeld bij AZ16 schakelaars door een SRB module. In dat opzicht kan men hier dan ook van externe diagnose spreken. Eenvoudige individuele componenten worden in de norm ook wel “elementen van een deel- of subsysteem” genoemd. • Eenvoudige individuele componenten (zonder bijkomende externe diagnose) hebben gewoonlijk een lage sub-PL of sub-SIL (afhankelijk van de uitvalwaarschijnlijkheid max. PL “c” of SIL 1); mits een aangepaste uitvoering (trefwoord: “meerkanaligheid”) en in combinatie met bijkomende foutendekkende maatregelen (trefwoord: “externe diagnose”) kunnen zij echter goedgekeurd worden tot sub-PL “e” of sub-SIL 3. Eventueel moet hiervoor bijkomend een 2-kanalige opstelling/uitvoering gerealiseerd worden (1). • Typische voorbeelden van eenvoudige individuele componenten zijn ventielen en cilinders in de fluïdumtechnologie (hydraulica, pneumatiek), hulp- en controlerelais, noodstopbedienorganen, positieschakelaars, vergrendelvoorzieningen inclusief veiligheidsmagneetschakelaars, toestemschakelaars, enz. Voor componenten van dit type wordt voortaan gewoonlijk een betrouwbaarheidsgrootheid in de vorm van een B10d waarde (max. schakelfrequentie) aangegeven, omdat zij onderhevig zijn aan slijtage tijdens het gebruik, en bij nieuwe componenten in de toekomst eventueel ook een MTTFd waarde (in jaren).

In verstaanbare taal betekent dit dat (op enkele uitzonderingen na) de categorie van eenvoudige schakelaars niet hoger dan 1 en hun sub-PL niet hoger dan “c” of hun sub-SIL niet hoger dan 1 kan zijn, zelfs als zij elektrisch 2-kanalig zijn. Pas als een nageschakelde intelligentie ook fouten herkent, kan men – bijvoorbeeld in combinatie met een 2-kanaligheid en dergelijke – dergelijke schakelaars een hogere categorie, PL of SIL toekennen. Zie hiervoor ook pagina 23 en volgende en pagina 29 en volgende.

(1)

16

Schematische samenvatting: Indeling van de Schmersal/Elan componenten in twee groepen Eenvoudige individuele componenten met veiligheidsfunctie

• Gewoonlijk 1-kanalig (soms 2-kanalig) • Stand-alone: max. PL „c“ of SIL 1 • Geen eigen diagnose • Voor “hogere” PL’s + hoogwaardigere architectuur + externe diagnose vereist!

Componenten met complexere veiligheids technische functionaliteit

• Gewoonlijk 2-kanalig • In staat tot zelfdiagnose • Geschikt voor hogere subPL’s

• Zoals al gezegd kan ook met de zogeheten eenvoudige individuele componenten een (sub) PL “d” of (sub)PL “e” behaald worden, mits er in de beoordeling rekening gehouden wordt met foutendekkende maatregelen, die hen door andere SRP/CS onderdelen ter beschikking gesteld worden. Eventueel is bijkomend nog een redundantie van de componenten vereist, als zij van huis uit niet zelf aan de vereisten voor een 2-kanalige architectuur voldoen. In feite gaat het bij deze beoordelingen om niets anders dan de uit EN 954-1:1996 gekende combinatie van dergelijke componenten met, bijvoorbeeld, veiligheidsmodules of veiligheids-PLC’s, waarvan de ingangscircuits of terugkoppelingen als failsafe vergelijker dienst doen, die eventuele fouten en uitvallen op het I - of O niveau herkennen.

Veiligheidsschake- Veiligheidssensor met laar met geschei- magnetisch werkingsden bediensleutel principe

Noodstopbedienorganen

Veiligheidsvergrendelingen in kunststof en metaal

Toestemschakelaar

Kabelvrije systemen/ Sleuteltransfer systemen

Noodstoptrekkoordschakelaar

Positieschakelaar met veiligheidsfunctie

Veiligheidsvoetschakelaar

17

PS: in andere normen en in andere contexten van de betrouwbaarheidsengineering vindt men ook andere manieren om de uitvalwaarschijnlijkheid uit te drukken, bijv. λ- of FIT waarden. Deze specificaties kunnen heel eenvoudig via de omgekeerde waarde in een MTTFd waarde omgerekend worden. De zogeheten MTBF waarden (= Mean Time Between Failures, de gemiddelde correcte werkingsduur of de gemiddelde tijd voor het optreden van een fout) kunnen in samenhang met EN ISO 13 849-1:2006 gelijkgesteld worden aan MTTF waarden. De index “d” voor dangerous of gevaarlijke fouten moet in acht genomen worden. Waarden zonder “d” worden volgens EN ISO 13 849-1:2006 gewoonlijk in de verhouding 50:50 opgesplitst (men gaat ervan uit dat statistisch gezien alleen iedere tweede fout een gevaarlijke fout is), d.w.z. een MTTFd is tweemaal zo hoog als de MTTF (voor alle mogelijke fouten). Hetzelfde verband geldt voor de B10d- en B10 waarden. • Componenten met een complexere functionaliteit (subsystemen en dergelijke) bezitten daarentegen van huis uit al een zodanige structuur, dat zij veiligheidstechnisch autonoom geëvalueerd kunnen worden, zonder dat hierbij andere onderdelen van de SRP/CS betrokken moeten worden. De fabrikantenspecificaties bestaan dan uit een sub-PL of een sub-SIL (telkens met een bijbehorende PFHd waarde). Typische voorbeelden voor componenten met een complexere veiligheidstechnische functionaliteit zijn veiligheidsmodules, microprocessorgebaseerde veiligheidssensoren, veiligheids-PLC’s, veiligheidsgerichte bussystemen, enz.

Aanrakingsvrije veiligVeiligheidssensoren Veiligheids-PLC’s heidsvergrendelingen met inductief werkingsmet inductief werkings- principe principe

Veiligheidslichtgordijnen/-lichtschermen

Veiligheidsfotocellen

Componenten voor ASi-SaW

Veiligheidslaserscanner

PS: bij PFH waarden is het onderscheid via de “d” index niet echt gebruikelijk, d.w.z. de gevaarlijke uitvalrichting wordt gewoonlijk zowel met een PFH waarde als met een PFHd waarde aangegeven.

18

• Gelijkgesteld met componenten met een complexere veiligheidstechnische functionaliteit zijn componentencombinaties, bijvoorbeeld de combinatie van BNS veiligheidsmagneetschakelaars en speciale bijbehorende AES veiligheidsmodules, die op die manier (in de combinatie) ook een veiligheidstechnisch op zich afgesloten functionaliteit vormen, waarvoor een hogere sub-PL of sub-SIL bepaald kan worden.

Voorbeeld van een componentencombinatie BNS/AES • OPGELET! Struikelblok: bij gemengd gebruik van eenvoudige individuele componenten en componenten met een complexere veiligheidstechnische functionaliteit in een SRP/CS, bijvoorbeeld een veiligheidsschakelaar op ingangsniveau en een veiligheids-PLC op logicaniveau, dan kan het gebeuren dat men voor een subsysteem (in dit voorbeeld voor het subsysteem “ingangsniveau”) MTTFd waarden heeft (of B10d waarden, waaruit dan MTTFd waarden afgeleid worden, zie ook pagina 22 en volgende) en voor het andere subsysteem (in dit voorbeeld voor het subsysteem “logicaniveau”) PFHd waarden. Eventueel (als de waarden opgeteld moeten worden) moet een van beide waarden geconverteerd worden. Hiervoor dient dan Bijlage K van EN ISO 13 849-1:2006 (jammer genoeg alleen maar tot 100 j MTTFd; zie lexicongedeelte, trefwoord “Bijlage K”) ofwel gebruikt men een ruwe eigen schatting/ berekening van de getallen van Bijlage K of de vereenvoudigde omrekening van een PFHd waarde in een blok-MTTFd waarde (1/PFHd : 8.760) (zie ook pagina 50 en lexicongedeelte). • De achterliggende reden voor dit “struikelblok” is, dat achter een PL – naast de deterministische vereisten – eigenlijk een PFHd waarde staat die waarschijnlijkheidsmathematisch het resultaat is van de reeds besproken 4 beoordelingsparameters. Met andere woorden: de PFHd waarde is de “hogere” waarde (waarmee componenten met een complexere veiligheidstechnische functionaliteit beschreven worden, in tegenstelling tot de MTTFd waarde die slechts een deelaspect is in het kader van een discrete beoordeling voor eenvoudige individuele componenten, waar dan nog de architectuur (de categorie), de foutendekking (DC) en het CCF management bij komen en die dan in hun geheel via een PFHd waarde beschreven worden. De achterliggende “mathematica” werd door de BGIA(1) bepaald. BGIA: Berufsgenossenschaftliches Institut für Arbeitssicherheit, Beroepsorganisatie voor Arbeidsbescherming (zie lexicongedeelte)

(1)

19

20

Eenvoudige individuele componenten in het Schmersal/Elan programma

21

Eenvoudige individuele componenten in het Schmersal/Elan programma

B10d waardeberekeningen • Voor componenten van dit type wordt voortaan gewoonlijk een specificatie over de veiligheidstechnische betrouwbaarheid vermeld in de vorm van een zogeheten B10d waarde. De integratie in de architectuur (categorie), de foutendekking (DC) en het CCF management (zie elders) is de vormgevende aangelegenheid van de klant (en zijn raadgevers). • De B10d waarde is een soort “bruto grootheid” voor het berekenen van een MTTFd waarde voor componenten die omwille van hun technologie onderhevig zijn aan slijtage door het aantal schakelingen en eventueel de schakellast. • De B10d waardeberekening is vereist, omdat voor slijtagegevoelige componenten de zogeheten badkuipcurve met een constant percentage toevallige fouten niet precies geldt tijdens de zogeheten Mission Time (zie lexicongedeelte, trefwoorden “B10d waarde”, “badkuipcurve” en “Mission Time”). Dit betekent dat bij slijtagegevoelige componenten het uitvalpercentage na de vroegtijdige fouten niet constant in de tijd is, maar in regel stijgt. Anders gezegd: het uitvalpercentage is hier tijdafhankelijk.

Uitvalpercentage

Vroegtijdige fouten

Fase van constante fouten

Fouten veroorzaakt door slijtage

Bedrijfstijd

• De formules voor het omrekenen van een B10d waarde naar een MTTFd waarde zijn als volgt: B10d MTTFd = 0,1 × nop

nop =

dop × hop × 3.600

s h

tcycle

nop = Gemiddeld aantal schakelingen per jaar dop= Gemiddeld aantal bedrijfsdagen per jaar hop = Gemiddeld aantal bedrijfsuren per dag tcycle = Gemiddelde activering van de veiligheidsfunctie in s (bijvoorbeeld 4 × per uur = 1 × per 15 min. = 900 s)

• Bijkomend moet bij slijtage1 gevoelige technologieën een 0,9 Levensduur b=0,8 0,8 zogeheten T10d waarde berekend b=1 F(t) 0,7 TM b=2 worden (10 % van de MTTFd b=3 0,6 b=4 b=4 afgeleid uit de B10d waarde). De 0,5 b=5 b=6 0,4 T10d waarde is een indicator voor b=7 Lijn voor de 0,3 B10 waarde het preventieve onderhoud van 0,2 een dergelijke component (bij 0,1 T10d < 20 j). De reden voor het 0 t [T] Schakelingen 0 1 2 3 aandeel van 10 % is dat men daarvoor uitgaat van een gelijkblijvend uitvalgedrag (gelijk aan het uitvalgedrag van de badkuipcurve). Bij de T10d waarde zijn – net zoals bij de MTTFd waarde – ca. 63 % van de componenten bij een steekproef gevaarlijk uitgevallen. Zie ook lexicongedeelte, trefwoord “exponentiële verdeling”.

22

Voorbeeld van een B10d waardeberekening: • De B10d waarde van een veiligheidsdeurbewakingsschakelaar is 2.000.000. • De machine-installatie met veiligheidshekken, waar hij gebruikt wordt, werkt 200 dagen (dop) per jaar in 2 ploegen (hop) en de veiligheidsdeuren worden 2 × per uur (hop) geopend. Het aantal schakelingen per jaar bedraagt dus 200 (dop) × 16 (hop, 2 ploegen) × 2 (activeringen/ uur hetzij tcycle = 1.800) = 8.400 nop. • Hieruit volgt een MTTFd waarde van 2.381 j(1) (2.000.000 : 0,1 × 8.400 = 2.381). • In dit voorbeeld is de T10d waarde (238 j) irrelevant, omdat hij ver boven de aangenomen gebruiksduur (Mission Time) van een machinebesturing (20 j) ligt, zoals die in EN 13 849-1:2006 vermeld wordt.

Herkomst van onze cijfergegevens • Indien geen andere vermeldingen: EN ISO 13 849-1:2006 en BGIA rapport 2/2008 (zie lexicongedeelte, trefwoord: “BGIA rapport 2/08”).

Vragen over de architectuur of categorie • De vraag of, in individuele gevallen, de problematiek, welke categorie een eenvoudige individuele component heeft, blijft ook in de toekomst onveranderd behouden, omdat de categorieën als essentiële eigenschap voor een PL behouden blijven. • Hiermee wordt de “oude” discussie aangekaart, of voor een architectuur, waarbij het optreden van een fout niet tot het verlies van de veiligheidsfunctie leidt, zoals dit voor de categorieën 3 en 4 geëist wordt, een component met redundante veiligheidscontacten (gedwongen verbrekend of vergelijkbaar) volstaat of dat er twee componenten voorzien moeten worden (een fysische 2-kanaligheid). • Het gebruik van slechts een component met redundante veiligheidscontacten betekent dat men voor de mechanische bediening (het bedieningsmechanisme) uitgaat van een foutuitsluiting, d.w.z. dat men kan uitsluiten dat hier gevaarlijke uitvallen, bijvoorbeeld door slijtage, beschadiging, vervuiling, enz. kunnen optreden.

(1)

De begrenzing van MTTFd waarden tot max. 100 jaar geldt hier niet, in de eerste plaats omdat het om een individuele waarde gaat. De afronding op 100 jaar per kanaal gebeurt – in combinatie met andere MTTFd waarden – pas aan het einde van een PL beoordeling. OPGELET: in de SISTEMA software (zie lexicongedeelte, trefwoord “SISTEMA”) leidt iedere subsysteembeoordeling daarentegen tot een afronding. In dit opzicht is het aanbevolen, identieke architecturen van een SRP/CS in een SISTEMA-specifiek subsysteem (= meerdere subsystemen volgens onze definitie, maar dezelfde architecturen) samen te vatten, om niet te veel afrondingen te krijgen.

23

• Foutuitsluitingsbeoordelingen zijn ook volgens EN ISO 13 849-1:2006 toegestaan, rekening houdend met paragraaf 7.3 en in samenhang met EN ISO 13 849-2:2003. Anderzijds is er de vereiste in een opmerking bij paragraaf 3.3 van de norm, waarin gesteld wordt dat de beoordeling van uitvalmogelijkheden in een SRP/CS begint op de plaats waar het veiligheidsrelevante signaal gegenereerd wordt, bijvoorbeeld aan de rol van een positieschakelaar en aan het regelcontact van de actuator eindigt. • In ieder geval is een zorgvuldige afweging vereist! • Advies over onze componenten vindt u in de onderstaande lijst van componenten onder het trefwoord “1-/2-kanaligheid” en in de bespreking “Foutuitsluitingen voor Schmersal-/Elancomponenten” op pagina 29 en volgende. Tot slot is de vraag betreffende een foutuitsluiting echter ook afhankelijk van de beoordeling door de klant en de toepassingsvoorwaarden.

Foutendekking DC • Afhankelijk van de onderstaande signaalverwerking tot 99 % (zie ook pagina 32 en volgende en pagina 68 en volgende).

CCF maatregelen (maatregelen tegen fouten met een gemeenschappelijke oorzaak) • CCF maatregelen (maatregelen tegen fouten (met een gemeenschappelijke oorzaak): de stand-alone beoordeling is iets of wat moeilijk. Beter is een beoordeling in de context met de integratie van de eenvoudige individuele componenten in de SRP/CS, omdat ook hier weer de vraag opduikt, of en hoe een eventuele 2-kanaligheid bewerkstelligd werd (bijvoorbeeld via fysische of elektrische redundantie). • Op zijn minst zorgen de eenvoudige individuele componenten van het Schmersal-/Elanprogramma ook van uit huis weer voor het vereiste minimumaantal van 65 voor het subsysteem, waarin zij gebruikt worden (zie lexicongedeelte, trefwoord “CCF”, tabel vanaf 3.). De reden hiervoor is, onder meer, het naleven van de productnorm van de EN IEC 60 947-5-reeks en hun veiligheids- en milieutechnische vereisten, de EMC-ongevoeligheid van de componenten. Daarbij komen nog de (eventueel evenredige) punten van de beoordelingseenheden “1. Fysieke scheiding tussen de signaalpaden”(1) en eventueel “2. Diversiteit”(2). • Opgelet: CCF maatregelen moeten pas vanaf categorie 2 beoordeeld en geëvalueerd worden, omdat SRP/CS vanaf categorie meerkanalig zijn (hetzij in de vorm van een klassieke 2-kanaligheid hetzij in de vorm van een 1-kanaligheid + testkanaal). • Verdere informatie: zie lexicongedeelte, trefwoord “CCF”

De individuele contacten van de componenten zijn galvanisch gescheiden. In het andere geval moeten de kabels beveiligd of gescheiden getrokken worden. (2) Bijvoorbeeld – en afhankelijk van de beoordelingsmethode – bij NO/NG combinaties. (1)

24

Individuele componentspecificaties (zie ook de online catalogus van Schmersal www.schmersal.net)

• Opmerking (1): als hierna over NG contacten (verbreekcontacten) gesproken wordt, worden altijd gedwongen verbrekende contacten bedoeld, behalve voor de veiligheidsmagneetschakelaars. Bij gedwongen verbrekende NG contacten moeten de specificaties – ook omwille van deze speciale veiligheidstechnische eigenschap – als lastonafhankelijk geïnterpreteerd worden. Zie ook lexicongedeelte, trefwoord “Foutuitsluiting”. • Opmerking (2): men kan zich terecht de vraag stellen, waarom B10d waarden deels zo verschillend zijn, hoewel de producten in kwestie – met uitzondering van de veiligheidsmagneetschakelaars – allemaal gedwongen verbrekende NG contacten hebben. De reden hiervoor is dat ook andere gevaarlijke fouten in deze beoordeling opgenomen zijn, bijvoorbeeld de slijtage van de mechaniek voor de sprongfunctie van een noodstopbedienorgaan of het resetvermogen van een drukknop. Bij de zogeheten type 2 schakelaars spelen bij de normwaarde slechte ervaringen in verband met de levensduur van concurrerende merken in het verleden mee.

Noodstopbedienorganen • B10d waarde (lastonafhankelijk): 100.000 (NG contact) • 1-/2-kanaligheid: afhankelijk van de voorziene architectuur (categorie) • ALTERNATIEF: foutuitsluiting in het kader van de B10d waarde (zie pagina 29 en 75) • Opmerking (1): bij een maximale belasting van een noodstopbedienorgaan mag volgens de norm alleen een B10d waarde van 6.050 aangenomen worden, anders 100.000. Bij onze componenten volgen wij de normbeoordeling niet om de volgende reden: de B10d waarde van 6.050 is een minimale testwaarde uit EN IEC 60 947-5-5 voor de correcte functie van het vasthoudmechanisme van een noodstopbedienorgaan volgens paragraaf 7.3. Hierbij is alleen de minimumwaarde, die bereikt moet worden, van belang. Omgekeerd: vanaf welk aantal schakelingen het vasthoudmechanisme dienst weigert, is niet van belang in de norm. Uit onderzoeken van ons testlaboratorium weten wij echter dat onze componenten minstens 100.000 vasthoudcycli correct functioneren. • Opmerking (2): wij raden aan, een 2-kanaligheid van noodstopbedienorganen te realiseren door het gebruik van twee contactelementen (trefwoord: fysische redundantie).

Trekkoord-noodstopschakelaars • Zie noodstopbedienorganen

Meer en eventueel meer recente specificaties vindt u in de online catalogus op www.schmersal.net! 25

3-traps toestemschakelaars/drukknoppen • B10d waarde (lastonafhankelijk): 100.000 (NG contact) • 1-/2-kanaligheid: afhankelijkheid van de voorziene architectuur (categorie) • ALTERNATIEF: foutuitsluiting in het kader van de B10d waarde

Veiligheidsvoetschakelaars (3-traps modellen) • Zie 3-traps toestemschakelaar/drukknop

Tweehandbedieningen (NG/NO combinaties) • B10d waarde: 20.000.000 (NG contact/verbreekcontact)(1) 1.000.000 (NO contact/maakcontact)(2) 100.000 (NO contact/maakcontact)(3) lastonafhankelijk bij ohms of quasi-ohms last en overdimensionering, d.w.z. ≤ 10 % van de nominale last (3) bij inductieve last en overdimensionering (≤ 10 % van de nominale last) (1) (2)

Opmerking: in combinatie met SRB tweehandmodules gelden de beperkingen van (1) tot (3) niet of worden zij via de veiligheidsmodule afgedekt!

Positieschakelaars met geïntegreerde aandrijfkop (zogeheten type 1 schakelaars) • B10d waarde: 20.000.000 (NG contact/verbreekcontact)(1) 1.000.000 (NO contact/maakcontact)(2) 100.000 (NO contact/maakcontact)(3) lastonafhankelijk bij ohms of quasi-ohms last en overdimensionering, d.w.z. ≤ 10 % van de nominale last (3) bij inductieve last en overdimensionering (≤ 10 % van de nominale last) (1)

(2)

• 1-/2-kanaligheid: bij individuele 2-polige componenten afhankelijk van de C-norm of fout uitsluiting volgens EN ISO 13 849-2:2003 vereist (zie ook voetnoot pagina 16 en pagina 29 en volgende).

Positieschakelaars met gescheiden bediensleutel (zogeheten type 2 schakelaars) • B10d waarde: 2.000.000 (NG contact/verbreekcontact)(1) 1.000.000 (NO contact/maakcontact)(2) 100.000 (NO contact/maakcontact)(3) lastonafhankelijk bij ohms of quasi-ohms last en overdimensionering, d.w.z. ≤ 10 % van de nominale last (3) bij inductieve last en overdimensionering (≤ 10 % van de nominale last) (1)

(2)

• 1-/2-kanaligheid: bij individuele 2-polige componenten afhankelijk van de C-norm of fout uitsluiting volgens EN ISO 13 849-2:2003 vereist (zie ook voetnoot pagina 16 en pagina 29 en volgende).


Positieschakelaars met gescheiden bediensleutel en vergrendeling • B10d waarden: zie hoger (positieschakelaars met gescheiden bediensleutel) • 1-/2-kanaligheid: onder inachtneming van foutuitsluitingen (zie ook voetnoot pagina 16 en pagina 29 en volgende) kan een individuele component – echter uitsluitend in een uitvoering met sluitbeveiliging(1) – de vereisten voor een 2-kanaligheid vervullen (= cat. 3, max. PL “d”). Ook het BGIA rapport 2/08 houdt rekening met deze mogelijkheid en verkiest een tweede schakelaar uitsluitend als bijkomende bescherming tegen manipulatie (die echter ook via andere maatregelen gerealiseerd kan worden). In samenhang met een vergrendeling betekent sluitbeveiliging dat de blokkeervoorziening bij geopende veiligheidsdeur niet in blokkeerpositie geplaatst kan worden, d.w.z. “loze vergrendelingen” kunnen uitgesloten worden. Daarom kan bij verhoogde veiligheidsvereisten een tweede detector ook wegvallen.

(1)

• Opgelet bij categorie 3: – Positiebewaking veiligheidsdeur = kanaal 1 Positiebewaking vergrendeling = kanaal 2 of – Positiebewaking veiligheidsdeur = mechanisch via sluitbeveiliging Positiebewaking vergrendeling (veiligheidscontact 1) = kanaal 1 (elektrisch) Positiebewaking vergrendeling (veiligheidscontact 2) = kanaal 2 (elektrisch) • Anders: zie boven en BGIA schakelvoorbeeld op pagina 78

Veiligheidsmagneetschakelaars(1) • B10d waarde (lastafhankelijk): 20.000.000 (bij 20 % last) 400.000 (bij 100 % last) 7.500.000 (bij 40 % last)(2) 2.500.000 (bij 60 % last)(2) 1.000.000 (bij 80 % last)(2) (2)

Eigen waarden volgens overleg met BGIA

• 1-/2-kanaligheid: 2-kanaligheid ook met een individuele component mogelijk (uitgezonderd BNS 30, 300 en 333 = 1-kanalig); • Componentencombinatie BNS/AES of BNS-geschikte SRB veiligheidsmodules: het gaat hier om een combinatie van componenten (zie pagina 41), die een subsysteem (met sub-PL of sub-SIL en PFHd waarde) vertegenwoordigt. Een B10d waardebeoordeling en een Derating zoals hiervoor is irrelevant, d.w.z. we kunnen uitgaan van 20.000.000, omdat de Reed contacten in de sensoren met een maximale last van 20 % geschakeld worden. Anders gezegd: de bijkomende beoordeling geldt alleen bij een andere signaalverwerking. Hieruit mag niet geconcludeerd worden dat het met veiligheidsmodules van onze concurrenten niet zou “gaan”, maar dat dit gecontroleerd moet worden (stroom- en spanningsbegrenzing, schakellast, enz.). • In combinatie met AES veiligheidsmodules (of een andere geschikte signaalverwerking) kan – indien nodig – voor een individuele BNS een PFHd waarde van 2,5 × 10 –11 (bij 0,1 h –1) aangenomen worden (uitgezonderd BNS 30, 300 en 333 = 1,21 × 10 –6 bij 0,1 h –1, 1-kanalig, max. PL “c”). In EN ISO 13 849-1:2006 worden veiligheidsmagneetschakelaars als (slijtagegevoelige) naderingsschakelaars omschreven.

(1)


Veiligheidsscharnierschakelaars (serie TESF) • B10d waarde (lastonafhankelijk): 2.000.000(1) Bij een veiligheidsgerichte schakelhoek van max. 8°. Als een grotere schakelhoek veiligheidstechnisch getolereerd kan worden, kan ook een hogere waarde gebruikt worden.

(1)

• 1-/2-kanaligheid: 2-kanaligheid is ook met een individuele component mogelijk mits inachtneming van een foutuitsluiting voor de as die de draaibeweging omzet (verdekte inbouw, belastingsvrije bediening). • Opmerking: bij de veiligheidsscharnierschakelaars TVS 521 wordt de B10d waardebeoordeling gedaan rekening houdend met de waarden voor type 1 schakelaars.

Componenten met ASi-SaW interface • Zie pagina 42 en volgende.

Sleuteltransfersystemen • MTTFd waarde: 150 j(1) EN ISO 13 849-1:2006 laat voor mechanische systemen een vereenvoudigde beoordeling met een forfaitaire MTTFd waarde van 150 j toe. Voor de sleutelschakelaar van een SHGV systeem raden wij aan voor het gedwongen verbrekende NG/verbreekcontact een foutuitsluiting aan te nemen en voor het NO/maakcontact uit te gaan van een B10d waarde van 1.000.000 (bij ohms of quasi-ohms last en overdimensionering, d.w.z. bij 10 % van de nominale last) of 100.000 (bij inductieve last en overdimensionering, d.w.z. bij 10 % van de nominale last).

(1)

• 1-/2-kanaligheid: zie positieschakelaars met gescheiden bediensleutel en vergrendeling

Reset-/Herstartknoppen • Deze componenten kunnen – ook met het oog erop, andere PL beoordeling (bijvoorbeeld bescherming tegen gevaarlijke bewegingen) niet te ingewikkeld te maken – in het kader van een afzonderlijke veiligheidsfunctie “Bescherming tegen onverwachte (her-)start” beoordeeld worden. Hiertoe behoren eventueel ook nog andere beoordelingsstandpunten, vooral als stopsignalen als categorie 2 STOP (gecontroleerd stilzetten zonder uitschakeling van de energietoevoer naar de aandrijvingen – zie EN IEC 60 204-1) uitgevoerd worden. • De B10d waarden voor NO/maakcontacten gelden hier (zie pagina 26). • Bovendien wordt in paragraaf 5.2.2 van EN ISO 13 849-1:2006 nu ondubbelzinnig geëist dat de manuele resetfunctie uitsluitend door het loslaten van het aandrijfelement in de bediende (AAN) positie mag gebeuren! Met andere woorden: bij reset-/herstartknoppen moet een flankendetectie uitgevoerd worden, bijvoorbeeld de afvallende flank moet geëvalueerd worden. • Deze veiligheidstechnische maatregel dient om fouten of manipulatie aan de knop te herkennen. • Wordt de flankendetectie via een zelfbewakende schakeltechniek uitgevoerd, dan is plaatsvervangend een foutuitsluiting mogelijk.


Bespreking: vragen bij de architectuur of categorie

• Uit het gebruik van EN 954-1:1996 is de vraag al bekend of een structuur met 1-fouttolerantie (geen verlies van de veiligheidsfunctie bij het optreden van 1 fout) voor een SRP/CS, zoals voor de categorieën 3 of 4 vereist is, via een fysische redundantie moet gebeuren, zoals bij de vergrendelvoorzieningen van bewegende veiligheidsvoorzieningen met twee schakelaars dan wel of een individuele vergrendelvoorziening met twee (interne) veiligheidscontacten (elektrische 2-kanaligheid) ook aan vereisten voldoet. • In deze context moeten van bij het begin de handbediende veiligheidsschakelcomponenten zoals noodstopbedienorganen, toestemschakelaars, enz. als uitzondering beschouwd worden. Hier is zonder meer uitsluitend sprake van een elektrische 2-kanaligheid. Volgt men het BGIA rapport (zie lexicongedeelte, trefwoord “BGIA report”), dan kan men hier zelfs zo ver gaan de componenten – omdat zij regelmatig met gedwongen verbrekende contacten uitgevoerd zijn – in hun geheel met een foutuitsluiting af te dekken, als de te verwachten bedieningsfrequentie binnen het bereik van de B10d waarde ligt. De bedrading en dergelijke moet daarbij in ieder geval “kloppen”. Het uitvoeren van een eventuele foutenherkenning is hierbij de taak van de operator, die zich ervan moet overtuigen, dat de component in kwestie geen schade vertoont, voordat hij ermee werkt. • Bij elektromechanische schakelaars is het bedieningsmechanisme voor de elektrische contacten een kritisch punt, dat in geval van een fout tot het verlies van de veiligheidsfunctie van de componenten zou kunnen leiden. Dit moet echter afgewogen worden ten opzichte van de hoge mate van onwaarschijnlijkheid van het optreden van een dergelijke gevaarlijke fout.

Aanslag

Aanslag

Ter verduidelijking: voorbeelden van oplossingen met 2 vs. 1 schakelaar (boven: aan een draaideur, onder: aan een schuifdeur). • Deze vraag (in de zin van een “algemeen geldend recept”) blijft ook in EN ISO 13849-1:2006 onbeantwoord. Enerzijds bestaat er een opmerking bij paragraaf 3.3 van de norm, volgens welke een SRP/CS combinatie begint op het punt waar het signaal gegenereerd wordt (bijvoorbeeld aan de rol van een positieschakelaar) en eindigt aan de contacten van de elementen van de vermogensregeling (bijvoorbeeld aan de elementen van de vermogensregeling van een extern relais). Anderzijds bestaat de mogelijkheid, volgens paragraaf 7.3 van de norm, onder bepaalde kadervoorwaarden foutuitsluitingen te maken.

29

• De “via regia” komt ter sprake, wanneer de vraag in de “bevoegde” C-norm (productnorm) beantwoordt wordt, zoals dit bijvoorbeeld het geval is voor bepaalde veiligheidsfuncties van drukmachines (de elektrische 2-kanaligheid van een schakelaar volstaat) of bij metaalpersen (hier wordt uitdrukkelijk een oplossing met 2 schakelaars vereist). • In grensgevallen raden wij onze klanten het volgende aan: – Voorzie in geval van twijfel voor Performance Level “d” en “e” (of voor categorie 3 en 4) altijd een fysische 2-kanaligheid (een oplossing met 2 schakelaars). – Afwijkend hiervan en mits amendement 1 van EN 1088:1996 (zie elders en lexicongedeelte) in acht genomen wordt, kunnen veiligheidsmagneetschakelaars van de serie BNS met 2-kanalige uitgangen, veiligheidsscharnierschakelaars van de serie TESF en alle aanrakingsvrije veiligheidsvergrendelingen met en zonder vergrendelvoorziening van de “CSS familie” van Schmersal zonder tweede schakelaar gebruikt worden. Bij de AZM 200 is van huis uit al een bijkomende manipulatiebeveiliging voorzien door de dubbele positiebewaking. – Bij eenvoudige schakelaars – positieschakelaars of veiligheidsschakelaars met gescheiden bediensleutel – moet voor 2-kanalige architecturen gewoonlijk altijd een fysische redundantie voorzien worden, omdat een tegengestelde externe invloed rechtstreeks de 1-kanalige stotermechaniek kan beïnvloeden. – Bij een PL “e” is geen compromis mogelijk – zelfs niet vooruitlopend op een geplande herziening van EN ISO 13 849-1:2003 – (bron: nieuwe tabel D.8 van het ontwerp van de revisie), d.w.z. voor een PL “e” komt in principe alleen een oplossing met 2 schakelaars in aanmerking voor alle elektromechanische componenten. – Voor een PLr “d” – weeral vooruitlopend op de geplande herziening van EN ISO 13 8492:2003 – zou een foutuitsluiting rekening houdend met Bijlage A Paragraaf A.5 mogelijk zijn, als de volgende voorwaarden gegarandeerd kunnen worden: Fout

Foutuitsluiting

Slijtage/corrosie

Ja, als het materiaal, de (over-)dimensionnering, het fabricageproces, het behandelingsproces en de geschikte smering zorgvuldig gekozen werden in overeenstemming met de vastgelegde levensduur (zie ook Tabel A.2) Ja, als het materiaal, het fabricageproces, de bevestigingselementen en het behandelingsproces zorgvuldig gekozen werden in overeenstemming met de vastgelegde levensduur (zie ook Tabel A.2)

Niet vastdraaien/ loskomen

30

Breuk

Ja, als het materiaal, de (over-)dimensionering, het fabricageproces, het behandelingsproces en de geschikte smering zorgvuldig gekozen werden in overeenstemming met de vastgelegde levensduur (zie ook Tabel A.2)

Vervorming door overmatige belasting

Ja, als het materiaal, de (over-)dimensionering, het fabricageproces en het behandelingsproces zorgvuldig gekozen werden in overeenstemming met de vastgelegde levensduur (zie ook Tabel A.2)

Stijfheid/kleven

Ja, als het materiaal, de (over-)dimensionering, het fabricageproces, het behandelingsproces en de geschikte smering zorgvuldig gekozen werden in overeenstemming met de vastgelegde levensduur (zie ook Tabel A.2)

Opmerkingen Zie ISO 13 849-1: 2006, 7.2

– De hierboven bijkomend beschouwde tabel A.2 heeft betrekking op de zogeheten beproefde veiligheidsprincipes, die bijkomend toegepast moeten worden. – Bij veiligheidsvergrendelingen met vergrendelvoorziening kan men in bepaalde omstandigheden van een fysische 2-kanaligheid afwijken, d.w.z. de individuele veiligheidsvergrendeling volstaat, mits de volgende randvoorwaarden gegarandeerd zijn: a) Het moet een component met een zogeheten sluitbeveiliging zijn (zie elders) en er moet een 2-kanalige signaalevaluatie (1 × deurpositie, 1 × bewaking van de blokkeervoorziening) gebeuren. b) Toepassingen uitsluitend tot max. Performance Level “d” (of categorie 3), bovendien moet het om een zichtbare gevarenbron gaan. c) De interactie tussen bediensleutel en component moet stressvrij (zonder speling) verlopen, bijvoorbeeld in combinatie met een veiligheidsdeurgreepsysteem. d) De bediensleutel moet vormgesloten functioneren en uit een stuk geponst metaal (zonder veren, enz.) uitgevoerd zijn. e) De plaats van installatie van de componenten moet zodanig gekozen worden, dat geen vuildeeltjes en dergelijke in het afbuigmechanisme kunnen binnendringen. f) De maximale vasthoudkracht en de basisprincipes van de “Goede Engineeringpraktijken” (zie lexicongedeelte) moeten nageleefd worden. g) Bijkomende voorzieningen voor het verminderen van manipulatiemogelijkheden moeten volgens amendement 1 van EN 1088:1996 voorzien worden. Vanuit dit standpunt behoort een tweede schakelaar tot de te treffen maatregelen, als er geen andere alternatieven voorhanden zijn. h) Om eventuele fouten op te sporen, wordt een automatische aanlooptest aanbevolen, die op het verwachtingspatroon van een signaalwissel van de componenten afgesteld is (uitgevoerde signaalwissels, die een correcte functie van de componenten weerspiegelen, zouden – afhankelijk van de toepassing – echter ook tijdens de werking door de besturing gecontroleerd moeten kunnen worden = minimale signaalwissel met betrekking tot een zinvolle tijdeenheid). Onafgezien daarvan geldt dat een veiligheidsvergrendeling gewoonlijk niet als aanslag gebruik mag worden en dat EN 953:1997(1) alsook een geschikte 2-kanalige signaalverwerking in acht genomen moeten worden. DIN EN 953:1997-11: Veiligheid van machines – Scheidende beschermvoorzieningen – Algemene vereisten voor het ontwerp en de constructie van vaste en bewegende scheidende veiligheidsvoorzieningen

(1)

31

Bespreking van het onderwerp “Foutendekking bij eenvoudige individuele componenten met veiligheidsfunctie”

• Zoals elders al gezegd, gebeurt de foutendekking (diagnose) bij eenvoudige individuele componenten met een veiligheidsfunctie door andere voor- en nageschakelde onderdelen van de SRP/CS (gewoonlijk in de logica L ). De bereikte Diagnostic Coverage is hierbij afhankelijk van de functionaliteit van de foutendekking (zie ook EN ISO 13 849-1:2006 Bijlage E). • Bij veiligheidsmodules (relaisveiligheidscombinaties), veiligheids-PLC’s enz. – voor zover zij een sub-PL “e” bezitten – wordt bij een 2-kanalige ingangsschakeling met een 1:1 bedrading (parallelschakeling) een DC van 99 % bereikt; bij een serieschakeling daarentegen een DC van slechts 60 %, omdat hier onder bepaalde omstandigheden een accumulatie van fouten niet uitgesloten kan worden. De DC van andere foutendekkende maatregelen moet individueel beoordeeld worden. • Worst case foutenbeoordeling bij een serieschakeling van elektromechanische componenten:

S1.1

S1 +

+

–

S2.1

Veiligheidsdeur 1

S2

Veiligheidsdeur 2

–

+

S1.1

S1

K1

–

S2.1

Veiligheidsdeur 1

S2

Veiligheidsdeur 2

– K2

Foutenaccumulatie: • Tweede fout aan veiligheidsdeur 1 • Kortsluiting via S2.1

32

+

–

S2.1

Veiligheidsdeur 1

S2

Veiligheidsdeur 2

– K2

K1

Eerste fout: • Kortsluiting via contact S1.1 (veiligheidsdeur 1) • Veiligheidsdeur 1 wordt geopend • 1-kanalige uitschakeling van de veiligheids module • Bedrijfsstoring (correcte veiligheidstechnische reactie, herinschakelen niet mogelijk)

+

S1

K2

K1

+

S1.1

Foutoplossing: • Veiligheidsdeur blijft open • 2-kanalige uitschakeling van de veiligheidsmodule • Herstarten mogelijk

S1.1

S1 +

+ K1

–

S2.1

Veiligheidsdeur 1

S2

Veiligheidsdeur 2

– K2

Gevaarlijke toestand: • Veiligheidsdeur 1 wordt geopend • Veiligheidsmodule schakelt niet uit

• Aan de basis van de foutendekking van 60 % in geval van een serieschakeling van eenvoudige (elektromechanische) componenten ligt een waarschijnlijkheidsmathematische schatting van meer dan 2 veiligheidsdeuren. Bij slechts twee veiligheidsvoorzieningen daarentegen wordt een parallelschakeling op L -niveau (1:1 bedrading) aangeraden. Serieschakelingen van elektromechanische componenten mogen in geen geval zonder bijkomende maatregelen in het kader van een PL “e” of voor categorie 4 gebruikt worden. • Voor serieschakelingen van elektromechanische componenten kan een hogere foutendekking als 60 % (en dus eventueel PL “e” of categorie 4) mogelijk zijn, als bijvoorbeeld bijkomende terugkoppelingssignalen in de PLC geïntegreerd zijn, waarvan de plausibiliteit in de vorm van een bijbehorend signaal opnieuw in het herstartpad op L -niveau geïntegreerd wordt. Zie ook pagina 76 in het besprekingsgedeelte (BGIA schakelvoorbeeld 8.2.28). • Bij serieschakelingen van noodstopbedienorganen kan eventueel ook van een foutuitsluiting gebruik gemaakt worden (zie BGIA schakelvoorbeeld 8.2.29 op pagina 75). • De eerder genoemde beperking tot 60 % DC bij serieschakelingen geldt – zoals reeds gezegd – alleen voor schakelingen in de traditionele elektrotechniek. Bij serieschakelingen die in een andere technologie uitgevoerd worden, bijvoorbeeld met ASi-SaW of met microprocessorgebaseerde componenten van de CSS familie van Schmersal, worden dankzij de bijkomende intelligentie alle te beschouwen foutgevallen afgedekt, d.w.z. in deze gevallen wordt een DC van 99 % bereikt. • Meer informatie (inclusief foutendekking voor eenvoudige individuele componenten op O -niveau): zie pagina 55 en besprekingsgedeelte pagina 68 en volgende.

33

34


35


Voorwoord • Componenten van dit type worden typisch gekwalificeerd met een sub-SIL en een bijbehorende PFHd waarde. De achterliggende reden hiervoor is dat deze componenten op basis van EN IEC 61 508-1/-7:2001 ontwikkeld en gecertificeerd werden, deels omdat zij met microprocessortechnologie uitgerust zijn, waardoor EN 954-1:1996 niet van toepassing was en deels om andere redenen. • Zoals men weet kan een SIL echter ook als PL en omgekeerd uitgedrukt worden (zie conversietabel) omwille van de compatibiliteit van de beide nieuwe SRP/CS normen. Het verbindend element van SIL en PL is daarbij de PFHd waarde, waaruit desgewenst ook een blok-MTTFd waarde afgeleid worden kan.

Waarschijnlijkheid van het optreden van een gevaarlijke fout per uur EN ISO 13 849-1:2006

PL

10 –4

10 –5

a

SIL IEC 62 061:2005/ IEC 61 508:2001

Geen speciale veiligheidsvereisten

Beveiliging van lage risico’s

b

1

3 × 10 –6

10 –6

c

d

2

10 –8

10 –7

e

3 Beveiliging van hoge risico’s

OPGELET: de PFHd classificaties hierboven gelden voor een globale PL (of een globale SIL). Voor subsystemen mogen alleen stukjes “verbruikt” worden (aanbeveling: telkens max. 20 % voor I en L , dus > 60 % voor O ). • Voor de omrekening van een PFHd waarde naar een MTTFd waarde kan Bijlage K van EN ISO 13 849-1:2006 gebruikt worden (met aan de basis PFHd waarden overeenstemmend max. 100 j MTTFd). Volgens BGIA rapport 2/08 kan ruw vereenvoudigd (en ook uitsluitend in deze richting toegestaan) uit een PFHd waarde maar ook via de omgekeerde waarde een blok-MTTFd waarde berekend worden. D.w.z. 1/PFHd : 8.760 = blok-MTTFd (bij hogere PL’s of SIL’s gewoonlijk meerdere 100 j). Zie ook pagina 50. PS: een blok MTTFd waarde is – afgezien van enkele uitzonderingen – altijd hoger dan een individuele MTTFd waarde, die uitsluitend een statistische hardwarebetrouwbaarheid uitdrukt, terwijl bij een PFHd waarde (en dus ook in de omgekeerde waarde = blok MTTFd) ook rekening gehouden wordt met alle overige maatregelen, vooral de maatregelen voor de foutafdekking of de Diagnostic Coverage. In combinatie met alle verdere maatregelen die voor een PL “e” vereist zijn, stemt een MTTFd waarde van 30 j bijvoorbeeld overeen met een blok MTTFd waarde van ca. 1.200 j.

36

• Dit laatste kan nodig zijn, als in een ketting I + L + O (input, logica, output) MTTFd en PFHd waarden gemengd worden. • Bij bepaalde veiligheidsvoorzieningen (zie gegevensfiches van de componenten) kann het subsysteem L in individuele gevallen weggelaten worden, als de sensor van het I niveau via OSSD uitgangen(1) direct op de actuator van het O niveau inwerkt (gewoonlijk bij SRP/ CS met een eenvoudige structuur) en de sensor bijkomend over een interface voor de terugkoppeling (een zogeheten EDM functie(2)) en – meestal – ook voor de reset-/herinschakelknop beschikt. In deze gevallen kan een SRB veiligheidsmodule, een veiligheids-PLC enz. wegvallen.

OSSD = Output Signal Switching Devices = veiligheidsonderdeel van een beschermvoorziening, bijv. een veiligheidslichtgordijn of een CSS sensor van Schmersal, dat met de machinebesturing verbonden is en uitschakelt, als het sensorgedeelte tijdens de normale werking geactiveerd wordt. (2) EDM = External Device Monitoring = middel waarmee een beschermvoorziening, bijv. een veiligheidslichtgordijn of een CSS sensor van Schmersal de status van andere onderdelen van de SRP/CS bewaakt. (1)

37

Componenten met een complexere veiligheidstechnische functionaliteit in het Schmersal/Elan programma(1) (zie ook Schmersal online catalogus www.schmersal.net)

Bij de vermelde PFHd waarden gaat het overwegend om waarden die naar aanleiding van de certificering van de componenten (door BG, TÜV enz.) volgens EN IEC 61 508:2001 berekend werden.

(1)

Veiligheidssensoren CSS 180(2) • Sub-SIL 3, sub-PL “e”, PFHd waarde 6,1 × 10 –9 Veiligheidssensoren CSS 34(2) • Sub-SIL 3, sub-PL “e”, PFHd waarde 3,6 × 10 –9 Veiligheidssensoren AZ 200(2) • Sub-SIL 3, sub-PL “e”, PFHd waarde 4,0 × 10 –9 Aanrakingsvrije veiligheidsvergrendelingen AZM 200 • Sub-SIL 3, sub-PL “e”, PFHd waarde 4,0 × 10 –9 Aanrakingsvrije veiligheidsvergrendelingen MZM 100(2) • Sub-SIL 3, sub-PL “e”, PFHd waarde 4,3 × 10 –9 (2)

Voor de veiligheidssensoren en aanrakingsvrije veiligheidsvergrendelingen van de CSS familie van Schmersal: bij gebruik van deze componenten – met uitzondering van de AZM 200 veiligheidsvergrendelingen omwille van hun dubbele positiebewaking – moet u bijkomend de vereisten voor bijkomende voorzieningen voor het verminderen van het manipulatierisico (amendement 1 bij EN 1088:1996) in acht nemen, bijvoorbeeld een onlosmakelijke bevestiging van het tegenstuk (met eenwegschroeven), verdekte inbouw, enz. Zie ook trefwoord “Amendement 1” in het lexicongedeelte.


Veiligheidsmodules (architectuur: categorie 4)(1) • Sub-SIL 3, sub-PL “e“, PFHd waarde < 9,54 × 10 –8 of > 30 j MTTFd(2) Informatie over de foutendekking (over DC) voor voor- en nageschakelde SRP/CS-onderdelen (eenvoudige individuele componenten op I - of O -niveau): zie pagina 32 en volgende en pagina 50. (2) Een bijkomende controle is vereist, omdat relais slijtagegevoelige onderdelen zijn. Berekeningsbasis B10d (bij last in %): 20.000.000 (20 %), 7.500.000 (40 %), 2.500.000 (60 %), 1.000.000 (80 %), 400.000 (100 %). (1)

De B10d waardebeoordeling is alleen relevant voor het aangesloten actuatorniveau O ! De beoordeling van het ingangsniveau I kan wegvallen (< 20 % last). Grensbeoordeling: PFHd < 9,54 × 10 –8 of MTTFd > 30 j is gegeven bij ≤ 6,5 miljoen schakelingen per jaar (nop/j) en 20 % last ≤ 2,5 miljoen schakelingen per jaar (nop/j) en 40 % last ≤ 0,6 miljoen schakelingen per jaar (nop/j) en 60 % last ≤ 0,3 miljoen schakelingen per jaar (nop/j) en 80 % last ≤ 0,1 miljoen schakelingen per jaar (nop/j) en 100 % last Bij een geringer aantal schakelingen worden overeenkomstig “betere” PFHd- of MTTFd waarden berekend.

• Het is gerechtvaardigd om bij een gemiddeld aantal schakelingen van ≤ 100 × per dag (≤ 36.500 nop/j) en bij een schakellast tot 60 % uit te gaan van een PFHd waarde van ≤ 5 × 10 –9 (en bij een schakellast tot 80 % een PFHd waarde van ≤ 1,3 × 10 –8). • In het BGIA rapport 2/08 wordt bijvoorbeeld voor veiligheidsmodules een PFHd waarde van 2,31 × 10 –9 aangenomen (in een ander geval 2,69 × 10 –9). Er zijn andere voorbeelden (bijv. bij SIEMENS) van een PFHd waarde van 1 × 10 –9. In vergelijking met onze bovenstaande schatting werden hier gunstigere cijfers voor het aantal schakelingen en/of de schakellasten gebruikt.

Veiligheidsmodules (architectuur: categorie 3) • Sub-SIL 3, sub-PL “e“, PFHd waarde < 8,84 × 10 –8 of > 62 j MTTFd (daronder PL “d“ of SIL 2) • Anders: zie boven modules met architectuur categorie 4!

Veiligheidstijdsrelais AZS 2305 • Sub-SIL 2, Sub-PL “d“, PFHd 2,5 × 10 –8

Veiligheidsstilstandsbewakers FWS 1205, 1206 en 2xxx • (afhankelijk van de bedrading) max. sub-PL “d“, sub-SIL 2, Sub-PL „d“, PFHd 8,8 × 10 –9


Veiligheidsbesturingen ESALAN-Compact(1) • Sub-SIL 3, sub-PL “e“, PFHd 0,14 × 10 –7 of MTTFd 193 j (voor halfgeleideruitgangen) of 0,15 × 10 –7 of MTTFd 192 j (voor relaisuitgangen) Informatie over de foutendekking (DC) voor voor- en nageschakelde SRP/CS onderdelen (eenvoudige individuele componenten op I - of O -niveau: zie pagina 32 en volgende en pagina 50.

(1)

Veiligheids-PLC’s PROTECT PSC(1) • 2-kanalige I/O’s: sub-SIL 3, sub-PL “e“, PFHd 1,27 × 10 –8 (2-kanalige ingang → 2-kanalige uitgang); 1,64 × 10 –8 (2 × 2-kanalige ingangen → 2-kanalige uitgang, bijv. bij “muting”) • 1-kanalige I/O’s: op aanvraag Informatie over de foutendekking (DC) voor voor- en nageschakelde SRP/CS onderdelen (eenvoudige individuele componenten op I - of O -niveau: zie pagina 32 en volgende en pagina 50.

(1)

ESALAN-Wireless systemen • Sub-SIL 3, sub-PL “e”, PFHd 5,5 × 10 –9

Veiligheidslichtfotocellen, -lichtschermen, lichtgordijnen (type 4) • Sub-SIL 3, sub-PL “e“, PFHd (bijvoorbeeld SLG(C) 420) 7,42 × 10 –9 PS: geldt alleen voor de uitvoeringen met OSSD uitgangen(1) en EMD functie(2) dus zonder bijkomende veiligheidsmodule of SRB module) OSSD = Output Signal Switching Devices = veiligheidsonderdeel van een beschermvoorziening, bijv. een veiligheidslichtgordijn of een CSS sensor van Schmersal, dat met de machinebesturing verbonden is en uitschakelt, als het sensorgedeelte tijdens de normale werking geactiveerd wordt. (2) EDM = External Device Monitoring = middel waarmee een beschermvoorziening, bijv. een veiligheidslichtgordijn of een CSS sensor van Schmersal de status van andere onderdelen van de SRP/CS bewaakt. (1)

Veiligheidsfotocellen, -lichtschermen, -lichtgordijnen (type 2) • Sub-SIL 2, sub-PL “d“, PFHd (bijvoorbeeld SLG(C) 220) 3,59 × 10 –8

Veiligheidslaserscanner • Sub-SIL 2, sub-PL “d”, PFHd 7,3 × 10 –8 • Mission time: 11 j


Componentencombinaties

Veiligheidsmagneetschakelaars BNS/Veiligheidsmodules AES • Combinaties van de BNS/AES modellen van het type 1xxx/11xx (uitgezonderd 1102 en 1112): sub-PL “d”, sub-SIL 2, PFHd waarden afhankelijk van de schakelfrequentie als volgt: sub-PL “d”, sub-SIL 2, PFHd waarden afhankelijk van de schakelfrequentie als volgt: 1 × 10 –8 bij 6 h –1, 9 × 10 –9 bij 1 h –1 of 8,4 × 10 –9 bij 0,1 h –1 • Combinaties van de BNS/AES modellen van het type 2xxx: sub-PL “d”, sub-SIL 2, PFHd waarde afhankelijk van de schakelfrequentie 1,8 × 10 –9 bij 0,1 h –1 • Combinaties van de BNS/AES modellen van het type 1102, 1112, 6112 en 7112: sub-PL “c”, sub-SIL 1, PFHd waarde – afhankelijk van de schakelfrequentie – 1,21 × 10 –6 of 75 j MTTFd bij 5.280 nop/j

Veiligheidsschakelstrips • Op aanvraag

Veiligheidsschakelmatten • Op aanvraag

Veiligheidsbumper • Op aanvraag


Veiligheidsbussysteem ASi-SaW/componenten met ASi-SaW interface

Voorafgaande opmerking Voor het PL beoordeling moet rekening gehouden worden met de desbetreffende veiligheidsfunctie (zie pagina 70 en volgende) en de ketting • Veiligheidsschakelcomponent inclusief geïntegreerde ASi-SaW interface (bijv. magneetschakelaar BNS 260 AS) of • “Veiligheidsschakelcomponent” plus externe “ASi-SaW interface” (bijv. noodstopbedienorgaan + ASi-Tube) plus • ASi-SaW monitor ASM. In de context van de subsysteemmethode stemt deze overeen met de niveaus I en L . Hierbij komt nog de beoordeling van het uitgangsniveau O . Bij eenvoudige individuele componenten op O -niveau dient de terugkoppelingsinterface in de ASi-SaW monitor ASM voor de foutendekking, cf. een veiligheidsmodule of een veiligheidsPLC, d.w.z. in functie van de veiligheidstechnische kwaliteit van het terugkoppelingssignaal kan een foutendekking van tot 99 % behaald worden (zie ook pagina 55). Opmerking bij het I -niveau: de foutendekking van 99 % wordt in het ASi-SaW veiligheidsbussysteem maar ook bij een serieschakeling van eenvoudige individuele componenten niet beïnvloed, d.w.z. zij blijft in dit geval bij 99 %, omdat de ASi-SaW bewakingsroutines rekening houden met iedere individuele deelnemer(“zien”). Opmerking 2: het Performance Level van een veiligheidsfunctie wordt bepaald volgens de theorie van de zwakste schakel van de ketting, d.w.z. een individuele veiligheidsschakelcomponent die uitsluitend als een kanaal beoordeeld moet worden en dus maximaal sub-PL “c” behaalt, bepaalt de hoogte van de globale PL. Daaraan verandert ook de hoogwaardige ASiSaW elektronica niets.

42

Opmerking 3: bij eenvoudige individuele componenten met ASi-SaW interface raden wij aan beide systeembestanddelen als subsysteem te beschouwen. Bij 1-kanalige individuele componenten leidt dit gewoonlijk – afhankelijk van de schakelfrequentie(1) – tot een sub-PL “c” en bij 2-kanalige componenten/componentopstellingen gewoonlijk altijd tot een sub-PL “e”. Indien nodig kan het subsysteem met een PFHd waarde gekwantificeerd worden (zie pagina 50). Er moet geen rekening gehouden worden met een beïnvloeding van de schakellast.

(1)

Veiligheidsmagneetschakelaars • B10d waarde: 20.000.000(1) (1)

Werking met geringe last (< 20 %)

• 1-/2-kanaligheid, 2-kanaligheid ook mogelijk met een individuele component • Model BNS 260 AS: Sub-PL “e”, PFHd waarde 6,21 × 10 –9 (bij nop/y 525.600) of 3,35 × 10 –9 (bij nop/y 24.000) • Model BNS 36 AS: Sub-PL “e”, PFHd waarde 1,24 × 10 –8 (bij nop/j 525.600) of 4,03 × 10 –9 (bij nop/j 24.000) • Model BNS 16 AS: idem BNS 36 AS

Positieschakelaars met gescheiden bediensleutel (zogeheten type 2 schakelaars) • B10d waarde: 2.000.000(1) Werking met geringe last (< 20 %)

(1)

• 1-/2-kanaligheid bij veiligheidsschakelaars: bij een individuele component afhankelijk van de C-norm of foutuitsluiting volgens EN ISO 13 849-2:2003 vereist • Model AZ 16 AS: Sub-PL “c”(2), sub-SIL 1(2) (bij foutenuitsluiting door de klant max PL “d”(2), sub-SIL 2(2)), PFHd waarde: PFHd/veiligheidsschakelaar (te beoordelen afhankelijk van de toepassing) + PFHd/ ASi-SaW elektronica (< 1 × 10 –8), bijv. bij 100 j MTTFd = 3,47 × 10 –8, bij 200 j = 2,19 × 10 –8, bij 500 j ca. 0,55 × 10 –8 enz. (2)

bij MTTFd “hoog”


Positieschakelaars met gescheiden bediensleutel en vergrendelvoorziening (zogeheten type 2 schakelaars) • B10d waarde: 2.000.000(1) Werking met geringe last (< 20 %)

(1)

• 1-/2-kanaligheid: zie pagina 26 en volgende en pagina 29 en volgende (componenten met gescheiden bediensleutel en vergrendelvoorziening zonder ASi-SaW interface) • Model AZM 162 AS: max. sub-PL “d”(2),SIL 2(2), PFHd waarde: PFHd/veiligheidsschakelaar (te beoordelen afhankelijk van de toepassing) + PFHd/ASi-SaW elektronica (< 1 × 10 –8), bijv. bij 100 j MTTFd = 3,47 × 10 –8, bij 200 j = 2,19 × 10 –8, bij 500 j ca. 0,55 × 10 –8 enz. (2)


• Model AZM 170 AS: max. sub-PL “d”(2), SIL 2(2), PFHd waarde: PFHd/veiligheidsschakelaar (te beoordelen afhankelijk van de toepassing) + PFHd/ASi-SaW elektronica (< 1 × 10 –8), bijv. bij 100 j MTTFd = 3,47 × 10 –8, bij 200 j = 2,19 × 10 –8, bij 500 j ca. 0,55 × 10 –8 enz. (2)


• Model AZ 200 AS: Sub-PL “e”, sub-SIL 3, PFHd waarde: 4 × 10 –9 • Model MZM 100 AS: Sub-PL “e”, sub-SIL 3, PFHd waarde: < 5 × 10 –9

ASi-SaW monitor • Model ASM: Sub-PL “e”, sub-SIL 3, PFHd waarde: 9,1 × 10 –9 • Model ASM G2: Sub-PL “e”, sub-SIL 3, PFHd waarde: 5,4 × 10 –9

Externe ASi-SaW interface • Model ASi-/Opto-Tube: Bijdrage aan sub-PL “e”, bijdrage aan sub-SIL 3, PFHd waarde: < 1 × 10 –8


Sub-PL’s tot een globale PL combineren

45

Sub-PL’s tot een globale PL combineren

• Referentie: zie pagina 12 en volgende en pagina 53 en volgende. • De combinatie van sub-PL’s (gewoonlijk sub-PL’s voor I , L en O ) tot een globale PL voor een SRP/CS is – in vergelijking met de blokmethode – een zeer eenvoudige procedure. • Hiervoor stelt EN ISO 13 849-1:2006 de zogeheten combinatietabel ter beschikking (= tabel 11 van de norm). Zij weerspiegelt enerzijds de theorie van de zwakste schakel van de ketting en houdt bovendien eventueel rekening met de optelling van de waarschijnlijke restfouten, d.w.z. dat vanaf een bepaalde lengte van de ketting de betrouwbaarheidswaarden PFHd of MTTFd onder een kritische grenswaarde kunnen vallen, die de globale PL beïnvloedt. • In het linkergedeelte van de tabel kan men dan het totaalgetal van sub-PL’slow (> Nlow ≤ Nlow) aflezen, dit is het aantal laagste sub-PL’s en in het rechtergedeelte van de tabel de daaruit voortvloeiende globale PL. Kenmerkend voor de combinatietabel hierbij is dat er vanaf een bepaald aantal “Sub-PL’slow” een verlaging (downgrading) plaatsvindt. De reden daarvoor is de optelling van de waarschijnlijke restfouten (des te langer de ketting, des te meer!). • OPGELET: de vermindering met een PL is echter niet verplicht, als de waarschijnlijke restfouten voor het individuele geval beter zijn dan de veronderstellingen van de normgever bij het opstellen van tabel 11. Hier werden gemiddelde waarden gebruikt. PLlow a b c d e

Nlow > 3 ≤ 3 > 2 ≤ 2 > 2 ≤ 2 > 3 ≤ 3 > 3 ≤ 3

→ → → → → → → → → → →

PL geen, niet toegestaan a a b b c c d d e

• Met andere woorden: in individuele gevallen moet berekend worden: a) de laagste sub-PL (PLlow) in de SRP/CS alsook b) het aantal vertegenwoordigde laagste sub-PL’s (Nlow) en c) het daaruit voortvloeiende globale PL. • Voor een globale PL “a” worden max. drie sub-PL’slow, en voor de globale PL “b” en “c” max. twee sub-PL’slow en voor de globale PL’s “d” en “e” drie sub-PL’slow getolereerd, zonder dat een downgrading nodig is of omgekeerd: als er in de SRP/CS in kwestie meer subPL’slow zijn, is de globale PL een niveau lager (bijv. 3 × sub-PL “c” resulteert in een globale PL “b”).

46

• Opgelet: “hogere” sub-PL’s in een SRP/CS worden bij het gebruik van de combinatietabel niet meegeteld (= theorie van de zwakste schakel). Hetzelfde geldt voor subsystemen en onderdelen van een SRP/CS, waarvoor een foutenuitsluiting gebruikt werd. • Tip: om ook bij complexere schakelingen (zonder te veel downgrading problematiek) de combinatietabel te kunnen gebruiken, wordt aangeraden de schakelingen in kwestie nader te analyseren. Het doel daarvan is zo weinig subsystemen als veiligheidstechnisch mogelijk te moeten beschouwen. De analyse moet dus enerzijds streven naar het schrappen van de niet-veiligheidsrelevante onderdelen uit de subsysteembeoordeling (bijv. niet iedere aandrijving in een systeem is noodzakelijkerwijze een gevaarlijke aandrijving) en anderzijds kan ook een complexe schakeling meerdere veiligheidsfuncties omvatten (zie ook bespreking: cascadering of serieschakelingen op pagina 70 en volgende). • Voorbeeld 1 Hazardous (2 × sub-PL “c” = globale PL “c”)

Fluidic actuator

movement

Lichtschermen SRP/CSc Categorie 2; PL = c

Elektronische besturingslogica

Vloeistofbesturing

SRP/CSd Categorie 2; PL = d

SRP/CSc Categorie 1; PL = c

Voorbeeld 1: I

I

L

PL „c“

OL

I1

L1

PL „d“

* volgens combinatietabel ** zie volgende afbeelding

TE

OTE

SRP/CS 1 PL c SRP/CS 2 PL d SRP/CS PL

c

SRP/CS 3 PL c

O1O PL „c“

I2

L2

PLIst

I

PL „c“

L

O

O2

PLlow

Nlow

a

>3 ≤3

b

>2 ≤2

c

>2 ≤2

d

>3 ≤3

e

>3 ≤3

PL

→ → → → → → → → → →

neen a a b b c c d d e

In dit geval gaat het om het voorbeeld uit de norm voor het gebruik van de combinatietabel. We gaan uit van een SRP/CS die uit 2 subsystemen met PL “c” en een subsysteem met sub-PL “d” bestaat. De laagste sub-PL hier is “c”, die tweemaal vertegenwoordigd is, d.w.z. voor de totale SRP/CS blijft PL “c” behouden. Er wordt geen rekening gehouden met het onderdeel van de SRP/CS met sub-PL “d”, wegens “hoger”.

47

• Voorbeeld 2 (Dit voorbeeld – 3 × sub-PL “c” – toont de werkwijze in geval van een downgrading, omdat Hazardous men daarmee – omwille van de noodzaak van een hogere PLr actuator – niet kan of wil “leven”.) Fluidic

movement

Lichtschermen SRP/CSc Categorie 2; PL = c

Elektronische besturingslogica

Vloeistofbesturing

SRP/CSd Categorie 2; PL = c

SRP/CSc Categorie 1; PL = c

Voorbeeld 2: I

I

L

PL „c“

OL

I1

L1

PL „c“

* volgens combinatietabel

TE

OTE

SRP/CS 1 PL c SRP/CS 2 PL d SRP/CS PL

c

SRP/CS 3 PL c

O1O PL „c“

I2

L2

PLIst

I

PL „b“* O „c“ PL

L

O2

PLlow

Nlow

a

>3 ≤3

b

>2 ≤2

c

>2 ≤2

d

>3 ≤3

e

>3 ≤3

PL

→ → → → → → → → → →

geen a a b b c c d d e

Een subsysteem bestaat uit drie subsystemen met 3 × sub-PL “c”. Volgens de combinatietabel volgt hieruit een downgrading naar een globale PL van “b”. Nu komt het er op aan, rekening te houden met de individuele PFHd waarden van de individuele subsystemen, d.w.z. ze op te tellen en de som met de voor de globale PL “c” vereiste PFHd waarde te vergelijken, in dit voorbeeld dus met ≥ 1 × 10 –6 ... ≤ 3 × 10 –6). Ligt de opgetelde PFHd waarde in het bijbehorende interval, dan is een downgrading niet relevant, omdat de individuele waarden beter zijn dan de waarden die door de normgever als model aangenomen worden. Wilt men deze beoordeling met MTTFd waarden vereenvoudigd uitvoeren, dan moet in ieder geval “> 30 j” (MTTFd “hoog”) de beoogde grootheid voor de globale PL zijn. Het bovenste gedeelte van de afbeelding hieronder toont aan, dat de waarden niet toereikend zouden kunnen zijn om een PL “c” te bereiken; in het onderste gedeelte, dat zij (in variante 2) zojuist volstaan om een PL “c” aan te tonen.

48

Optelling en vergelijking van de MTTFd/PFHd waarden • MTTFd: > 30 j (worst case) • PFHd: > 10 –6 … < 3 × 10 –6 I

L

O

PLIst

Opmerking

Variante 1: +

50 j

+

MTTFd

50 j

PFHd

2,24 × 10 + 2,24 × 10 + 2,24 × 10 ≙ 6,72 × 10 –6 –6

50 j

–6

≙

17 j

–6

Voldoet niet!

Variante 2: +

200 j

100 j + 100 j

MTTFd

PFHd

≈ 0,7 × 10 + 1,14 × 10 + 1,14 × 10 ≙ 3 × 10 –6 –6

–6

≙

40 j

–6

Voldoet net!

• Voorbeeld 3 Dit voorbeeld moet volledig los gezien worden van de combinatietabel van EN ISO 13 8491:2006, d.w.z. a priori worden de “zwakste schakel van de ketting” en de PFHd waarden van de SRP/CS beschouwd. Deze beoordeling beantwoordt bijvoorbeeld aan EN IEC 62 061:2005.

Voorbeeld 3: I AZM 200

L

O

SRP/CS

ESALAN-Compact Aandrijving met veiligheidsfunctie

PLIst S

PL „e“ 4,3 × 10 –9 +

PL „e“ 0,5 × 10 –9

PL „d“ +

10 × 10 –9

PL „d“* = 14,8 × 10 –9 PFHd**

* De “zwakste” schakel van de ketting is bepalend! ** Moet met de vereiste PFHd grenswaarde vergeleken worden, bijv. > 10 –7 … < 10 –6 voor PL “d”

• In het andere geval (als er wezenlijk meer subsystemen zijn dan in tabel 11 van EN ISO 13 849-1:2006 voorzien) moeten alle subsystemen beschouwd worden en in het bijzonder moeten hun waarschijnlijke restfouten (lees de individuele PFHd waarden) opgeteld en met de voor het desbetreffende PL maximaal toegelaten PFHd waarde vergeleken worden. Hierbij geldt in dit geval ook dat de zwakste schakel (de laagste sub-PL) de globale PL bepaalt. Bij wijze van hulp kunnen ook de MTTFd waarden opgeteld worden, maar in dit geval moet het doel altijd een waarde > 30 j zijn.

49

Performance Level (PL)

• Voorbeeld Een SRP/CS bestaat uit 6 subsystemen. – De laagste sub-PL bepaalt de globale PL. – De som van de PFHd waarden van de subsystemen moet in de PLr klasse vallen!

Gemiddelde waar Max. 1 (getoleschijnlijkheid van reerde) gevaarhet optreden van lijke fout per een gevaarlijke fout per uur (PFHd)

a b c d e

≥ 10 … < 10 ≥ 3 × 10 –6 … < 10 –5 ≥ 10 –6 … < 3 × 10 –6 ≥ 10 –7 … < 10 –6 ≥ 10 –8 … < 10 –7 –5

–4

10.000 uur 30.000 uur 100.000 uur 1.000.000 uur 10.000.000 uur

+ + + + + =

PFHd van sub-systeem 1 met PL „e“ PFHd van sub-systeem 2 met PL „d“ PFHd van sub-systeem 1 met PL „e“ PFHd van sub-systeem 1 met PL „d“ PFHd van sub-systeem 1 met PL „d“ PFHd van sub-systeem 1 met PL „d“ Globale PL = PLlow = „d“

bijv. 5 × 10 –9

■I bijv. 10 × 10 L bijv. 1 × 10 ■

–9 –9

bijv. 10 × 10 –9 O bijv. 10 × 10 –9 ■ bijv. 10 × 10 –9 bijv. 4,6 × 10 –8

Waarom PFHd waarden nemen en niet stelen? • Als voor subsystemen componenten met een complexere veiligheidstechnische functionaliteit gebruikt worden, die al met een sub-PL (of sub-SIL) gekwalificeerd zijn, dan zijn gewoonlijk ook de PFHd waarden beschikbaar als fabrikantenspecificatie. Om bij de eigen sub-PL beoordeling tot een PFHd waarde te komen, moet men Bijlage K van EN ISO 13 849-1:2006 gebruiken, die echter bij 100 j MTTFd eindigt. Hogere MTTFd waarden kunnen eventueel voorzichtig (dus met de meeste terughoudendheid) in geschatte PFHd waarden omgerekend worden (let op: dit is een logaritmische functie). Een verlenging van Bijlage K van EN ISO 13 849-1:2006 (> 100 j MTTFd) is in voorbereiding. Momenteel nog in officieuze cijfers: zie trefwoord “Bijlage K” in het lexicongedeelte). • Indien dit helpt is het volgens de BGIA specificatie ook gerechtvaardigd met de helft van de PFHd waarde van de desbetreffende PL klasse te rekenen (opgelet: logaritmische functie), als men voor een subsysteem wel over een PL specificatie, maar geen bijbehorende PFHd specificatie beschikt. • Als verder hulpmiddel is het oog gerechtvaardigd, MTTFd en blok-MTTFd waarden (PFHd = 1/PFHd : 8.760) volgens de parts count methode op te tellen. Daarbij moet het resultaat echter minstens een MTTFd > 30 j per kanaal zijn om downgrading te vermijden. Zie hiervoor!

50

Nawoord bij de subsysteemmethode • Zoals wij hiervoor al meermaals gezegd hebben, is de subsysteemmethode een mogelijkheid die de norm voorziet om snel en gemakkelijk een globale PL te berekenen. • De achterliggende vereenvoudigingen kunnen in individuele gevallen echter ervoor zorgen dat men bij gebruik van de subsysteemmethode een lagere globale PL beoordeling krijgt dan wanneer men de blokmethode zou gebruiken. Dit is voornamelijk te wijten aan de consequente toepassing van de filosofie van de zwakste schakel in de ketting van subsystemen. Bij de blokmethode daarentegen worden de individuele beoordelingsparameters als som (bij de MTTFd waarde) of als gemiddelde (bij de Diagnostic Coverage DC) beoordeeld, d.w.z. individuele lage waarden worden in beperkte mate door andere, hogere waarden gecompenseerd. • Voorbeeld: een veiligheidsfunctie bestaat uit een subsysteem met sub-PL “c” en meerdere andere subsystemen met sub-PL “e” (= globale PL “c” volgens de subsysteemmethode of volgens de filosofie van de zwakste schakel in de ketting van subsystemen). Wordt echter een globale beoordeling volgens de blokmethode uitgevoerd, dan krijgt men, afhankelijk van de configuratie van de individuele waarde, eventueel een globale PL “d”. Dit resultaat zou binnen de beoogde ontwerpspeelruimte van de norm liggen. • Omwille van de mathematica, waarop de norm zich baseert, kan men echter ook absurde (paradoxale) resultaten krijgen, bijv. dat bij een gelijkblijvende Diagnostic Coverage van de individuele SRP/CS onderdelen, een verhoging van de MTTFd waarden omwille van een beter gekozen hardware, louter rekenkundig tot een lagere DCavg kan leiden. Ook in de omgekeerde richting kunnen zich dergelijke situaties voordoen. Daarom is het gezonde menselijke en professionele verstand altijd vereist als corrigerende factor.

Verwarring, maar op een hoger niveau! 51

52

Hoe bereken ik zelf een PL voor een subsysteem (een sub-PL)?

53

Inleiding/Voorwoord

• OPGELET: in de onderstaande schakelvoorbeelden wordt in principe enkel rekening gehouden met het ingangsniveau, d.w.z. welke sub-PL of sub-SIL in een SRP/CS behaald kan worden voor eenvoudige individuele componenten in combinatie met de nageschakelde signaalverwerking. • Voor SRB veiligheidsmodules geldt daarbij gewoonlijk een foutendekking DC van 99 % (omwille van de plausibiliteitstests van de beide gedwongen uitgevoerde kanaalrelais) en bij veiligheids-PLC’s ook een DC van 99 % (omwille van de hoogdynamische kruisgewijze gegevensvergelijking van de beide microcomputersystemen in de component). Voorwaarde is een 2-kanalige aansturing. Beide DC waarden stammen uit Bijlage E van EN ISO 13 849-1:2006. • Bij serieschakelingen van elektromechanische componenten, die op ingangsniveau aan een SRB veiligheidsmodule of een veiligheids-PLC voorafgaan. Hier werken wij tot nader order met een beperkte DC van 60 % = “laag” (zie pagina 32 en volgende). • Andere types nageschakelde signaalverwerking van eenvoudige individuele componenten vereisen een aparte beoordeling (zie ook Bijlage E van EN ISO 13 849-1:2006). In deze context mag men niet uit het oog verliezen dat in een SRP/CS meerdere maatregelen voor de foutendekking gerealiseerd kunnen worden (bijv. maatregelen door SRB veiligheidsmodules, veiligheids-PLC’s enz. plus maatregelen door testvoorzieningen [TE’s], zoals gewone PLC’s). Zie voorbeeld pagina 76. Nu zijn er twee mogelijkheden om een sub-PL te vormen: • Mogelijkheid 1 is het vormen van een sub-PL voor de functie “Eenvoudige individuele component + diagnose” (door de navolgende signaalverwerking). In dit geval wordt het gedeelte van de schakeling van een SRB veiligheidsmodule of een veiligheids-PLC beoordeeld dat voor de foutendekking op ingangsniveau dient. Dit betekent dat de beoordeling uitsluitend betrekking heeft op het niveau I . Alles wat daarna volgt (de niveaus L + O ), vormt het onderwerp van een afzonderlijke sub-PL beoordeling. Zo bedoelt de norm het in de onderstaande afbeelding (zie afbeelding, aanduiding bovenaan).

I

L

O

Toegekende functie- en integriteitsvereisten Schakelaar vergrendeling TSE 1.1 Schakelaar vergrendeling TSE 1.2

D


TS 1 Relais TSE 4.1

D Snelheidssensor TSE 2.1 Snelheidssensor TSE 2.2

D TS 3

TS 2

54

Relais TSE 4.2

I/L

TS 4

O

I

L

O


D


TS 1 Relais TSE 4.1


Relais TSE 4.2

D TS 3

TS 2

I/L

TS 4

O

• Mogelijkheid 2 is het vormen van een sub-PL voor de componentencombinatie “Eenvoudige individuele component + SRB veiligheidsmodule of veiligheids-PLC”. D.w.z. hier worden de niveaus I + L samengevat (zie afbeelding, aanduiding onderaan). In het geval van een SRB veiligheidsmodule zou dit echter ook informatie over het actuatorniveau O vereisten, om een geraamde B10d waardebeoordeling te kunnen maken omwille van het slijtagegevoelige relais. De volgende opmerkingen zijn geldig, ongeacht of men mogelijkheid 1 of mogelijkheid 2 kiest: • De foutendekking van de terugkoppeling van de nageschakelde actuatoren (normaal gezien een aangelegenheid voor de klant) vereist een gedifferentieerde beoordeling. De reeds genoemde maatregelen (DC: 99%, zie hoger) zijn hier weliswaar ook van kracht, maar het hangt echter van de veiligheidstechnische kwaliteit van het terugkoppelingssignaal af, welke DC men voor eenvoudige individuele componenten voor het subsysteem “uitgangsniveau” O verkrijgt. Bij vermogensbeveiligingen met gedwongen uitgevoerde contacten kan men van 99 % uitgaan; als het signaal van niet-gedwongen uitgevoerde contacten afkomstig is, ligt dit getal lager, ondermeer ongeacht of en hoe vaak het uitgangsniveau in het normale proces betrokken is en dus bedrijfsmatig (dus niet veiligheidskritiek) getest wordt. Hier moet de klant zelf overeenkomstige overwegingen doen met behulp van Bijlage E van de norm EN ISO 13 849-1:2006 (DC = > 60 % ... < 99 %). • Let op dat de foutendekking DC verhoogt, omdat de terugkoppelingssignalen uit het bedrijfsmatige onderdeel van de besturing (trefwoord: testvoorziening, zie elders) in de beoordeling mee opgenomen kan worden. Informatie over de werkzaamheid van deze bijkomende maatregelen vindt u in Bijlage E van EN ISO 13 849-1:2006. • Bedient men zich, bijv. bij handbediende veiligheidsschakelcomponenten (noodstop-, toestemschakelaars, enz.) van het instituut van de foutenuitsluiting voor het subsysteem in zijn geheel (zie elders), dan moet het subsysteem zelfs niet beoordeeld worden (zie hoofdstuk “BGIA schakelvoorbeelden”). Hierbij wordt in ieder geval een zorgvuldige afweging vooropgesteld.

55

Voorbeeld 1(1) Een veiligheidsdeur in een veiligheidshek rond een robotinstallatie is met een TESF schakelaar beveiligd. De onderstaande signaalverwerking gebeurt via een veiligheidsmodule van de PROTECT SRB serie voor categorie 4. I Toegekende functie- en integriteitsvereisten Schakelaar vergrendeling TSE 1.1 Schakelaar vergrendeling TSE 1.2

D


TS 1 Relais TSE 4.1


Relais TSE 4.2

D TS 3

TS 2

TS 4

I/L

Opgave: wat is de sub-PL voor het ingangsniveau “TESF schakelaar”? Een TESF schakelaar is een eenvoudige individuele component zonder eigen diagnosefunctie. De diagnose gebeurt in de nageschakelde SRB veiligheidsmodule. Bijgevolg wordt de TESF schakelaar zelf en de diagnosefunctie van de SRB veiligheidsmodule beoordeeld, die dient voor de foutenherkenning op ingangsniveau (voor de TESF schakelaar). Daaruit volgt dat deze functie (alleen I ) de basis vormt voor onze sub-PL beoordeling (de componentencombinatie I + L vindt u in voorbeeld 3).

Overweging 1: om welke architectuur – met inachtneming van welke foutuitsluitingen – gaat het? • Fysisch gesproken is een TESF schakelaar weliswaar een schakelaar, echter met twee van elkaar onafhankelijke en telkens gedwongen verbrekende NG contacten (kanalen)/ De draaibeweging van de veiligheidsdeur in de stoterbediening van de beide kanalen wordt via een 1-kanalige mechaniek omgezet (bedienas), doch in het binnenste van de component en dus verdekt en stressvrij. Voor dit kleine 1-kanalige onderdeel nemen wij een foutenuitsluiting in aanmerking. Anders gezegd: de architectuur van de TESF schakelaar is 2-kanalig! • De bedrading tussen de TESF schakelaar en de SRB veiligheidsmodule gebeurt verdekt of in gescheiden mantelleidingen (= foutenuitsluiting voor het kabelniveau, in het andere geval SRB veiligheidsmodule met dwarssluitbewaking vereist). Hieronder wordt geen rekening gehouden met de voorafgaande vereiste PLr bepaling en de navolgende validatie of PLIst > PLr ≥.

(1)

56

• De TESF schakelaar wordt 2-kanalig 1:1 aan de SRB veiligheidsmodule aangesloten volgens een schakelvoorbeeld voor categorie 4 (geen serieschakeling). DUS: de architectuur van het subsysteem I stemt overeen met categorie 4.

Overweging 2: wat is de hardwarebetrouwbaarheid MTTFd? De TESF schakelaar is een eenvoudige individuele component, die onderhevig is aan slijtage en dus een B10d waarde van 2.000.000 heeft. Rekening houdend met het berekeningsvoorbeeld van pagina 23, volgt hieruit een MTTFd waarde van 2.381 j per kanaal. DUS: de hardwarebetrouwbaarheid MTTFd is “hoog”!

Overweging 3: wat is de foutendekking DC? De foutendekkingsfunctie voor de TESF schakelaar valt onder de volgende PROTECT SRB met 99 % DC (zie pagina 32 en volgende). DUS: de foutendekking DC is “hoog”!

Overweging 4: Welke CCF maatregelen werden getroffen? Bij veiligheidsonderdelen en hun correcte integratie en installatie kunnen wij altijd van > 65 punten uitgaan. Meer info: zie lexicongedeelte, trefwoord “CCF”. DUS: er zijn voldoende CCF maatregelen getroffen (= CCF: o.k.).

Samenvatting volgens het staafdiagram • Architectuur (SK): 4 • MTTFd: hoog • DC: hoog • CCF: o.k. PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d 10 –7 e 10 –8

MTTFd = laag MTTFd = gemiddeld MTTFd = hoog Categorie B Categorie 1 Categorie 2 Categorie 2 Categorie 3 Categorie 3 Categorie 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog + CCF

DUS: Performance Level “e”

57

Voorbeeld 2(1) Zoals hiervoor, echter meerdere TESF schakelaars in serie.

Opgave: wat is de sub-PL voor het ingangsniveau “TESF schakelaar”? We gaan er van uit dat op een bepaald tijdstip X altijd alleen de veiligheidsfunctie van een TESF schakelaar geactiveerd wordt (d.w.z. gewoonlijk wordt altijd slechts een veiligheidsdeur geopend). Het gaat dus – in functie van het aantal TESF schakelaars aan het hek – om een overeenkomstig aantal veiligheidsfuncties, bij drie componenten bijvoorbeeld om drie veiligheidsfuncties. Met andere woorden: de waarschijnlijke restfouten van de TESF schakelaars moeten niet opgeteld worden. Bijgevolg vormt de combinatie “1 × TESF schakelaar/SRB diagnose” de basis van onze sub-PL beoordeling. Anders: zie hiervoor (voorbeeld 1)!

Overweging 1: om welke architectuur – met inachtneming van welke foutuitsluitingen – gaat het? • Eerst en vooral: zie hiervoor (voorbeeld 1)! Omwille van de serieschakeling is het echter mogelijk dat niet alle fouten ontdekt worden, waardoor een accumulatie van fouten dus niet uitgesloten kan worden. Bijgevolg gaat het hier om een architectuur zonder mogelijkheid tot volledige zelfbewaking (2-kanalig, maar met beperkte foutenherkenning). DUS: de architectuur van het subsysteem is slechts van categorie 3.

Hieronder wordt geen rekening gehouden met de voorafgaande vereiste PLr bepaling en de navolgende validatie of PLIst > PLr ≥.

(1)

58

Overweging 2: wat is de hardwarebetrouwbaarheid MTTFd? Iedere TESF schakelaar vormt een veiligheidsfunctie. Voor de berekening van de MTTFd waarde veronderstellen wij nu dat iedere veiligheidsdeur 2 × per uur geopend wordt, d.w.z. de MTTFd waarde van 2.381 j blijft behouden. Als we er van uit zouden gaan dat de activering van 2 × per uur naar keuze op alle veiligheidsdeuren in de omheining betrekking zou hebben, dan zouden de MTTFd waarden nogmaals beduidend verhogen (zonder dat dit echter enige invloed op het PL zou hebben omwille van de beperking tot 100 j per kanaal). Anders: zie boven! DUS: de hardwarebetrouwbaarheid MTTFd is “hoog”! Bespreking: als bij de veiligheidsfunctie meerdere TESF schakelaars beoordeeld zouden moeten worden, omdat tijdens de werking altijd meer dan een veiligheidsdeur geopend wordt, dan moeten de MTTFd waarden van de componenten (volgens de Parts Count methode) opgeteld worden. In dit geval is de som voor de MTTFd classificatie bepalend. U ziet echter zelf dat, de hoge individuele MTTFd’s in aanmerking genomen, al een groter aantal componenten vereist is, om tot een herindeling bijvoorbeeld tot een MTTFd waarde “gemiddeld” te komen. De foutendekking DC van 60 % blijft in dit geval ongewijzigd.

Overweging 3: wat is de foutendekking DC? Omdat een accumulatie van fouten niet uitgesloten kan worden, gaan wij – in samenspraak met de BGIA - uit van een DC “laag” (zie pagina 32 en volgende), als er geen verdere maatregelen getroffen zijn, bijv. bijkomende foutendekking via externe testvoorzieningen (trefwoord: “betrokkenheid van de gewone PLC) of als foutuitsluitingen gemaakt worden. Anders: zie hiervoor! DUS: de foutendekking DC is “laag”!

Overweging 4: welke CCF maatregelen werden getroffen? Zie hiervoor! DUS: er zijn voldoende CCF maatregelen getroffen (= CCF: o.k.).

59

Samenvatting volgens staafdiagram • Architectuur (SK): 3 • MTTFd: hoog • DC: laag • CCF: o.k. DUS: Performance Level “d”

PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d 10 –7 e 10 –8


60

Voorbeeld 3(1) Opgave We vatten het ingangsniveau en het niveau van de signaalverwerking samen. Met andere woorden: we beoordelen het SRP/CS gedeelte tot aan het vrijgaveniveau van de SRB veiligheidsniveau; of nog anders gezegd: we vormen een combinatie van componenten. I


D


TS 1 Relais TSE 4.1


Relais TSE 4.2

D TS 3

TS 2

TS 4

I/L

Overweging 1: om welke architectuur – met inachtneming van welke foutuitsluitingen – gaat het? Nu moet, naast het ingangsniveau TESF schakelaars met SRB diagnose I , ook nog rekening gehouden worden met het niveau van de signaalverwerking in de SRB veiligheidsmodule L zelf. Een SRB veiligheidsmodule is een component met een complexere veiligheidstechnische functionaliteit, die van huis uit al een sub-PL (of sub-SIL) meegekregen heeft (in ons voorbeeld sub-PL “e” of sub-SIL 3). DUS valt voor de SRB veiligheidsmodule een individuele beoordeling van de architectuur, de MTTFd(2), de DC en de CCF maatregelen weg (omdat zij al in de sub-PL of sub-SIL weerspiegeld worden). Wij gaan er hier van uit dat de schakelfrequentie en de schakellast van de relais een MTTFd “hoog” niet beïnvloeden. (2)

Daarnaast moet ook nog gecontroleerd worden of, met het oog op het gebruik van slijtagegevoelige techniek in de vorm van relais, het aantal schakelingen en de schakellast invloed op de indeling van de MTTFd hebben. Hiertoe moet ook de schakellast op het vrijgaveniveau van de SRB veiligheidsmodules in de beoordeling opgenomen worden. Dit zou desondanks pas kritisch worden bij een hoger aantal schakelingen en bij een hogere schakellast (zie B10d waarden voor relais).

Hieronder wordt geen rekening gehouden met de voorafgaande vereiste PLr bepaling en de navolgende validatie of PLIst > PLr ≥.

(1)

61

Samenvatting Verwijzend naar de combinatietabel (zie elders) is het resultaat voor de volledige combinatie van componenten(1) bij een 1:1 bedrading een sub-PL “e” (2 × “e” blijft “e”) en bij een serieschakeling een sub-PL “d” (de zwakste schakel van de ketting is bepalend). Het zou echter ook verdedigbaar zijn als we I en L tot een subsysteem van “hogere orde” [met inachtneming van een bijkomende B10d waardebeoordeling voor de relais in de SRB veiligheidsmodule, zie (1)] zouden samenvatten.

Daarnaast moet ook nog gecontroleerd worden of, met het oog op het gebruik van slijtagegevoelige techniek in de vorm van relais, het aantal schakelingen en de schakellast invloed op de indeling van de MTTFd hebben. Hiertoe moet ook de schakellast op het vrijgaveniveau van de SRB veiligheidsmodules in de beoordeling opgenomen worden. Dit zou desondanks pas kritisch worden bij een hoger aantal schakelingen en bij een hogere schakellast (zie B10d waarden voor relais).

(1)

62

Hoe bereken ik zelf een sub-PL voor componenten van het Schmersal/Elan gamma?

De volgende stappen worden – met een beetje bijkomend overleg – op een zinvolle manier voorafgegaan door een analyse van de schakeling (zie pagina xx) en het overbrengen van de schakeling in een blokschakelschema.

Open Veiligheidsvoorziening 1 Dicht Open Veiligheidsvoorziening 2 Dicht

B1 A

B3 A

B2 P

P

P

B1 B4 P

K3 I1.0

Q2

K1 I1.1 I1.2 I1.3 I1.4 Ingangen

PLC

B2

Q2

Uitgangen O1.1

L Hulprelais K2

K2 Q1

K1

P

K1 Veiligheidsmodule

Q1

K3 Q1 Q2

K3

Q1

K2

Q2 M 3~

Sub-PL voor het ingangsniveau I • Bedradingsniveau: Foutuitsluiting met verwijzing naar EN ISO 13 849-2:2003 of dwarssluitbewaking (zie ook lexicongedeelte, trefwoord “Foutuitsluiting, bedradingsniveau”) • Bepaling van de architectuur, d.w.z. welke categorie is op het ingangsniveau gerealiseerd (zie afbeelding hierboven). • Bepaling van de MTTFd waarde per kanaal (gewoonlijk volgens de B10d waardebeoordeling, zie pagina 22 en volgende) • DC bepaling bij SRB veiligheidsmodules en veiligheids-PLC’s: – 99 % bij 1:1 bedrading – 60 % bij serieschakeling (losstaand van de definitie van de veiligheidsfunctie) – – Eventueel foutendekking DC van een TE (zie pagina 32 en volgende) mee integreren • CCF management: > 65 punten (zie lexicongedeelte, trefwoord “CCF”) = Sub-PL volgens resultaatsgrafiek (zie afbeelding) of Bijlage K van EN ISO 13 849-1:2006 PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d 10 –7 e 10 –8


63

B_bnsp01.qxd

31.03.2003

14:04 Uhr

B_bnsp01.qxd

Seite 6

31.03.2003

14:04 Uhr

Seite 7

Einsatzgebiet, Aufbau und Wirkungsweise

Schematische samenvatting i ts-Sensoren Sicherhei t Modulaire sub-PL berekening

Einsatzgebiet: Aufgrund ihrer ber¸ hrungslosen Arbeitsweise lassen sich SicherheitsSensoren gut kapseln. Daher eignen sie sich besonders zur Absicherung von Schutzeinrichtungen, die aufgrund ihrer Konstruktion oder Umweltbedingungen mit klassischen Sicherheitsschaltern nicht oder nur mit grˆ fl erem Aufwand abgesichert werden kˆ nnen. Sie sind insbesondere f¸ r den Einsatz in Bereichen mit hohem Staub- und Verschmutzungsgrad geeignet.

Ihre ber¸ hrungslose Arbeitsweise ermˆ glicht auch den verdeckten Einbau hinter Trennw‰ nden. Auch dies begr¸ ndet ihre bevorzugte Anwendung im Nahrungsmittelbereich, weil sie durch den Einbau hinter Edelstahlw‰ nden in ihrer Funktion nicht beeinflusst werden.

Ein weiterer Vorteil ist die wesentlich kleinere Bauform im Vergleich zum elektromechanischen Schalter. Aufgrund dieser kleinen Abmafl e finden die Sensoren Anwendung bei beengten Platzangeboten und auch bei der Absicherung von kleinen Schutzt¸ ren und Klappen, die einen entsprechend kleinen Bet‰ tigungsradius erfordern.

Aufbau/Wirkungsweise: Gem‰ fl der EN 60947-5-3 [9] bestehen N‰ herungsschalter mit definiertem Verhalten im Fehlerfall (PDF) aus drei Komponenten. Abbildung 1 zeigt die drei typischen Komponenten:

Schmersal bietet diese drei Komponenten als System an. Dieses System wurde von der BG baumustergepr¸ ft. Somit ist gew‰ hrleistet, dass alle Komponenten richtig aufeinander abgestimmt und optimal f¸ r die jeweilige Personenschutzfunktion geeignet sind.

Gleichzeitig dient die Auswerteeinheit als Strombegrenzung f¸ r die ReedKontakte. Ein zu hoher Strom w¸ rde zum Verschweifl en der ReedKontakte und damit zu einer Fehlfunktion des Sicherheits-Sensors f¸ hren.

Fehlmeldungen auftreten und dadurch die Verf¸ gbarkeit der Maschine und Anlage erhˆ ht wird. F¸ r solche Funktionen bietet die µP-Technik, die Schmersal in seinen Auswerteeinheiten einsetzt, Vorteile. Solche "Zusatzfunktionen" lassen sich in dieser Technologie einfacher und platzsparender realisieren als in konventioneller, diskreter Elektronik.

Vereist als de diagnose (en dus de Diagnostic Coverage of foutendekkingsgraad DC) in een voor- of nageschakelde component van de SRP/CS plaatsvindt! Die Kapselung ermˆ glicht aber auch eine glatte und leicht zu reinigende Formgebung, so dass sie bevorzugt im Nahrungsmittelbereich mit seinen hohen Deelsystemen (TS) Hygieneanforderungen eingesetzt werden. Selbstimplementeren functieblokken en zijn elementen in het ontwerp van de verst‰ ndlich sind die, f¸ r architectuur op het hoogste niveau,die Sicherheits-Sensoren verwendeten Materialien waarbij een uitval van een deelsysteem nahrungsmittelecht.

bijv.


D

PLC conform aant IEC 61 508

Relais TSE 4.1

D

Snelheidssensor TSE 2.2 TS 2

Relais TSE 4.2

D TS 3

TS 4


Typische Anwendungsgebiete f¸ r SicherheitsSensoren sind aus den genannten Gr¸ nden Druckmaschinen, Maschinen der Nahrungsmittelindustrie und Verpackungsmaschinen.

1 den aktiven Teilen: N‰ herungsschalter plus Bet‰ tiger, 2 dem AusgangssignalSchaltger‰ t (OSSD = Output Signal Switching Device) 3 und (falls erforderlich) einem Steuer- und ‹ berwachungsger‰ t. Diese drei Komponenten m¸ ssen nicht notwendigerweise voneinander getrennt sein.

Magnetische SicherheitsSensoren der Reihe BNS verf¸ gen ¸ ber Reed-Kontakte als mechanische Kontakte. Diese Kontakte werden ¸ ber ein von aufl en aufgebrachtes Magnetfeld entweder geˆ ffnet oder geschlossen. Der Zustand der Kontakte wird mittels einer angeschlossenen Auswerteeinheit der Baureihe AES ¸ berwacht.

Zus‰ tzlich ber¸ cksichtigen die Auswerteeinheiten das Prellen der ReedKontakte und das eventuelle Nachschwingen der Schutzeinrichtung, das zu einem kurzzeitigen Signal: "Schutzeinrichtung auf" und damit zum Abschalten des Relais (OSSD) f¸ hren kann. Dieses fr¸ hzeitige Abschalten wird durch eine Einschaltverzˆ gerung verhindert. Dies tr‰ gt dazu bei, dass keine

In der Terminologie der EN 60947-5-3 entspricht die Auswerteeinheit dem Steuer- und ‹ berwachungsger‰ t mit integriertem OSSD.

AUF ZU

2

tot een uitval van de besturingsfunctie met betrekking tot de veiligheid leidt.

TS 1

Snelheidssensor TSE 2.1

Klassische Sicherheitsschalter mit getrenntem Bet‰ tiger benˆ tigen eine genaue Ausrichtung von Schalter und getrenntem Bet‰ tiger. SicherheitsSensoren ermˆ glichen hier aufgrund ihrer ber¸ hrungslosen Arbeitsweise eine einfachere Montage, da sie toleranter gegen Ausrichtungsfehler von Bet‰ tiger und Sensor sind.

3


Diagnosefuncties (D)

Ansteuerlogik

worden als afzonderlijke functies beschouwd, die een aparte structuur kunnen hebben ten opzichte van de veiligheidsgerichte besturingsfunctie. Zij kunnen uitgevoerd worden • binnen het deelsysteem, • door een ander deelsysteem van de SRECS, • door een deelsysteem dat niet tot de SRECS behoort.

1

Abb. 1: Typische Komponenten eines PDF

7

6

Sub-PL

PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d 10 –7 e 10 –8


Voorziene architectuur (categorie): • 1-kanalig? • 2-kanalig? • Indeling in categorie 4?(1)

Hardwarebetrouwbaarheid MTTFd: even tueel bepalen via berekening van de B10d waarde

Diagnostic Coverage DC: • ≥ 99 % bij een 1 : 1 bedrading(2) • 60 % bij eenvoudige serieschakeling • DC (zoals hiervoor) gebeurt via SRB’s of PES systemen met categorie 4 of PL “e”

CCF maat regelen: > 65 punten

Zie schakelvoorbeelden voor SRB of PES systemen Opgelet: 99 % DC voor de terugkoppeling veronderstelt relais met gedwongen uitgevoerde contacten; in alle andere gevallen (bijv. terugkoppeling van de vrijgave van de regelaar) is de DC lager en hangt het er dus ook van af of er bedrijfsmatig in- en uitgeschakeld wordt (test) of uitsluitend veiligheidsgericht.

(1)

(2)

64

Sub-PL voor het logicaniveau (signaalverwerkingsniveau) L • Sub-PL of sub-SIL: zie component in kwestie! Het gaat hier – zoals reeds eerder gezegd – om componenten met een complexere veiligheidstechnische functionaliteit, waaraan al van huis uit een sub-PL of een sub-SIL toegekend is.

Sub-PL voor het actuatorniveau (uitgangsniveau) O • Werken zoals op ingangsniveau (eventueel echter andere DC waarden, zie EN ISO 13 8491:2006 Bijlage E) = aangelegenheid van de klant!

65

66

Besprekingen

67

Bespreking: foutendekking

Foutendekking heeft in een SRP/CS onder twee aspecten een speciale betekenis: • In meerkanalige architecturen is een eerste fout door een uitval omwille van de redundantie of de hardwarefouttolerantie weliswaar niet kritiek op veiligheidstechnisch gebied, maar toch moeten fouten die tot een verstoring van de werking leiden, afgedekt worden om accumulaties van fouten te vermijden. Als andere fouten zich zouden voordoen – naast eventuele niet-ontdekte fouten –, zou dit zeer zeker tot een gevaarlijke toestand kunnen leiden, die met het oog op de grotere risico’s die met deze architecturen afgedekt worden, niet aanvaardbaar is. • Maar ook bij eenvoudige architecturen leidt – gelukkig! – niet iedere gevaarlijke toestand door een fout onmiddellijk tot een ongeval en in dat opzicht is de bedoeling van de foutendekking hier dan het vermijden van het risico van langdurig actieve gevaarlijke toestanden. • De gebruikelijke foutendekkende maatregelen en hun efficiëntie in de vorm van de foutendekking DC worden in EN ISO 13 849-1:2006 vermeld in Bijlage E (ingedeeld volgens maatregelen voor de invoereenheid, de logica en de uitvoereenheid). • Om niet zelf te moeten rekenen bevat EN ISO 13 849-1:2006 opzoektabellen met typische maatregelen en %-beoordelingen (eventueel moet men zelf schatten). Maatregel Ingangseenheid Cyclische testimpuls door dynamische wijziging van de ingangssignalen Plausibiliteitscontrole, bijv. gebruik van de NO en NG contacten van gedwongen uitgevoerde relais Kruisgewijze vergelijking van ingangssignalen zonder dynamische test Kruisgewijze vergelijking van ingangs-

Diagnostic coverage (DC) 90 %

99 %

0 % tot 99 %, afhankelijk van de frequentie van de signaalwissel door de toepassing 99%

Maatregel Logica Indirecte bewaking (bijv. bewaking door drukschakelaar, elektrische positiebewaking van aandrijfelementen) Directe bewaking (bijv. elektrische bewaking van de stuurventielen, bewaking van elektromechanische eenheden door gedwongen uitvoering Directe bewaking (bijv. elektrische bewaking

Diagnostic coverage (DC) 90 % tot 99 %, afhankelijk van de toepassing

99 %

60 %

Maatregel Uitgangseenheden Bewaking van de uitgangen door een kanaal zonder dynamische test Kruisgewijze vergelijking van uitgangssignalen zonder dynamische test Kruisgewijze vergelijking van uitgangssignalen met dynamische test, zonder herkenning van dwarssluitingen (bij meervoudige in-/uitgangen) Kruisgewijze vergelijking van uitgangssig

Diagnostic coverage (DC) 0 % tot 99 % afhankelijk van de frequentie van de signaalwissel door de toepassing 0 % tot 99 % afhankelijk van de frequentie van de signaalwissel door de toepassing 90 %

99 %

• De mogelijkheid tot foutendekking (en daarmee ook de efficiëntie van de foutendekking DC) hangt, naast de maatregelen of de combinatie van maatregelen zelf, in hoge mate ook af van de architectuur van een SRP/CS. • Bij eenvoudige 1-kanalige architecturen ontbreekt de mogelijkheid tot foutendekking (= DC 0), omdat er geen na- of bovenliggende “intelligentie” is, die hiervoor dient.

68

• De beste oplossing voor het ingangsniveau I is een 2-kanaligheid en een navolgende signaalverwerking via SRB veiligheidsmodules of veiligheids-PLC’s in combinatie met een 1:1 bedrading (of vergelijkbaar), omdat hier een zogeheten failsafe vergelijker werkt, waarmee de consistentie van de kanalen gecontroleerd wordt (bijv. bij de start van de machine moeten de beide kanalen gesloten zijn in geval van een “maakcontact opstelling”). Dit stemt dan overeen met een DC van 99 % (zie Bijlage E van EN ISO 13 849-1:2006). Bij eenvoudige 1-kanalige architecturen ontbreekt logischerwijze deze vergelijkingsmaatstaf. Tegelijkertijd voldoet de 2-kanaligheid dan natuurlijk ook aan de vereiste van de zogeheten 1-foutveiligheid van de categorieën 3 en 4, zie lexicongedeelte, trefwoord “Categorieën”. • Testmogelijkheden worden echter ook geboden door de elektrische 2-kanaligheid of de integratie van terugkoppelingssignalen in de PLC (met aansluitende plausibiliteitscontrole) of – typisch voor nageschakelde vermogensbeveiligingen – het teruglezen van terugkoppelingssignalen in het herstartpad van de SRP/CS. Een terugkoppeling van gedwongen uitgevoerde contacten leidt dan ook tot 99 % DC. • Meer informatie over de foutendekking DC pagina 32 en volgende en pagina 68 en volgende.

69

Bespreking: Invloed van de definitie van de veiligheidsfunctie op het PL berekeningen – voorbeelden

• De definitie, wat een veiligheidsfunctie is en welke hardware – en eventueel software – daartoe behoort, bepaalt de omvang van een PL beoordeling. Doorslaggevend is, welke onderdelen van de besturing op het ogenblik van de activering van een veiligheidsfunctie betrokken zijn en daarbij “verantwoordelijk” zijn voor een functie voor personenbescherming. Aan de hand van de onderstaande voorbeelden (bron: BGIA rapport 2/2008, zie lexicongedeelte) wordt dit nader verklaard.

Voorbeeld 1: veiligheidsfunctie “stilzetten bij het openen van de veiligheidsdeur” • Bij het openen van de veiligheidsdeur krijgt de machineoperator toegang tot een gevarenzone, waarin vijf aandrijvingen de bewegingen van machineonderdelen aansturen. Het openen van de veiligheidsdeur veroorzaakt zo snel mogelijk de stilstand van de vijf aandrijvingen.

Aandrijving 1 Aandrijving 2 Positiebewaking van de veiligheidsdeur

Logica

Aandrijving 3 Aandrijving 4 Aandrijving 5

• Bij de latere berekening van het PL van de veiligheidsfunctie worden daarom de PL’s van de volgende blokken (foutmogelijkheden van de elektrische installatie worden aan de desbetreffende blokken toegekend) verbonden: – Positiebewaking van de veiligheidsdeur inclusief mechanische componenten – Logica – Aandrijving x (x = 1, 2, ... 5) • Het resultaat kan een PL zijn, die voor de toepassing niet meer volstaat, hoewel waarschijnlijk alleen de aandrijvingen 1 en 3 voor de operator gevaarlijke bewegingen genereren en de overige aandrijvingen louter “functioneel” stilgezet worden. In dit geval is het aanbevolen, voor de veiligheidsfunctie alleen rekening te houden met de bewegingen, die daadwerkelijk een gevaar vormen.

Voorbeeld 2: veiligheidsfunctie “stilzetten bij het openen van een veiligheidsdeur” • Een gevaarlijke beweging wordt door een hek met vijf veiligheidsdeuren afgeschermd. Het openen van een van de deuren leidt tot stilstand. Met het oog op de latere bepaling van het PL is iedere deur een onderdeel van een eigen veiligheidsfunctie VF1 tot VF5, die uit de volgende blokken (foutmogelijkheden van de elektrische installatie worden aan de desbetreffende blokken toegewezen) samengesteld is: 70

– Positiebewaking veiligheidsdeur x (x = 1, 2, ... 5) inclusief mechanische componenten – Logica – Aandrijving • De afbeelding toont het functionele schakelschema en de blokken van de veiligheidsfunctie VF3:

Positiebewaking van de veiligheidsdeur 1 Positiebewaking van de veiligheidsdeur 2 Positiebewaking van de veiligheidsdeur 3

Logica

Aandrijving

Positiebewaking van de veiligheidsdeur 4 Positiebewaking van de veiligheidsdeur 5

Voorbeeld 3: veiligheidsfunctie “noodstop van een volledige machine” • Aan een grotere machine zijn 20 noodstopvoorzieningen geïnstalleerd. Als zij bediend worden, worden alle 50 aandrijvingen zo snel mogelijk tot stilstand gebracht. Met welke componenten moet in dit geval rekening gehouden worden bij het realiseren van de der veiligheidsfunctie? Men kan niet voorzien, welke noodstopvoorziening voor het activeren van de veiligheidsfunctie bediend wordt. Omdat de operator altijd slechts een noodstopvoorziening bedient, worden de veiligheidsfuncties VF1 tot VF20 gedefinieerd. De standplaats van een persoon, die gevaar loopt bij het activeren van een noodstop, is niet bekend, maar waar deze persoon zich ook bevindt: niet alle 50 aandrijvingen vormen een gevaar. Daarom moet plaatsvervangend voor alle denkbare situaties het meest ongunstige geval in acht genomen worden. Dit wordt bepaald door de slechtste PL en is dus onder andere afhankelijk van het aantal aandrijvingen in de veiligheidsketting, die op de meest ongunstige standplaats gevaarlijke bewegingen genereren, alsook van de desbetreffende individuele PL.

Aandrijving 21

Noodstopvoorziening 01 Noodstopvoorziening 02 Noodstopvoorziening 03

Logica

Aandrijving 35

Noodstopvoorziening 04 Aandrijving 47

71

• Bij de latere bepaling van het PL voor de veiligheidsfunctie moet rekening gehouden worden met de PL waarden van de volgende blokken: – Noodstopvoorziening 03 – Logica – Aandrijving 21 – Aandrijving 35 – Aandrijving 47 • De voorbeelden tonen aan dat bij de definitie van een veiligheidsfunctie een “lokale beschouwing“ aanbevolen is, die rekening houdt met het volgende: – Waar bevinden zich mensen op het te beoordelen ogenblik? – Welke bewegingen vormen een gevaar op de plaats waar deze persoon/personen zich bevindt/bevinden? – Welke veiligheidsvoorzieningen moeten de veiligheidsfunctie activeren? Eventueel moet rekening gehouden worden met meerdere, alternatief inzetbare veiligheidsvoorzieningen.

Opmerkingen vanuit het Schmersal/Elan standpunt, vooral bij voorbeeld 2: • We krijgen met een nieuwe beoordelingswijze(1) te maken, waarbij een elektrische serieschakeling uit meerdere veiligheidsfuncties kan bestaan en de PL of SIL beoordeling betrekking heeft op de individuele veiligheidsfunctie. Dit betekent (zie hoger) dat een serieschakeling van 5 veiligheidsdeuren uit 5 individueel te beoordelen veiligheidsfuncties en bijgevolg uit 5 individuele beoordelingen kan bestaan. (1)

Eigenlijk was dit al in EN 954-1 zo voorzien, maar nog niet zuiver geformuleerd.

• In dit voorbeeld gaat men er van uit dat de veiligheidsfunctie op een bepaald ogenblik door de operator altijd aan slechts een veiligheidsdeur geactiveerd wordt, d.w.z. er wordt altijd maar een van de 5 veiligheidsdeuren geopend of altijd maar een noodstopvoorziening in een reeks van meerdere noodstopvoorzieningen bediend wordt. • Deze aanpak vereenvoudigt de omgang met de nieuwe normen aanzienlijk, omdat de te beoordelen ketting van de SRP/CS “korter” wordt. Deze beoordeling is alleszins alleen toegestaan bij een daadwerkelijke onafhankelijkheid van de individuele veiligheidsfuncties, d.w.z. bijvoorbeeld niet bij een dubbele deur. • Het risico van foutuitsluitingen in SRP/CS serieschakelingen van elektromechanische componenten (zie lexicongedeelte, trefwoord “Serieschakelingen” en elders) moet voorzichtigheidshalve in het kader van de desbetreffende veiligheidsfunctie beoordeeld worden. Tot nader order gaan wij er van uit dat in dit geval alleen een “lage” DC waarde (= 60 %) aangenomen moet worden. • Onze argumentatie tot dusver verliest enige stringentie dat tot 31 componenten van de CSS familie zonder verlies van classificatie in serie geschakeld kunnen worden (trefwoord: optelling van waarschijnlijke restfouten). Vanuit dit standpunt bekeken zijn het er nu wezenlijk meer. Het argument van de uitvoerige foutherkenning in de serieschakeling blijft in ieder geval standhouden. • Er bestaan echter nog andere mogelijkheden om het thema “cascadering of serieschakelingen” te omzeilen (zie BGIA schakelvoorbeelden 8.2.29 en 8.2.28) 72

Schakelvoorbeelden uit het BGIA rapport(1)

Gedetailleerde weergave: zie BGIA rapport 2/08. De keuze van de onderstaande voorbeelden is vanuit het standpunt van het aanleunen bij ons componentenprogramma gebeurd. In totaal bevat het BGIA rapport 37 schakelvoorbeelden. OPGELET: het commentaar hieronder werd grondig ingekort en vereenvoudigd!

(1)

Bovendien moet u er rekening mee houden dat in het bovenvermelde BGIA rapport een speciale beoordeling gebruikt wordt bij foutuitsluitingen voor gedwongen verbrekende contacten. Het “gedwongen verbreekcontact” wordt weliswaar niet beoordeeld in het kader van de kwantificering (foutuitsluiting!), maar dan wordt voor de bedieningsmechaniek een B10d waardebeoordeling opgesteld. Aanbeveling 1: voor ons type componenten beschouwen we het voornoemde onderscheid van de BGIA niet als doelmatig, omdat het onze klanten weinig tot niets brengt. Een foutuitsluiting kan ofwel gerechtvaardigd worden ofwel niet (zie hiervoor). Het aspect van de gedwongen verbreking van de contacten is slechts een deelaspect. Aanbeveling 2: men mag van bij aanvang niet afzien van een foutuitsluiting, als het resultaat van een beoordeling aantoont dat de belasting van de componenten hoger ligt dan de B10d waarde (bij positieschakelaars bijvoorbeeld bij ettelijke 100.000 schakelingen per jaar; onder dit getal zal men zondermeer regelmatig in het bereik > 100 j MTTFd vallen). Aanbeveling 3: wij krijgen nog steeds “buikpijn” bij het aanraden van foutuitsluitingen voor het geheel bij eenvoudige positieschakelaars (denken we bijvoorbeeld aan de slijtage van de aandrijfrol, gietblaasjes in de stoter, enz.), tenzij de desbetreffende C-norm een foutuitsluiting uitdrukkelijk zou tolereren. Zie hiertoe echter pagina 29 en volgende. Aanbeveling 4: zie ook lexicon, trefwoord “foutuitsluiting”. Noodstopbedienorganen (zie elders) vormen hier een bijzonderheid – een foutuitsluiting in het kader van de B10d waarde.

73

1) BGIA schakelvoorbeeld 8.2.34: Veiligheidsdeurbewaking met achter gelegen signaalverwerking via een SRB veiligheidsmodule of een veiligheids-PLC (het klassieke geval!) Opmerkingen • 2-kanalige ingangsbedrading • Foutendekking (externe diagnose) bij SRB door plausibiliteitstest via gedwongen uitgevoerd relais = 99 % DC of bij veiligheids-PLC's via kruisgewijze gegevensvergelijking = 99 % DC (bron: Bijlage E van EN ISO 13 894-1:2006) • SRB veiligheidsmodule of veiligheids-PLC voldoen aan sub-PL “e” • 2-kanalige uitgangsbedrading met terugkoppeling van gedwongen uitgevoerde contacten • Alle overige “spelregels” voor gebruik, aansluiting en bedrading worden in acht genomen. Resultaat: uitgaande van een hoge MTTFd waarde, stemt de combinatie overeen met PL “e” (SK 4, MTTFd “hoog”, DC 99 %, ongevoelig voor CCF)! De MTTFd waarde wordt daarbij afgeleid uit een B10d waardebeoordeling (zie elders). Schakelvoorbeeld:

Open B1

L

A

B2 P Dicht

L

L

K1 Q1

Q2

S1 START (Reset)

M 3~ Q1 Q1

Q2

Terugkoppeling

P

74

Weergave in bediende positie

Q2

2) BGIA schakelvoorbeeld 8.2.29: cascadering of serieschakelingen

• Bij de cascadering van noodstopbedienorganen komt de BGIA uit bij PL “e”, omdat voor de componenten in hun geheel een foutuitsluiting gemaakt wordt.

L A

A

A

A

A

A

S1

+

K2

S2

S3 K1 K3

START S4

K2

M 3~

K3

Opmerkingen • Foutuitsluiting voor S1, S2 en S3 inclusief bedradingsniveau • 2-kanalige ingangsbedrading • SRB veiligheidsmodule (of soortgelijk) met PL “e” • Resultaat: uitgaande van een hoge MTTFd waarde voor de SRB veiligheidsmodule, stemt de schakeling – ondanks de serieschakeling – overeen met PL “e”. De hiervoor genoemde beoordeling van de schakeling wordt door de BGIA niet voor machinegestuurde componenten aanbevolen.

75

3) BGIA schakelvoorbeeld 8.2.28: cascadering of serieschakelingen

• Ondanks de serieschakeling van elektromechanische componenten stemt de volgende schakeling overeen met PL “e”, omdat een PLC omwille van de bijkomende foutendekking in de SRP/CS geïntegreerd wordt. • De PLC voor de foutendekking wordt in de terminologie van EN ISO 13 849-1:2006 ook “testvoorziening” genoemd. Opvallend in het BGIA schakelvoorbeeld is dat men deze mogelijkheid in combinatie met een veiligheidsmodule een efficiëntie van 99 % DC toekent.

Open B1 A

Veiligheidsdeur 1

B2 P

P

B4 P

P

P

Dicht

Open B3 A

Veiligheidsdeur 2 Dicht

K1 K3 K1

Veiligheidsmodule

I1.0

I1.1 I1.2 I1.3 I1.4 Ingangen

PLC Uitgangen O1.1 L Hulprelais K2

K2 Q1 Q2

K3 Q1

Q2

Q1 Q2

M 3~ A

76


4) BGIA schakelvoorbeeld 8.2.18: veiligheidsdeurvergrendeling met achtergelegen signaalverwerking via SRB veiligheidsmodule of veiligheids-PLC (kanaal 1) en standaard-PLC (kanaal 2) Dat het eventueel ook zonder SRB of veiligheids-PLC mogelijk is, toont dit voorbeeld (principeschakeling – typisch bij grote drukmachines en dergelijke)!

Opmerkingen • 2-kanalige ingangsbedrading, bedrading beveiligd/gescheiden gelegd • Voor de beide positieschakelaars B1 en B2 wordt via een B10d waardebeoordeling een MTTFd “hoog” berekend. • Signaalverwerking “kanaal 1” rechtstreeks via een extern relais (Q2); “kanaal 2” via een PLC (K1) met navolgend extern relais Q1. De architectuur stemt overeen met categorie 3. • Foutendekking: de positie van B1 wordt bijkomend in de PLC ingelezen en op plausibiliteit vergeleken met B2 (DC = 99 %). De positie van de externe relais (met gedwongen uitgevoerde contacten) wordt eveneens via de terugkoppeling in de PLC ingelezen (DC = 99 %). De PLC zelf wordt via het proces getest (DC = 60 %). Daaruit volgt een DCavg van 62 %. • Alle overige “spelregels” voor gebruik, aansluiting en bedrading worden in acht genomen. Resultaat: de schakeling stemt overeen met PL “d” (zie staafdiagram: cat. 3, MTTFd “hoog”, DC “laag”, CCF o.k.).

+

Open

L

B1 A

Q1

Q2 Q1

P

B2 Dicht

Q2 K1

I1.0

I1.1 I1.2 I1.3 Ingangen

PLC O1.0 Q1

Uitgangen

M 3~

Q1

Q2

A


77

(5) BGIA schakelvoorbeeld 8.2.19: veiligheidsdeurvergrendeling

+UB

L S1

Ontgrendelen

S2

STOP

Q1 Q2 S3

n>0 M1

M 3~

G1

n

START

K1

n

K2 Veiligheidsdeur opkomvertraagd

Open

F

B2 P

P

B1 A

A

F1 Magneet

Dicht

Veiligheidsvergrendeling met veerbediening met sluitbeveiliging

Q1

Q2

P


Opmerkingen • Voor een goed begrip: de schakeling is uitgevoerd zonder een voorbesturing (SRB veiligheidsmodule, veiligheids-PLC e.d.) met directe aansturing van de actuatoren en stemt – zonder hier verder op in te gaan – overeen met PL “d”. • Het voorbeeld werd hier niet omwille van zijn schakeltechnische elegantie opgenomen, maar omdat het onze argumentatie ondersteunt, onder welke omstandigheden een veiligheidsvergrendeling in categorie 3 ingedeeld kan worden. In combinatie met een geschikte SRB veiligheidsmodule zou zelfs een componentencombinatie van categorie 4 met PL “e” bereikt kunnen worden. • Opgelet: 1-kanalige stilstandsbewaking • BGIA commentaar: de positie van de vergrendelbout wordt via een geïntegreerde positieschakelaar B1 bewaakt, de positie van de veiligheidsdeur bijkomend voor een verhoogde beveiliging tegen manipulatie via positieschakelaar B2. De veiligheidsvergrendeling is uitgerust met een sluitbeveiliging.

78

• D.w.z. kanaal 1 “positiebewaking veiligheidsdeur”: sluitbeveiliging + veiligheidscontact(en) voor de positiebewaking van de veiligheidsdeur – kanaal 2: “positiebewaking vergrendelbout”: elektrisch 2-kanalig • Als de manipulatiebeveiliging op een andere manier uitgevoerd wordt, ondersteunt dit schakelvoorbeeld onze opvatting, onder welke omstandigheden veiligheidsvergrendelingen met sluitbeveiliging stand alone (zonder bijkomende 2de schakelaar) gebruikt mogen worden (zie pagina 29 en volgende).

79

80

Overzicht van de eigenschappen en het gebruik van EN ISO 13 849-1:2006

81

Doel van de SRP/CS normering

• Bij de SRP/CS normering gaat het erom, door bijkomende maatregelen de functie voor personenbescherming van een SRP/CS ook in geval van fout te behouden (beter gezegd: bepaalde gevaarlijke toestanden die veroorzaakt worden door een fout, terug te brengen tot een gerechtvaardigd restrisico). • Achter deze fout staan uitvallen, fouten en storingen in de gebruikte hardware en software in een SRP/CS, voor zover zij veiligheidsrelevant zijn. • Opgelet! Semantische spitsvondigheid: fouten (bijvoorbeeld in onderdelen = de functie was voordien correct) leiden tot uitvallen (= blijvende toestand van de component), maar fouten kunnen ook van begin af aan in een SRP/CS aanwezig zijn (constructiefout = systematische fouten). Gevaarlijke toestanden door (tijdelijke) storingen worden gelijkgesteld met uitvallen.

EN ISO 13 849-1

EN 954-1:1996

IEC 61508:1998–2000

Deterministische aanpak

Probabilistische aanpak

Beproefde methodes: • Veiligheidsfuncties • Risicograaf • Categorieën

Nieuwe concepten: • Kwantificering: betrouwbaarheid van de componenten en kwaliteit van de tests • Fouten met een gemeenschappelijke oorzaak

• Er zijn twee soorten bijkomende maatregelen: maatregelen die voor een risicovermindering bij systematische uitvallen of fouten dienen en maatregelen die op toevallige uitvallen of fouten gericht zijn. • Systematische fouten en uitvallen bestaan al op het ogenblik van de levering; zij houden op een deterministische manier verband met een bepaalde oorzaak die alleen door een wijziging van de vormgeving of het fabricageproces, de werkprocedure, de documentatie of bijbehorende factoren weggenomen kan worden. Het gaat hier om essentiële ontwerpproblemen, lacunes in de specificaties, denkfouten, softwarefouten, enz. Hiertegen staat bijvoorbeeld redundantie machteloos.

82

Oorzaken van systematische fouten voor de inbedrijfneming, bijv.: • Fabricagefouten • Fouten tijdens de ontwikkeling (foutieve keuze, foutieve dimen sionering, fouten in de software) • Fouten tijdens de integratie (foutieve keuze, foute bedrading) na de inbedrijfneming, bijv. • Uitval/fluctuaties van de energie • Technische omgevingsinvloeden • Slijtage, overbelasting • Foutief onderhoud

Maatregelen ter vermijding van uitvallen Geschikte materialen en correcte fabricage Juiste dimensionering en vormgeving Juiste keuze, opstelling, montage, installatie Componenten met compatibele bedrijfsgegevens Bestendigheid tegen vastgestelde omgevingsvoorwaarden Componenten volgens de juiste norm met gedefinieerde uitvaltypes Functietest Projectmanagement, documentatie

INTEGRATIE:

Black box test

bijkomend:

Maatregelen ter beheersing van uitvallen Principe van de energie-uitschakeling Ontwerp voor het beheersen van spanningsinvloeden Ontwerp voor het beheersen van technische omgevingsinvloeden Bewaking van de programma-afloop (bij software) “Veilige” datacommunicatieprocessen (bussystemen) Automatische tests bijkomend:

Redundante/diversitaire hardware Gedwongen uitgevoerde bedieningsmodus Gedwongen uitgevoerde contacten/contacten met gedwongen verbreking Gerichte uitvallen Overdimensionering

• Maatregelen tegen systematische fouten en uitvallen vindt u in Bijlage G van EN ISO 13 8491:2006 en in EN ISO 13 849-2:2003. • Toevallige uitvallen en fouten (bijvoorbeeld te wijten aan veroudering van het product, toevallig falen van onderdelen) daarentegen kunnen alleen een statistische waarschijnlijkheid toegekend krijgen. Anders gezegd: hoe lager de uitvalwaarschijnlijkheid, hoe hoger de functionele veiligheid. De waarschijnlijkheid van toevallige fouten en uitvallen is een louter statistische beoordeling en laat weliswaar gevolgtrekkingen over de totale veiligheid van een product in the field toe, maar geen conclusies over de veiligheid van een individueel product. Zie ook afbeelding: badkuipcurve!

Vroegtijdige uitvallen

Toevallige uitvallen

Remedie: voorveroudering, procesoptimalisatie

Uitvallen door slijtage Remedie: dimensionering, preventieve vervanging

Gebruiksduur TM of T10d

Uitvalpercentage

λ 0

Tijd

83

• Toevallige fouten bestaan niet op het tijdstip van levering. Zij vloeien voort uit fouten in de hardware en treden toevallig op tijdens de werking. Voorbeelden van toevallige uitvallen en fouten zijn kortsluitingen, onderbrekingen, materiaalmoeheid, enz. Uitvallen en fouten van dit type doen zich (zoals gezegd) toevallig voor, maar we kunnen hen een statistische waarschijnlijkheid toekennen. • Maatregelen tegen toevallige uitvallen en fouten zijn redundantie, foutherkenning, enz., d.w.z. alles wat men vereenvoudigd (en op onvolledige wijze) met de categorie, het Performance Level PL en het Safety Integrity Level SIL in verband kan brengen. “Op onvolledige wijze“, omdat maatregelen tegen systematische uitvallen en fouten een dwingende basisvereiste voor cat., PL of SIL zijn. • Een speciaal type beoordeling geldt bijkomend voor de zogeheten Common Cause Failures, dit zijn fouten van diverse eenheden (kanalen) met dezelfde functie door een gemeenschappelijke oorzaak. • Toevallige uitvallen en fouten vallen alleen onder de hardware, terwijl men bij software uitsluitend van systematische uitvallen en fouten uitgaat. Deze thesis is – vooral bij hogere kritieke niveaus zoals in de vliegtuigbouw – omstreden. • Het aandeel ongevallen met machines door toevallige hardwarefouten worden vandaag de dag laag ingeschat. Er is sprake van max. 10 tot 15 % van alle ongevallen. Er bestaan ook andere schattingen met zelfs nog een lager aantal. Het gros van de ongevallen daarentegen is te wijten aan systematische tekortkomingen en – niet te vergeten – aan manipulatie van de veiligheidsvoorzieningen.

84

Performance Level (1)

• Definitie van de norm (EN ISO 13849-1:2006): discreet niveau dat het vermogen van onderdelen van een besturing met een veiligheidsfunctie specificeert om een veiligheidsfunctie te bereiken. • Vereenvoudigd: veiligheidsgerichte totale kwaliteit van een SRP/CS met inachtneming van de architectuur van de SRP/CS (= deterministische beoordeling) en de betrouwbaarheid van de SRP/CS (= probabilistische beoordeling). Hierbij worden in principe de standpunten van veiligheidstechnische betrouwbaarheid, bestendigheid tegen uitvallen en fouten, fouttolerantie, gedrag in geval van een fout, foutherkenning, het vermijden van accumulaties van fouten en het vermijden van systematische fouten beoordeeld. • Het vereiste PL (PL “a” … “e”) is het resultaat van de beoordeling van de risicograaf van de veiligheidsfunctie in kwestie of de desbetreffende C-norm. • Waarschijnlijkheidsmathematisch gaat achter een Performance Level PL de gemiddelde waarschijnlijkheid van het optreden van een gevaarlijke fout per uur PFHd schuil als volgt: Performance Level (PL) Gemiddelde waarschijnlijkheid van het optreden van een gevaarlijke fout per uur (1/u) a

≥ 10 –5 tot < 10 –4

b

≥ 3 × 10 –6 tot < 10 –5

c

≥ 10 –6 tot < 3 × 10 –6

d

≥ 10 –7 tot < 10 –6

e

≥ 10 –8 tot < 10 –7

Opmerking: naast de gemiddelde waarschijnlijkheid van een gevaarlijke fout per uur zijn verdere maatregelen vereist om de PL te behalen.

• De opmerking bij de tabel vermeldt duidelijk dat het (zie boven) niet uitsluitend om waarschijnlijkheidmathematische vereisten gaat. • Om een “idee” te krijgen, kunnen de PFHd waarden ook op de volgende manier vertaald worden: Performance Level (PL) Max. getolereerde uitvalgraad a

1 gevaarlijke fout per 10.000 uur

b


c


d

1 gevaarlijke fout per 1.000.000 uur

e

1 gevaarlijke fout per 10.000.000 uur

• Bijgevolg – als achter een PL de gemiddelde waarschijnlijkheid van het optreden van een gevaarlijke fout per uur PFHd schuilgaat, – kunnen subsystemen ook met PFHd waarden voor een bepaalde sub-PL aangeduid worden. Typische voorbeelden hiervan zijn alle componenten met een complexere veiligheidstechnische functionaliteit, waarvoor deze foutgrens gewoonlijk bijkomend aan de PL of SIL classificatie opgegeven wordt.

85

• Pas hier wordt duidelijk dat het gemeenschappelijke verbindende element van PL (of EN ISO 13 849-1:2006) en SIL (of EN IEC 62 061:2005 en EN IEC 61 508-1/-7:2001) juist de PFHd waarden zijn. • Bij sub-PFHd specificaties wordt aangeraden dat de desbetreffende waarden slechts gebruik maken van een bepaald gedeelte van de totaalwaarde die voor de PL of SIL classificatie in kwestie maximaal geldt. Dit is ≤ per 20 % voor het ingangsniveau I en het logicaniveau L van de SRP/CS, zo dat voor het uitgangsniveau O – uit ervaring is geweten dat dit de zwakste schakel van de ketting is – meer dan 60 % overblijft. • Als men het zo wil stellen, zijn de hieronder – in paragraaf (2) – genoemde en nader toegelichte parameters die dienen om een PL of sub-PL te bepalen, niets anders dan vereenvoudigde hulpgrootheden, om de complexe mathematica die eigenlijk achter een PFHd waarde schuil gaat, te omzeilen. • Wordt de subsysteemmethode bij de PL beoordeling gebruikt (zie pagina 45 en volgende), dan vallen enkele van de hieronder vermelde berekeningen weg of worden zij vereenvoudigd. Hier wordt van de zogeheten blokmethode (zie pagina 131 en volgende) uitgegaan.

86


Een PL is samengesteld uit: • Architectuur (= categorie) Korte uitleg: architectuur van een SRP/CS (1-kanalig, 1-kanalig met test, 2-kanalig met wederzijdse test, 2-kanalig met zelfbewaking) voor de ketting I (Input = ingangen) + L (Logica = signaalverwerking) + O (Output = uitgangen) waarbij EN ISO 13 849-1:2006 de voorkeur geeft aan bepaalde architecturen – namelijk de bekende categorieën. Hierbij wordt ook de mogelijkheid vooruitgeschoven om foutuitsluitingen in overeenstemming met EN ISO IngangsUitgangs13 849-2:2003 te kunnen maken. Andere architecturen worden in EN signaal ISO 13 849-1:2006 ook signaal O O L “toegestaan”, maar hiervoor kan de vereenvoudigde berekeningsaanpak niet zondermeer gebruikt worden, waardoor men naar nauwkeurige mathematica – en de bijbehorende moeite en kosten – moet teruggrijpen. Bewaking

Bewaking

Ingangssignaal

Uitgangssignaal

Monitoring

Monitoring

• Worden bepaald (1): I O L – Categorie B…4 (Designated Architectures/voorziene architecturen): indeling van de onderdelen van een besturingssysteem met een veiligheidsfunctie met betrekking 2 uitschakelIngangsUitgangsen aansluitend hun gedrag in geval van een fout. tot hun bestendigheid tegen fouten kanaal signaal signaal • Foutuitsluitingen volgens EN 13 849-2:2003 of vereistTE of sig- OTE O O L verder belangrijk de

naalkanaal

Ingangssignaal

L

Uitgangssignaal

O

Bewaking

Ingangssignaal

Uitgangssignaal

Monitoring

L

Monitoring

I

Bewaking

Bewaking

Bewaking

Ingangssignaal

Uitgangssignaal

L

Monitoring

I

Categorieën 3 en 4:

TE O

2de uitschakelkanaal

O

OTE

of signaalkanaal

I1

Ingangssignaal

Bewaking

I2

O1

L1

Gekruiste bewaking

O

Categorie 2:

Monitoring

Categorieën B en 1:

Uitgangssignaal

Bewaking

O2

L2 Ingangssignaal

Uitgangssignaal

2de uit-

schakel- in categorie 2! Zie lexicon, trefwoord “Categorie 2” • Opgelet: wijzigingen Bewa-

TE

kanaal

OTE

of signaalkanaal

I1

Ingangssignaal

king

O1

L1 Uitgangssignaal

Gekruiste bewaking

Gekruiste bewaking

• Naast de architecturen van een SRP/CS zoals hiervoor, behoort ook het beschouwen van de zogeheten (a) essentiële en (b) beproefde veiligheidsprincipes tot de vereisten voor een BewaBewa- veiligheidsprincipes stemmen overeen met de stand van de techcategorie. De essentiële king Ingangsking signaal I2 O2 worden; vanaf categorie 1 geldt L2beschouwd niek en moeten in principe (vanaf categorie B) I1 O1 L1 IngangsUitgangsUitgangssignaal met de beproefde veiligheidsprincidaarenboven dat ersignaal rekening gehoudensignaal moet worden pes. Dit mag echter niet verwisseld worden met de vereiste om veiligheidstechnisch beproefde onderdelen te gebruiken (dit geldt bijkomend voor cat. 1). Het een en ander wordt Bewaking uitgelegd in de Bijlagen A tot D van EN ISO 13 849-1:2003 (validatie van SRP/CS). Zie ook I2 O2 L2 lexicon, IngangstrefwoordUitgangs“Categorieën”. signaal

signaal

87

• Hardwarebetrouwbaarheid (= MTTFd/Mean Time to dangerous Failure) Korte uitleg: gemiddelde tijd – uitgedrukt in jaren (j) – tot het optreden van een gevaarlijke (toevallige) fout van een SRP/CS kanaal; de individuele MTTFd waarden van de per kanaal gebruikte hardware moeten berekend, opgeteld (via de Parts Count methode) en met de normspecificaties voor “laag”, “gemiddeld” en “hoog” vergeleken worden. MTTFd waarden zijn gebaseerd op fabrikantenspecificaties of op specificaties van geharmoniseerde naslagwerken, bijv. SN 29 500. • Worden bepaald (2): – MTTFd per kanaal als som van de individuele MTTFd van I + L + O en onderver deeld in 3 groepen: ”laag”, “gemiddeld” en “hoog” Classificatie

MTTFd waarde

Laag

3 jaar ≤ MTTFd < 10 jaar

Gemiddeld

10 jaar ≤ MTTFd < 30 jaar

Hoog

30 jaar ≤ MTTFd ≤ 100 jaar

• Simpel gezegd: veiligheidsgerichte (uit de betrouwbaarheid afgeleide) statistische kwaliteit van de hardware. • Voor de berekening van MTTFd waarden gebruikt EN ISO 13 849-1:206 de zogeheten Parts Count Method.

1 = MTTFd

N

S

i=1

1 MTTFd i

OPGELET: MTTFd specificaties doen in feite een statistische uitspraak over de overlevingswaarschijnlijkheid van een grote hoeveelheid van een product (uitspraak is: slechts 37 % “overleeft” tot dit ogenblik. De omgekeerde waarde 1/MTTFd is de uitvalwaarschijnlijkheid per uur, die ook λ- of FIT waarde (voor 10 –9 fouten) genoemd wordt. De achterliggende waarschijnlijkheidsmathematische theorie is de exponentiële verdeling (zie ook Lexicon). MTTFd elektronica

100 Gevaarlijke fouten in %

90

10 jaar

3 jaar

80 70

63%

60

50%

50 40

30 jaar

30 100 jaar

20 10 0

0

2

4

6

10% 1% 8 10 12 14 16 18 20 22 24 26 28 30 Gebruiksduur in jaren

De curven tonen van boven naar beneden de gevaarlijke fouten in % afhankelijk van de MTTFd van de component. Van boven naar beneden: 3 jaar, 10 jaar en 100 jaar. De 63 % lijn, waar de jaren van gebruik gelijk zijn aan de MTTFd, de 50 % en de 10 % lijn worden via een streepjeslijn weergegeven.

88

MTTFd elektronica

Gevaarlijke fouten in %

30

10 jaar

3 jaar

25 20 15

30 jaar 10%

10 100 jaar

5 0

1% 0

1

2 3 Gebruiksduur in jaren

4

5

De curven tonen van boven naar beneden de gevaarlijke uitvallen in % afhankelijk van de MTTFd van de component. Hier wordt een gespreide doorsnede voor de eerste 5 jaren van gebruik getoond. Van boven naar beneden: 3 jaar, 10 jaar, 30 jaar en 100 jaar. De 10 % en de 1 % lijn van de uitvallen worden via een streepjeslijn weergegeven.

• Foutendekking (= DC/Diagnostic Coverage in %) Korte uitleg: waarschijnlijkheidsgebaseerde mate van efficiëntie van de diagnose (→ foutendekking), die de verhouding tussen de opgemerkte gevaarlijke fouten en het totaal aantal gevaarlijke fouten uitdrukt. Deze verhouding is echter ook nog bijkomend met de MTTFd waarde van het desbetreffende onderdeel gewogen. Dit betekent dat onderdelen met een grote MTTFd niet zo hoogwaardig bewaakt moeten worden als onderdelen met een lage MTTFd. 90 % betekent bijvoorbeeld dat met een waarschijnlijkheid van 90 % gevaarlijke fouten (tijdig) ontdekt en 10 % niet (tijdig) ontdekt werden (tijdig = ontdekking voor de zogeheten waarschijnlijkheid van het optreden van een tweede fout). Voorstellen voor het beoordelen van verschillende maatregelen voor I , L en O worden vermeld in Bijlage E van EN ISO 13 849-1:2006; via een bepaalde formule kan een gemiddelde DCavg berekend worden voor een totale SRP/CS (“avg” betekent hierbij “average” = gemiddeld). • Worden bepaald (3): – DCavg van de totale SRP/CS (onderverdeeld in 4 groepen: “geen”, “laag”, “gemid deld”, “hoog”) = het resultaat van de efficiëntie van de individuele DC’s van I , L en O Classificatie

Waardebereik DC

Geen

Laag

60 % ≤ DC < 90 %

Gemiddeld

90 % ≤ DC < 99 %

Hoog

99 % ≤ DC

DC < 60 %

89

Worden bepaald (3) (vervolg): • Simpel gezegd: efficiëntie/betrouwbaarheid van de foutendekkende maatregelen uitgedrukt in procent (DCavg berekening via formule)

DCavg =

DC2 DCS DC1 + + ... + MTTFd1 MTTFd2 MTTFdN 1 1 1 + + ... + MTTFdN MTTFd1 MTTFd2

• Hulpmiddel in EN ISO 13 849-1:2006: zie Bijlage E (volgens EN ISO 13 849-1:2006) DC =

Σ λdd Σ λd

Waarschijnlijke gedetecteerde gevaarlijke fouten Totaalaantal waarschijnlijke gevaarlijke fouten

• Common-Cause-Failure-Management (“CCF”) Korte uitleg: maatregelen tegen het gelijktijdig optreden van fouten van de beide kanalen in een SRP/CS door een globale oorzaak, bijvoorbeeld overbruggen van beide kanalen door een externe invloed, te hoge temperatuur, overspanning door blikseminslag (surge impuls) bij redundante halfgeleideruitgangen, vuile olie bij hydraulica of te veel water in de lucht bij pneumatiek. Met andere woorden: door een enkele oorzaak wordt de meerkanaligheid (typisch de redundantie) opgeheven. EN ISO 13 849-1:2006 bevat in bijlage een tabel met maatregelen tegen Common Cause Failures of fouten met een gemeenschappelijke oorzaak. Iedere maatregel heeft een waarde in punten. Maatregelen met een puntenwaarde van > 65 op 100 bereikbare punten moeten gerealiseerd worden. • Worden bepaald (4): – CCF maatregelen (JA/NEE bepaling, alleen vanaf categorie 2): fout door een gemeenschappelijke oorzaak: fouten van deze eenheden omwille van een enkele gebeurtenis, waarbij deze fouten geen wederzijdse effecten hebben. • Bepaling van de maatregelen in I , L en O O volgens de opzoektabel (op een maximumscore van 100 punten moeten minstens 65 punten behaald worden)

Gemeenschappelijke oorzaak

Fout kanaal 1

Fout kanaal 2

Nr. Maatregel tegen CCF 1 Scheiding/afscheiding Fysieke scheiding tussen de signaalkanalen 2 Diversiteit Gebruik van diverse technologieën/ontwerp- of fysieke principes 3 Ontwerp/toepassing/ervaring 3.1 Beveiliging tegen overspanning, overdruk, overstroom enz. 3.2 Verwendung bewährter Bauteile

Score 15 20

15 5

• Hierbij komen de maatregelen tegen systematische uitvallen en fouten in de SRP/CS. Zie lexicon, trefwoord “Uitvallen (systematische uitvallen)”.

90

Resultaat • Ofwel gebruikt men een resultaatsgrafiek (Afb. 1), waaruit het bereikte PL afgelezen kan worden, ofwel – als het resultaat nauwkeuriger moet zijn – bedient men zich van Bijlage K volgens EN ISO 13849-1:2006 (Afb. 2), waaruit een nauwkeurige numerieke indeling tussen de PFHd en de PL parameters voortvloeit. Resultaatstabel • MTTFd beperking tot 100 j • Afhankelijk van categorie, DC, CCF en MTTFd • Nauwkeurigere indeling (volgens Bijlage K) • Overlappingen kunnen bij nauwkeurige berekening gebruikt worden.

PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d

MTTFd = laag MTTFd = gemiddeld MTTFd = hoog

10 –7 e 10 –8

Categorie B Categorie 1 Categorie 2 Categorie 2 Categorie 3 Categorie 3 Categorie 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog + CCF

Afb. 1: Staafdiagram

Numerieke weergave • Zie EN ISO 13 849-1:2006 Bijlage K

Tabel K.1 – Numerieke weergave van afbeelding 5 (uit EN ISO 13 849-1:2006 [D] – Bijlage K [informatief])

Gemiddelde waarschijnlijkheid van een gevaarlijke fout per uur [1/u] en het bijbehorende Performance Level PL MTTFd voor ieder kanaal Jaren

Cat. B

PL Cat. 1

DCavg = geen

PL Cat. 2

DCavg = geen

PL Cat. 2

DCavg = laag

PL Cat. 3

DCavg = gemiddeld

PL Cat. 3

DCavg = laag

PL Cat. 4

DCavg = gemiddeld

PL

DCavg = hoog

3

3,80 × 10 –5

a

2,58 × 10 –5

a

1,99 × 10 –5

a

1,26 × 10 –5

a

6,09 × 10 –6

b

3,3

3,46 × 10 –5

a

2,33 × 10 –5

a

1,79 × 10 –5

a

1,13 × 10 –5

a

5,41 × 10 –6

b

3,6

3,17 × 10 –5

a

2,13 × 10 –5

a

1,62 × 10 –5

a

1,03 × 10 –5

a

4,86 × 10 –6

b

3,9

2,93 × 10 –5

a

1,95 × 10 –5

a

1,48 × 10 –5

a

9,37 × 10 –6

b

4,40 × 10 –6

b

4,3

2,65 × 10 –5

a

1,76 × 10 –5

a

1,33 × 10 –5

a

8,39 × 10 –6

b

3,89 × 10 –6

b

4,7

2,43 × 10

–5

a

1,60 × 10

–5

a

1,20 × 10

–5

a

7,58 × 10

–6

b

3,48 × 10

–6

b

5,1

2,24 × 10 –5

a

1,47 × 10 –5

a

1,10 × 10 –5

a

6,91 × 10 –6

b

3,15 × 10 –6

b

5,6

2,04 × 10 –5

a

1,33 × 10 –5

a

9,87 × 10 –6

b

6,21 × 10 –6

b

2,80 × 10 –6

c

6,2

1,84 × 10

–5

a

1,19 × 10

–5

a

8,80 × 10

–6

b

5,53 × 10

–6

b

2,47 × 10

–6

c

6,8

1,68 × 10 –5

a

1,08 × 10 –5

a

7,93 × 10 –6

b

4,98 × 10 –6

b

2,20 × 10 –6

c

7,5

1,52 × 10 –5

a

9,75 × 10 –6

b

7,10 × 10 –6

b

4,45 × 10 –6

b

1,95 × 10 –6

c

8,2

1,39 × 10 –5

a

8,87 × 10 –6

b

6,43 × 10 –6

b

4,02 × 10 –6

b

1,74 × 10 –6

c

9,1

1,25 × 10

–5

a

7,94 × 10

–6

b

5,71 × 10

–6

b

3,57 × 10

–6

b

1,53 × 10

–6

c

10

1,14 × 10 –5

a

7,18 × 10 –6

b

5,14 × 10 –6

b

3,21 × 10 –6

b

1,36 × 10 –6

c

11

1,04 × 10 –5

a

6,44 × 10 –6

b

4,53 × 10 –6

b

2,81 × 10 –6

c

1,18 × 10 –6

c

12

9,51 × 10 –6

b

5,84 × 10 –6

b

4,04 × 10 –6

b

2,49 × 10 –6

c

1,04 × 10 –6

c

13

8,78 × 10

–6

b

5,33 × 10

–6

b

3,64 × 10

–6

b

2,23 × 10

–6

c

9,21 × 10

–7

d

15

7,61 × 10 –6

b

4,53 × 10 –6

b

3,01 × 10 –6

b

1,82 × 10 –6

c

7,44 × 10 –7

d

16

7,13 × 10 –6

b

4,21 × 10 –6

b

2,77 × 10 –6

c

1,67 × 10 –6

c

6,78 × 10 –7

d

18

6,34 × 10

–6

b

3,68 × 10

–6

b

2,37 × 10

–6

c

1,41 × 10

–6

c

5,67 × 10

–7

d

20

5,71 × 10 –6

b

3,26 × 10 –6

b

2,06 × 10 –6

c

1,22 × 10 –6

c

4,85 × 10 –7

d

22

5,19 × 10 –6

b

2,93 × 10 –6

c

1,82 × 10 –6

c

1,07 × 10 –6

c

4,21 × 10 –7

d

24

4,76 × 10 –6

b

2,65 × 10 –6

c

1,62 × 10 –6

c

9,47 × 10 –7

d

3,70 × 10 –7

d

27

4,23 × 10

b

2,32 × 10

–6

–6

–7

–7

d

c

1,39 × 10

c

8,04 × 10

d

3,10 × 10

30

3,80 × 10 –6

b

2,06 × 10 –6

c

1,21 × 10 –6

c

6,94 × 10 –7

d

2,65 × 10 –7

d

9,54 × 10 –8

e

33

3,46 × 10 –6

b

1,85 × 10 –6

c

1,08 × 10 –6

c

5,94 × 10 –7

d

2,30 × 10 –7

d

8,57 × 10 –8

e

36

3,17 × 10 –6

b

1,67 × 10 –6

c

9,39 × 10 –7

d

5,16 × 10 –7

d

2,01 × 10 –7

d

7,77 × 10 –8

e

39

2,93 × 10 –6

c

1,53 × 10 –6

c

8,40 × 10 –7

d

4,53 × 10 –7

d

1,78 × 10 –7

d

7,11 × 10 –8

e

43

2,65 × 10 –6

c

1,37 × 10 –6

c

7,34 × 10 –7

d

3,87 × 10 –7

d

1,54 × 10 –7

d

6,37 × 10 –8

e

47

2,43 × 10 –6

c

1,24 × 10 –6

c

6,49 × 10 –7

d

3,35 × 10 –7

d

1,34 × 10 –7

d

5,76 × 10 –8

e

51

2,24 × 10

–6

c

1,13 × 10

–7

d

2,93 × 10

–7

d

1,19 × 10

e

56

2,04 × 10

–6

–7

–7

62

1,84 × 10 –6

68

–6

c

5,80 × 10

c

1,02 × 10

–6

c

5,10 × 10

d

2,52 × 10

c

9,06 × 10 –7

d

4,43 × 10 –7

d

2,13 × 10 –7

1,68 × 10 –6

c

8,17 × 10 –7

d

3,90 × 10 –7

d

75

1,52 × 10

–6

c

7,31 × 10

–7

d

3,40 × 10

–7

82

1,39 × 10 –6

c

6,61 × 10 –7

d

3,01 × 10 –7

91

1,25 × 10 –6

c

5,88 × 10 –7

d

100

1,14 × 10 –6

c

5,28 × 10 –7

d

–6

d

5,26 × 10

–8

d

1,02 × 10

–7

d

4,73 × 10

–8

e

d

8,84 × 10 –8

e

4,22 × 10 –8

e

1,84 × 10 –7

d

7,68 × 10 –8

e

3,80 × 10 –8

e

d

1,57 × 10

–7

d

6,62 × 10

–8

e

3,41 × 10

–8

e

d

1,35 × 10 –7

d

5,79 × 10 –8

e

3,08 × 10 –8

e

2,61 × 10 –7

d

1,14 × 10 –7

d

4,94 × 10 –8

e

2,74 × 10 –8

e

2,29 × 10 –7

d

1,02 × 10 –7

d

4,29 × 10 –8

e

2,47 × 10 –8

e

–7

Afb. 2: Bijlage K van EN ISO 13 849-1:2006

91


• Volgens de norm moet de beoordeling bij voorkeur op basis van de fabrikantenspecificaties gebeuren. • Een PL kan op twee manieren berekend worden: – Een veiligheidsfunctie (de ketting I + L + O ) wordt in blokken (in zinvolle functionele individuele bestanddelen) ontbonden. De blokken worden in verband met de beoordelingsstandpunten – die de PL vormen – geëvalueerd en samenvattend beoordeeld (deels analytisch, deels rekenkundig). Deze manier van oplossen wordt in EN ISO 13 849-1:2006 als blokmethode vermeld en in Bijlage B van de norm uitvoerig beschreven. – Een complete SRP/CS wordt in subsystemen onderverdeeld, die uit functieblokken afgeleid worden. Voor ieder subsysteem wordt een sub-PL berekend en tot een globale PL samengevoegd (zie pagina 45 en volgende). • Sub-PL’s bieden daarbij het voordeel dat een machinebouwer gebruik kan maken van een vereenvoudigde procedure voor het bepalen van de globale PL’s. de globale PL wordt daarbij door de laagste sub-PL bepaald. Bovendien moet de MTTFd waarde overeenstemmen met de classificatie “hoog” of maakt men gebruik van de zogeheten combinatietabel (zie pagina 45 en lexicon, trefwoord “Berekeningen (PL berekeningen)”. • Alles bij elkaar genomen/in hun efficiëntie zijn een PL en een Safety Integrity Level SIL inhoudelijk gelijk. In dit opzicht bestaat er ook een compatibiliteitstabel (bijv. PL “e” = SIL 3 etc.), maar ook verschillende individuele berekeningsvormen.

Waarschijnlijkheid van het optreden van een gevaarlijke uitval per uur EN ISO 13 849-1:2006

PL

10 –4

10 –5

a

SIL IEC 62 061:2005/ IEC 61 508:2001



b

1

3 × 10 –6

10 –6

c

d

2

10 –8

10 –7

e


• OPGELET: de PFHd classificaties zoals hierboven gelden voor een globale PL (of globale SIL). Voor subsystemen mogen alleen aandelen “verbruikt” worden (Aanbeveling: telkens max. 20 % voor I en L , bijgevolg > 60 % voor O ).

92

Lexicon/ Meer informatie over enkele trefwoorden en begrippen

93

A Vergrendelvoorzieningen in combinatie met scheidende veiligheidsvoorzieningen – Basisprincipes voor ontwerp en selectie (www. beuth.de).

(1)

Afronding/afrondingsgrens: • Hiermee wordt bedoeld dat voor een globale PL met niet meer dan 100 j MTTFd gerekend mag worden (om te verhinderen dat men zich alleen via een MTTFd waardebeoordeling “in orde” (dus in hogere PL’s als “c”) stellen kan). In een kanaal kan met hogere waarden dan 100 j MTTFd gerekend worden en – bij langere serieschakelingen – is dit gedeeltelijk ook vereist. • Zie ook opmerking bij de softwaretool SISTEMA op pagina 23.

Amendement 1 aan EN 1088:1996 • De aanvulling Amendement (AMD) 1 aan EN 1088:1996(1) heeft betrekking op vereisten voor het ontwerp met het oog op het minimaliseren van de manipulatiemogelijkheden van vergrendelvoorzieningen. Ondertussen werd AMD 1 in de uitgave EN 1088-10:2008 geïntegreerd. • Daarbij moet er een onderscheid gemaakt worden tussen maatregelen, die manipulatie op eenvoudige wijze verhinderen (zoals tot nu toe) en bijkomende maatregelen die de manipulatie bemoeilijken moeten. In functie van het type vergrendelvoorziening worden verschillende maatregelen voorgesteld, waaruit dan – en dit is eigenlijk het nieuwe element – minstens een gerealiseerd moet worden. • Met betrekking tot componenten met gescheiden bediensleutel behoren, onder andere, tot deze bijkomende maatregelen: – een verdekte inbouw van de component; – de bediensleutel kan niet op eenvoudige wijze losgemaakt worden, bijvoorbeeld door montage met eenwegschroeven, vastnieten, vastlassen, enz.; – de bediensleutel is individueel gecodeerd of – besturingstechnische bewakingsmaatregelen zoals plausibiliteitstest, aanlooptests, enz. worden getroffen. • De ongevallengeschiedenis in aanmerking genomen, moet men de gepaste aandacht schenken aan de nieuwe (uitgebreide) vereisten. Volgens schattingen zou een vierde van alle arbeidsongevallen aan machines in Duitsland te wijten zijn aan gemanipuleerde veiligheidsvoorzieningen. Dit resultaat en nog andere waardevolle informatie en inzichten blijken uit een empirische studie die door de BGIA, de Berufsgenossenschaftliches Institut für Arbeitsschutz BGIA, St. Augustin, in opdracht van enkele beroepsverenigingen (waaronder de metaalsector Metall-BGen) uitgevoerd werd. (Download: www.dguv.de/bgia → Publika tionen → BGIA reports 2005–2006). • Desondanks volstaat de verhoging van de moeilijkheidsgraad voor het manipuleren van veiligheidsvoorzieningen alleen niet. Vaak – en dit blijkt ook uit de bovengenoemde studie – hebben de operatoren objectieve en subjectieve redenen om te manipuleren als zij hun werk willen uitvoeren. In dit opzicht worden de machinebouwers voortaan extra verzocht, hier rekening mee te houden voor wat het veiligheidsconcept van een machine betreft. Zo kunnen zij bijvoorbeeld voor werkzaamheden naast de automatische modus bijkomend evenzo efficiënte als veilige bedrijfsmodi voorzien. Het is echter ook een kwestie van de “veiligheidscultuur” in de bedrijven die de machines gebruiken, om te weten hoe ver het thema “Manipulatie van veiligheidsvoorzieningen” staat.

Architecturen • Definitie volgens de norm (EN 62 061:2005): specifieke configuratie van hard- en softwareelementen in een SRP/CS: SRP/CS architecturen bestaan uit een ingangsniveau I (bestaande uit veiligheidsgerichte sensoren en bedienorganen, het logicaniveau L (met de besturingssignalen voor de actuatoren die de gevaarlijke beweging activeren). Daarnaast behoren ook het aantal kanalen (of de categorie), de interne en eventueel ook de externe testvoorzieningen tot de architectuur.

94

• Voor het bepalen van een (globale) PL of SIL moet de voltallige ketting, d.w.z. de serieschakeling I + L + O , beoordeeld worden. • Een niveau kan daarbij opnieuw het resultaat van een serieschakeling zijn, voor zover deze uit de veiligheidsfunctie voortvloeit.

Sensor detecteren

SRP/CSa

AOPD = Active Optoelectronic Protective Devices = Optoelektronische veiligheidsvoorzieningen

(1)

B

iab

Logica verwerken

SRP/CSb

Actuator schakelen

ilx

SRP/CSc

PL r bzw. SIL

• Onder de noemer “voorziene architecturen” hebben de architecturen een speciale betekenis in EN ISO 13 849-1:2006. Hiermee worden de categorieën aangeduid, zoals ze uit EN 954-1:1996 bekend zijn en in EN ISO 13 849-1:2006 opnieuw bepaald worden. • “Voorziene architecturen” (“designated architectures”) betekent in deze context dat significante afwijkingen hiervan (d.w.z. essentiële afwijkingen van de categorieën) niet toegestaan zijn (uitgezonderd foutuitsluitingen), als men EN ISO 13 849-1:2006 wil gebruiken. In het andere geval moeten zij volgens EN IEC 61 508:2001, EN IEC 62 061:2005 of andere specifieke normen (bijvoorbeeld EN IEC 61 496 voor AOPD’s)(1) beoordeeld worden. In deze context mogen de architecturen echter niet als schakelschema’s, maar als functionele schakelbeelden beschouwd worden. Voor zover men voor de hoofdlijnen en de basisopbouw zich aan de “designated architectures” houdt, maakt het niets uit of men in een kanaal drie of meer of minder blokken (subsystemen) heeft. • De verklaring voor deze beperking ligt in de mathematische waarschijnlijkheidsberekeningen, die bij de uitwerking van EN ISO 13 849-1:2006 op de achtergrond aanwezig waren en die teruggrijpen naar de bekende categorieën. • Zie ook trefwoord “categorieën”

B10d waarden • Definitie volgens de norm: aantal cycli totdat 10 % van de componenten gevaarlijk uitgevallen is (B10d waarden gelden bij voorkeur voor mechanische, fluïdum en elektromechanische componenten). • OPGELET: andere belangrijke eigenschap → T10d waarde! • Met het aantal cycli wordt hierbij het aantal schakelingen tijdens de levensduur bedoeld, d.w.z. de B10d waarde drukt een maximumaantal schakelingen uit en vormt de basis voor de vereiste MTTFd berekeningen bij slijtagegevoelige componenten in een SRP/CS. Hiertoe behoren mechanische componenten en toestellen zoals veren, fluïdum componenten zoals kleppen en elektromechanische schakelcomponenten zoals (externe) relais, positieschakelaars, noodstopbedienorganen, enz. • Dit type componenten vertoont een uitvalgedrag dat door het aantal uitgevoerde schakelingen – en deels ook door de schakellast – bepaald wordt en waarvoor men dus van een (monotoon toenemende) Weibull verdeling uitgaat, omdat de uitvalwaarschijnlijkheid doorheen de tijd varieert. • De formules voor het omrekenen van een B10d waarde naar een MTTFd waarde zijn als volgt:

95

B10d MTTFd = 0,1 × nop

nop =

dop × hop × 3.600

s h

tcycle

dop= gemiddeld aantal bedrijfsdagen per jaar hop = gemiddeld aantal bedrijfsuren per dag

nop:

gemiddeld aantal schakelingen per jaar

tcycle = gemiddelde belasting van de veiligheidsfunctie in s (bijvoorbeeld 4 × per uur = 1 × per 15 min. = 900 s)

• In Bijlage C (Tabel C.1) van EN ISO 13 849-1:2006 worden de B10d waarden vermeld voor de typische slijtagegevoelige onderdelen, waarvoor de bovenstaande formule geldt voor de berekening van de MTTFd waarden per kanaal (als alternatief voor de normwaarden kunnen afwijkende fabrikantspecificaties gebruikt worden). • Uitzonderingen zijn mechanische en hydraulische componenten, waarvoor de berekeningsformule niet gebruikt moet worden. Op basis van de bekende en empirisch bewezen hoge betrouwbaarheid van deze componenten raadt de normgever aan, hiervoor forfaitair 150 j MTTFd per kanaal te nemen (op voorwaarde dat de beproefde veiligheidsprincipes, die in de norm beschreven worden, nageleefd worden). • Een tweede bijzonderheid in Bijlage C vormen de B10d waarden voor naderingsschakelaars, externe relais en relais (op basis van Reed contacten). Voor dit type componenten worden twee B10d waarden opgegeven, namelijk een B10d waarde, als de component met minimale last (= 20 %) gebruikt wordt (B10d = 20.000.000) en een tweede B10d waarde, als de component met maximale last gebruikt wordt (B10d = 400.000). Tussenwaarden mogen gevormd worden, bijvoorbeeld 7.500.000 (bij 40 % last), 2.500.000 (bij 60 % last) of 1.000.000 (bij 80 % last). • Bovendien moet men er rekening mee houden dat voor noodstopbedienorganen en positieschakelaars het gebruik van gedwongen verbrekende contacten volgens EN IEC 60947-5-x verplicht is. Internationale normen, die MTTFd of B10d waarden voor onderdelen bevatten (uittreksel)

Indien foutuitsluiting voor de gedwongen opening mogelijk is

(1)

96

Essentiële en beproefde veiligheidsprincipes volgens ISO 13 849-2:2003

Andere relevante normen

Typische waarden: MTTFd (jaren) B10d (cyclus)

Mechanische componenten

Tabellen A.1 en A.2

–

MTTFd = 150

Hydraulische componenten

Tabellen C.1 en C.2

EN 982

MTTFd = 150

Pneumatische componenten

Tabellen B.1 en B.2

EN 983

B10d = 20.000.000

Relais en hulprelais met lage (mechanische) belasting

Tabellen D.1 en D.2

EN 50 205 IEC 61 810 IEC 60 947

B10d = 20.000.000

Relais en hulprelais met maximale belasting

Tabellen D.1 en D.2

EN 50 205 IEC 61 810 IEC 60 947

B10d = 400.000

Naderingsschakelaars met lage (mechanische) belasting

Tabellen D.1 en D.2

IEC 60 947 EN 1088

B10d = 20.000.000

Naderingsschakelaars met maximale belasting

Tabellen D.1 en D.2

IEC 60 947 EN 1088

B10d = 400.000

Hulprelais met lage (mechanische) belasting

Tabellen D.1 en D.2

IEC 60 947

B10d = 20.000.000

Hulprelais met nominale belasting

Tabellen D.1 en D.2

IEC 60 947

B10d = 2.000.000

Positieschakelaars, lastonafhankelijk(1)

Tabellen D.1 en D.2

IEC 60 947 EN 1088

B10d = 20.000.000

Positieschakelaars (met afzonderlijke bediensleutel, vergrendeling), lastonafhankelijk(1)

Tabellen D.1 en D.2

IEC 60 947 EN 1088

B10d = 2.000.000

Noodstopvoorzieningen, lastonafhankelijk(1)

Tabellen D.1 en D.2

IEC 60 947 ISO 13 850

B10d = 100.000

Noodstopvoorzieningen met maximaal aantal bedieningen(1)

Tabellen D.1 en D.2

IEC 60 947 ISO 13 850

B10d = 100.000

Drukknoppen (bijv. vrijgaveknop)¸lastonafhankelijk(1)

Tabellen D.1 en D.2

IEC 60 947

B10d = 100.000

• De voorwaarde voor het gebruik van de B10d normwaarden zijn de zogeheten Goede Engineering Praktijken (= Good Engineering Practices), waarbij de fabrikant van de onderdelen – het gebruik van de essentiële en beproefde veiligheidsprincipes volgens EN ISO 13849 2:2003 of de desbetreffende productennormen voor de bouw van de component beves tigt en – de geschikte toepassing en de gebruiksvoorwaarden voor de gebruiker beschrijft (tref woord: gebruikshandleiding). • Bovendien met de verantwoordelijke voor de SRP/CS de essentiële en beproefde veiligheidsprincipes volgens EN ISO 13 849-2:2003 naleven voor de implementering en het gebruik van de component. • In samenhang met slijtagegevoelige onderdelen moet er ook nog rekening gehouden worden met een andere bijzonderheid, namelijk de zogeheten T10d waarde als waarde voor het preventieve onderhoud van slijtagegevoelige onderdelen door een tijdige vervanging. • Zowel de B10d als de T10d waardebeoordeling is ongetwijfeld niet volledig probleemloos, omdat niet iedere machinebouwer op voorhand weet aan welke bedrijfsvoorwaarden zijn machine blootgesteld zal worden bij de klant. Eventueel kan men op basis van worst case veronderstellingen inschatten en/of zulke componenten in de SRP/CS integreren, dat de T10d waardebeoordeling altijd tot een ernstige > 20 j leidt (zie Mission time). Hiertoe behoort de beoordeling van het activeringspercentage van de veiligheidsfunctie, bijvoorbeeld dat een noodstopbedienorgaan geen dual use product wordt, dus tegelijkertijd ook dienst doet als operationele stopknop (maar dat hiervoor een bijkomende component voorzien wordt) en de elektrische last, waarmee bepaalde componenten gebruikt worden, maximaal in het gemiddelde bereik ligt. • Van huis uit (vanuit het standpunt van de norm) zijn de B10d- en T10d waarden terecht ruim gedimensioneerd.

Badkuipcurve • Diagram dat de levensduur/het uitvalpercentage voorstelt van (typisch) elektronische componenten, toestellen en systemen met constante uitvalpercentages in fase II. Als fase I (vroegtijdige uitvallen) en fase III (einde van de levensduur) in acht genomen worden, heeft het diagram de vorm van een badkuipachtige curve.

Uitvalpercentage

Vroegtijdige fouten

Fase van constante fouten

Fouten veroorzaakt door slijtage

Werkingsduur

• Zie ook trefwoord “Exponentiële verdeling” en “Uitvalpercentages”. • Typische producten zijn elektronische veiligheidssensoren, optoelektronische veiligheidsvoorzieningen (AOPD’s), veiligheids-PLC’s, veiligheidsbussystemen, enz.

97

• Voor SRP/CS zijn uitvalpercentages met een “badkuipcurve gedrag” echter niet courant bruikbaar, omdat veel componenten, toestellen en systemen uitgerust zijn met technologieën waarvoor het constante uitvalpercentage in fase II niet geldt, bijvoorbeeld fluïdumtechniek, elektromechanica en mechanica. In deze gevallen moet de berekening van de MTTFd waarden door een B10d waardebeoordeling voorafgegaan worden.

Bedradingsniveau • Zie foutuitsluiting “Bedradingsniveau”

Beoordeling van PL en SIL • Zowel EN ISO 13 849-1:2006 als EN IEC 62 061:2005 gebruiken voor het bepalen van PL en SIL bewust de term “beoordeling”, als teken dat het bij de kwantitatieve (probabilistische) vereisten niet op absolute rekenkundige nauwkeurigheden aankomt. Het gaat om de “juiste” grootteorde. • EN ISO 13 849-1:2006 voorziet zelfs bij eenvoudige SRP/CS in het kader van PL “a” tot “c”, dat een kwalitatieve beoordeling volstaat (zie paragraaf 4.5.1). • De reden dat schattingen volstaan, is de vereenvoudigingsgedachte die beide normen nastreven en de deterministische categorie, die net zoals vroeger een belangrijke rol speelt. Daarbij komt nog dat juist toevallige fouten, waarop de kwantitatieve (probabilistische) maatregelen zich voornamelijk richten, in de praktijk slechts 10 tot 15 % van de ongevallengeschiedenis in de machinebouw uitmaken. Volgens andere schattingen zou dit aandeel zelfs nog lager liggen.

Berekeningen (PL berekeningen • Er zijn twee fundamenteel verschillende methodes om een Performance Level PL volgens EN ISO 13 849-1:2006 te berekenen (schatten): – Methode 1 is de discrete beoordeling, d.w.z. de onderdelen van de machinebesturing met een veiligheidsfunctie worden bepaald (geïdentificeerd) en volgens de blokmethode in een blokdiagram gestructureerd (zie voorbeeld).

+

+

+

L

SW1B B2

K1

B1 Ingangen

B2

PLC

K1

SPS

FU

Uitgangen

Werkingsstop Vrijgave regelaar

G1 n

98

FU

M

G1

– Voor ieder individueel blok wordt de MTTFd, DC en CCF bijdrage berekend en – aan de hand van bepaalde formules en opzoektabellen – in de diverse totaalwaarden samenge vat. Dit wordt gevolgd door een slotbeoordeling met verwijzing naar de afbeelding “Ver band tussen de categorieën, DCavg, MTTFd van ieder kanaal en het PL” van de norm EN ISO 13 849-1:2006 (zie staafdiagram elders). – In EN ISO 13 849-1:2006 wordt deze methode ook blokmethode genoemd; zij wordt in Bijlage B uitvoerig beschreven. Een voorbeeld uit de norm wordt in de brochure op pagina 131 en volgende beschreven. – Methode 2 is de beoordeling van subsystemen, waarvoor reeds een Performance Level (sub-PL) voorzien of berekend werd en het gebruik van de zogeheten combinatie tabel. Doorslaggevend voor de globale PL is in feite de laagste sub-PL (“a” < “b” < “c” < “d” < “e”) en diens aantal (zie afbeelding, d.w.z. tot een bepaald aantal PLlow blijft de globale PL onveranderd of vanaf een bepaald aantal PLlow vindt – op basis van de optel ling van “restrisico’s/waarschijnlijke restfouten” – een downgrading met een niveau plaats (zie voorbeeld van de norm). Het downgraden is echter niet vereist, als (in het kader van een eenvoudige bijkomende berekening) de optelling van de individuele MTTFd in de SRP/ CS tot een totaalwaarde “hoog” (> 30 j) of een overeenkomstige PFHd waarde leidt. Berekening van de PL bij serieschakeling van SRP/CS PL PLlaag Nlaag ➔ > 3 Geen, niet toegestaan ➔ a ≤ 3 a ➔ > 2 a ➔ b ≤ 2 b ➔ > 2 b ➔ c ≤ 2 c ➔ > 3 c ➔ d ≤ 3 d ➔ > 3 d ➔ e ≤ 3 e ➔ • EN IEC 62 061:2005 voorziet een gelijkaardige methode (hier werkt men echter met SILsubsystemen). • Zie ook pagina 45 en volgende van de brochure.

Betrouwbaarheidstechnologie (betrouwbaarheidsengineering) • De betrouwbaarheid is een eigenschap die door een statistisch meetbare grootte op basis van geobserveerde uitvalfrequenties empirisch of met behulp van de waarschijnlijkheidberekening ingeschat kan worden. • PL- en SIL-beoordelingen behoren in ruimere zin tot de wetenschap van de betrouwbaarheidstechnologie (of de betrouwbaarheidsengineering). • De eerste toepassingen van de betrouwbaarheidstechnologie waren – net als vaak ook andere toepassingen – van militaire aard (gevolgd door andere toepassingen). • Het onderzoeksdomein van de betrouwbaarheidstechnologie houdt zich bezig met de betrouwbaarheid van onderdelen en systemen, alsook met methodes voor de betrouwbaarheidsanalyse en –garantie. Het ontwikkelen van betrouwbaarheidsdatabanken houdt hier ook verband mee. Het onderzoek omvat methodes voor het plannen van de testen en de statistische evaluatie van uitvalgegevens en levensduurtesten. Andere thema’s zijn de waarheidsgetrouwe modellering van complexe technische systemen en de simulatie van de betrouwbaarheid en beschikbaarheid in vroege fasen van de ontwikkeling. Er worden berekeningen voor de levensduur van het systeem en voor het bepalen van lastcollectieven uitgevoerd. Een toepassingsgebied is het uitvoeren van FMEA’s en het opstellen van begeleidende documentatie tijdens het ontwikkelingsproces. 99

1940 Lucht- en ruimtevaartechniek (Luftwaffe “V1”) 1945 Activiteiten overwegend in de VS 1950

1955 Elektr. componententechniek Meet- en regeltechniek

1960

1965

Tijdas

Verkeerstechniek (luchtvaart)

Communicatietechnologie (post & algemeen)

Verkeerstechniek (marine, landmacht)

Verkeerstechniek

Computertechnologie

Energietechnologie (elektrische voeding)

Veiligheidstechnologie (algemeen)

1970

Voertuig- en transporttechnologie (vervoer over de weg) 1975

Transport- en verkeerstechnologie (algemeen) 1980

Kerntechnologie

Welstandstechnologie (aanvoer/afvoer) Computertechnologie

Zware industrie Procestechnologie Bouwtechnologie (algemeen)

Productietechniek (algemeen) Procestechnologie (algemeen)

• De methodes en begrippen van de betrouwbaarheidstechnologie worden vandaag de dag gedetailleerd beschreven in de nationale en internationale normen en risicostandaards en gelden in principe voor alle technische producten en systemen. • Safety Integrity Levels grijpen terug naar de norm IEC 1508 (nu EN IEC 61 508-1/-7:2001), waarvoor het initiatief genomen werd na het ongeluk met gifgas in Seveso. In dit opzicht golden de eerste toepassingen van de norm dan ook voor de chemie en de procestechnologie en pas later voor andere domeinen, waarbij de machinebouw met de normen EN IEC 62 061:2005 en EN ISO 13 849-1:2006 de hekkensluiter vormt.

BGIA • Het BGIA – Beroepsorganisatie voor Arbeidsbescherming van de Duitse Wettelijke Ongevallenverzekering – is een onderzoeks- en testinstituut van de wettelijke ongevallenverzekeraar in Duitsland. De zetel van het instituut bevindt zich in St. Augustin bij Bonn. • Het BGIA ondersteunt de wettelijke ongevallenverzekeraar in Duitsland en hun instituten bij natuurwetenschappelijke en technische kwesties betreffende de arbeids- en gezondheidsbescherming door: – Onderzoek, ontwikkeling en analyse – Testen van producten en stof-/materiaalmonsters – Meting en voorlichting van bedrijven – Participatie in standaardisatie en regelgevingorganen – Ter beschikking stellen van vakinformatie en deskundige kennis. • Bovendien voert het BGIA de volgende activiteiten uit voor fabrikanten en firma’s – Testen en certificeren van producten – Certificeren van systemen voor kwaliteitsbeheer

100

BGIA draaischijf • Door het BGIA uitgegeven hulpmiddel dat het verband tussen PL en PFHd enerzijds en MTTFd, DC en CCF anderzijds aantoont. In wezen is het een weergave van Bijlage K uit EN ISO 13 849-1:2006.

PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6

Cat. 4, DC hoog 9,54 × 10–8

➊

➋

PL e 30

c

➊

10 –6 d 10 –7 e 10 –8

Categorie B Categorie 1 Categorie 2 Categorie 2 Categorie 3 Categorie 3 Categorie Kategorie 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog hoch + CCF

BGIA rapport 2/08 • Dit rapport met de titel “Functionele Veiligheid van Machinebesturingen – Gebruik van DIN EN ISO 13 849“ dient voor een beter begrip van EN ISO 13 849-1:2006. • De uitgever van het rapport is het Instituut voor Arbeidsveiligheid BGIA van de Duitse Wettelijke Ongevallenverzekering (DGUV), St. Augustin; het rapport kan op www.dguv.de gedownload worden of bij BGIA (of bij ons) in papiervorm aangevraagd worden. • Het rapport beslaat 260 bladzijden en is als volgt onderverdeeld: – Voorwoord – Inleiding – Overzicht van het rapport en de norm – Veiligheidsfuncties en hun bijdrage aan de risico vermindering – Ontwerp van veilige besturingen – Verificatie en validatie – Schakelvoorbeelden voor SRP/CS – Literatuur + 10 bijlagen. • 37 schakelvoorbeelden worden op de voorgrond geplaatst, ook al zijn dit geen “kant-en-klare recepten” • Zie ook pagina 73 en volgende.

Bijkomende bewakingsschakelaar • Zie pagina 29.

Bijlage E • Schatting van de Diagnostic Coverage (DC) voor functies en module • Zie trefwoord “Foutendekking” en pagina 32 en pagina 68 en volgende

Bijlage G (volgens EN ISO 13849-1:2006) • Maatregelen tegen systematische uitvallen behoren tot de belangrijkste maatregelen om de veiligheid van SRP/CS te garanderen. Onvolmaaktheden en tekortkomingen op dit vlak kunnen nauwelijks door andere maatregelen gecompenseerd worden.

101

EN ISO 13849-1:2006 (D)

Anhang G (informativ) Systematischer Ausfall G.1 Allgemeines Die ISO 13849-2 liefert eine umfassende Liste mit Maßnahmen gegen den systematischen Ausfall, die angewendet werden sollten, wie grundlegende Sicherheitsprinzipien und bewährte Sicherheitsprinzipien.

G.2 Maßnahmen zur Beherrschung systematischer Ausfälle Die folgenden Maßnahmen sollten angewendet werden: – Anwendung der Energieabschaltung (siehe ISO 13849-2) Die sicherheitsbezogenen Teile der Steuerung (SRP/CS) sollten so gestaltet werden, dass mit Verlust der elektrischen Versorgung der sichere Zustand der Maschine erreicht oder aufrechterhalten werden kann. – Maßnahmen, um die Auswirkungen von Spannungsausfall, Spannungsschwankungen, Überspannung und Unterspannung zu beherrschen. Das Verhalten der SRP/CS als Reaktion aufgrund der Bedingungen von Spannungsausfall, Spannungsschwankungen, Überspannung und Unterspannung sollten vorher bestimmt werden, sodass die SRP/CS den sicheren Zustand der Maschine erreichen oder aufrechterhalten kann (siehe auch IEC 60204-1 und IEC 61508-7-2000, A 8) – Maßnahmen, um die Wirkungen physikalischer Umgebungsbedingungen (z. B. Temperatur, Feuchte, Wasser, Vibration, Staub, korrosive Substanzen, elektromagnetische Beeinflussung und deren Wirkungen) zu beherrschen oder zu verhindern. Das Verhalten der SRP/CS als Reaktion auf die Wirkungen der physikalischen Umgebungsbedingungen sollte vorher bestimmt werden, sodass die SRP/CS den si-

• In dit opzicht worden maatregelen ter vermijding en ter beheersing van systematische uitvallen in Bijlage G van EN ISO 13 849-1:2006 nog eens bijkomend – echter niet normatief, maar uitsluitend informatief – beschouwd. • “Bijkomend beschouwd” betekent dat de normen EN 954-1:1996 (ISO 13 849-1:1999) en vooral EN ISO 13 849-2:2003 (oorspronkelijk bedoeld als EN 954-2) toepassingsgerichte vereisten omvatten, die door Bijlage G doorgetrokken en verbeterd worden. • EN IEC 62 061:2005 bevat dezelfde beschouwingen omtrent dit thema. • Bijlage G wordt in 4 groepen onderverdeeld: Groep G.1 is uitsluitend een kruisverwijzing naar de uitgebreide beschouwingen van EN ISO 13 849-2:2003 (zie hierboven). Groep G.2 betreft maatregelen ter beheersing van systematische uitvallen, G.3 maatregelen ter vermijding van systematische uitvallen en G.4 maatregelen ter vermijding van systematische uitvallen tijdens de integratie in een SRP/CS.

Bijlage K (volgens EN ISO 13 849-1:2006) • Bijlage K heeft twee verschillende doeleinden: – In de eerste plaats zijn de overlappingszones van het staafdiagram hier duidelijker voor gesteld, bijvoorbeeld vanaf welke MTTFd waarde een PL “e” ook met een architectuur volgens categorie 3 en een gemiddelde foutendekking (Diagnostic Coverage) bereikt wordt (vanaf 62 jaar) enz. Ter verduidelijking: zie uittreksel uit de tabel hieronder. – Bijlage K laat bovendien toe te bepalen welke gemiddelde waarschijnlijkheid van een gevaarlijke uitval per uur (anders gezegd welke PFHd waarden, die typisch zijn voor EN IEC 61 508:2001 en EN IEC 62 061:2005) met een bepaalde configuratie overeenstemt. Bijvoorbeeld, een PL “d” met een architectuur volgens categorie 3, een kanaal MTTFd waarde van 56 jaar en een gemiddelde foutendekking stemt overeen met een PFHd waarde van 1,03 × 10 –7/h. • De PFHd waarde vormt praktisch gezien het verbindend element met EN IEC 61 508:2001 of EN IEC 62 061:2005, omdat deze normen de restuitvalwaarschijnlijkheid van een SRP/ CS in deze eenheid uitdrukken. Men kan ook zeggen dat Bijlage K het peterschap van EN IEC 61 508:2001 bij de uitwerking van EN ISO 13 849-1:2006 het duidelijkst weerspiegelt. De PFHd waarde is echter geen louter probabilistische beoordeling. 102

Omdat CCF maatregelen vanaf categorie 2 verplicht zijn, worden zij in Bijlage K niet met naam genoemd, maar als gegeven beschouwd.

(1)

Tabel K.1 – Numerieke weergave van afbeelding 5 (uit EN ISO 13 8 49-1:2006 [D] – Bijlage K [informatief])

MTTFd voor ieder kanaal Jaren 3 3,3 3,6 3,9 4,3 4,7 5,1 5,6 6,2 6,8 7,5 8,2 9,1 10 11 12 13 15 16 18 20 22 24 27 30 33 36

Gemiddelde waarschijnlijkheid van een gevaarlijke fout per uur [1/u] en het bijbehorende Performance Level PL Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4

DCavg = geen 3,80 × 10 –5 3,46 × 10 –5 3,17 × 10 –5 2,93 × 10 –5 2,65 × 10 –5 2,43 × 10 –5 2,24 × 10 –5 2,04 × 10 –5 1,84 × 10 –5 1,68 × 10 –5 1,52 × 10 –5 1,39 × 10 –5 1,25 × 10 –5 1,14 × 10 –5 1,04 × 10 –5 9,51 × 10 –6 8,78 × 10 –6 7,61 × 10 –6 7,13 × 10 –6 6,34 × 10 –6 5,71 × 10 –6 5,19 × 10 –6 4,76 × 10 –6 4,23 × 10 –6

DCavg = geen a a a a a a a a a a a a a a a b b b b b b b b b 3,80 × 10 –6 b 3,46 × 10 –6 b 3,17 × 10 –6 b

DCavg = laag 2,58 × 10 –5 2,33 × 10 –5 2,13 × 10 –5 1,95 × 10 –5 1,76 × 10 –5 1,60 × 10 –5 1,47 × 10 –5 1,33 × 10 –5 1,19 × 10 –5 1,08 × 10 –5 9,75 × 10 –6 8,87 × 10 –6 7,94 × 10 –6 7,18 × 10 –6 6,44 × 10 –6 5,84 × 10 –6 5,33 × 10 –6 4,53 × 10 –6 4,21 × 10 –6 3,68 × 10 –6 3,26 × 10 –6 2,93 × 10 –6 2,65 × 10 –6 2,32 × 10 –6 2,06 × 10 –6 1,85 × 10 –6 1,67 × 10 –6

a a a a a a a a a a b b b b b b b b b b b c c c c c c

DCavg = gemiddeld 1,99 × 10 –5 1,79 × 10 –5 1,62 × 10 –5 1,48 × 10 –5 1,33 × 10 –5 1,20 × 10 –5 1,10 × 10 –5 9,87 × 10 –6 8,80 × 10 –6 7,93 × 10 –6 7,10 × 10 –6 6,43 × 10 –6 5,71 × 10 –6 5,14 × 10 –6 4,53 × 10 –6 4,04 × 10 –6 3,64 × 10 –6 3,01 × 10 –6 2,77 × 10 –6 2,37 × 10 –6 2,06 × 10 –6 1,82 × 10 –6 1,62 × 10 –6 1,39 × 10 –6 1,21 × 10 –6 1,08 × 10 –6 9,39 × 10 –7

a a a a a a a b b b b b b b b b b b c c c c c c c c d

DCavg = laag 1,26 × 10 –5 1,13 × 10 –5 1,03 × 10 –5 9,37 × 10 –6 8,39 × 10 –6 7,58 × 10 –6 6,91 × 10 –6 6,21 × 10 –6 5,53 × 10 –6 4,98 × 10 –6 4,45 × 10 –6 4,02 × 10 –6 3,57 × 10 –6 3,21 × 10 –6 2,81 × 10 –6 2,49 × 10 –6 2,23 × 10 –6 1,82 × 10 –6 1,67 × 10 –6 1,41 × 10 –6 1,22 × 10 –6 1,07 × 10 –6 9,47 × 10 –7 8,04 × 10 –7 6,94 × 10 –7 5,94 × 10 –7 5,16 × 10 –7

a a a b b b b b b b b b b b c c c c c c c c d d d d d

DCavg = gemiddeld 6,09 × 10 –6 5,41 × 10 –6 4,86 × 10 –6 4,40 × 10 –6 3,89 × 10 –6 3,48 × 10 –6 3,15 × 10 –6 2,80 × 10 –6 2,47 × 10 –6 2,20 × 10 –6 1,95 × 10 –6 1,74 × 10 –6 1,53 × 10 –6 1,36 × 10 –6 1,18 × 10 –6 1,04 × 10 –6 9,21 × 10 –7 7,44 × 10 –7 6,78 × 10 –7 5,67 × 10 –7 4,85 × 10 –7 4,21 × 10 –7 3,70 × 10 –7 3,10 × 10 –7 2,65 × 10 –7 2,30 × 10 –7 2,01 × 10 –7

PL

DCavg = laag b b b b b b b c c c c c c c c c d d d d d d d d d d d

9,54 × 10 –8 e 8,57 × 10 –8 e 7,77 × 10 –8 e

• Aan de basis van de tabel van Bijlage K liggen uitvoerige berekeningen met behulp van Markov modellen, die in het kader van de uitwerking van de norm door het Institut für Arbeitsschutz (BGIA) van de Deutschen Gesetzlichen Unfallversicherung, St. Augustin uitgevoerd werden. • Het telwerk van Bijlage K eindigt jammer genoeg met een MTTFd waarde van 100 jaar per kanaal, hoewel voor beoordelingen in een kanaal de omrekening van “hogere” waarden soms ook wenselijk zou zijn. Deze waarden kunnen echter op eenvoudige wijze via een logaritmische berekening berekend worden. Volgens het BGIA rapport 2/08 kan sterk vereenvoudigd (en ook uitsluitend in deze richting toegelaten) een blok MTTFd waarde berekend worden op basis van een PFHd en de vorming van de omgekeerde waarde. Bijvoorbeeld: 1/PFHd : 8.760 = blok MTTFd (bij hogere PL’s of SIL’s gewoonlijk meerdere 100 j). • Ondertussen bestaat er een officieuze aanvulling van de getallen van Bijlage K (zogeheten ondersteunende waarden), maar deze hebben uitsluitend betrekking op architecturen volgens categorie 4. Het gebruik van deze getallen is alleen compatibel met EN ISO 13 8491:2006 bij subsystemen (om meerdere in serie te kunnen schakelen. De beperking van een totale SRP/CS tot 1 × 10 –8 wordt hierdoor niet aangetast. • Voor andere architecturen blijft – indien dit nodig is – het advies van de voorzichtige omrekening met inachtneming van de dubbele logaritmische maatstaf of het gebruik van de hulpgrootheden MTTFd en blok MTTFd behouden. • Hieronder de getallen (bij categorie 4, DC “hoog” en CCF > 65 punten): MTTFd (j) = PFHd (per uur) 100 = 2,47 × 10–8 110 = 2,23 × 10–8 120 = 2,03 × 10–8 130 = 1,87 × 10–8 150 = 1,61 × 10–8 160 = 1,50 × 10–8 180 = 1,33 × 10–8 200 = 1,19 × 10–8 220 = 1,08 × 10–8

240 = 9,81 × 10–9 270 = 8,67 × 10–9 300 = 7,76 × 10–9 330 = 7,04 × 10–9 360 = 6,44 × 10–9 390 = 5,94 × 10–9 430 = 5,38 × 10–9 470 = 4,91 × 10–9 510 = 4,52 × 10–9

560 = 4,11 × 10–9 620 = 3,70 × 10–9 680 = 3,37 × 10–9 750 = 3,05 × 10–9 820 = 2,79 × 10–9 910 = 2,51 × 10–9 1.000 = 2,27 × 10–9 1.100 = 2,07 × 10–9 1.200 = 1,90 × 10–9

1.300 = 1,75 × 10–9 1.500 = 1,51 × 10–9 1.600 = 1,42 × 10–9 1.800 = 1,26 × 10–9 2.000 = 1,13 × 10–9 2.200 = 1,03 × 10–9 2.300 = 9,85 × 10–10 2.400 = 9,44 × 10–10 2.500 = 9,06 × 10–10 103

C

(Type-) C-normen • Deze normen hebben betrekking op de concrete veiligheidstechnische vereisten voor de individuele machinetypes (werktuigmachines, CNC bewerkingscentrum, verpakkingsmachines, enz.), moeten op de nieuwe normensituatie afgestemd worden. Als hier categorieën vastgelegd zijn voor het uitvoeren van bepaalde veiligheidsfuncties, moet de normenopsteller deze omzetten naar het vereiste Performance Level (= PLr). • Rekening houdend met het feit dat er intussen meer dan 100 C-normen bestaan, is het een utopie dat dit op zeer korte termijn (in de komende maanden) gebeuren kan. In dit opzicht moet de verantwoordelijke voor de SRP/CS eerst zelf de omzetting van categorie → PLr uitvoeren. Mogelijk zorgt het in voege treden van de nieuwe Europese Machinerichtlijn 2006/42/EG hier voor een versnelling van dit proces. • De omzetting van categorie → PLr kan gedeeltelijk schematisch gebeuren, maar anderzijds moeten ook de risicoparameters S, F en P (zie trefwoord “Risicograaf” volgens EN ISO 13 849-1:2006) daar geraadpleegd worden, waar de huidige risicograaf twee alternatief bruikbare categorieën oplevert. • Voortaan komen dergelijke dubbelzinnigheden niet meer voor. • Het zou ook denkbaar zijn dat enkele opstellers van C-normen naast de bepaling van een PLr bijkomend ook nog een categorie vereisen, omdat zij er niet mee akkoord gaan dat de tot nu toe gebruikte 2-kanalige structuren in de toekomst door 1-kanalige structuren met overeenkomstig hoge MTTFd en/of DC waarden vervangen mogen worden. • (Type-) C-normen vormen in de normenmatrix voor de machineveiligheid – boven de niveaus van de zogeheten A- en B-normen – een eigen niveau. (Type-) A-normen definiëren daarbij de essentiële vereisten voor de machineveiligheid (ontwerpprincipes, risicobeoordeling, enz. Subgroep B1 van de (type-) B-normen heeft bijkomend betrekking op de verschillende veiligheidsaspecten (veiligheidsafstanden, afmetingen, enz.) en in subgroep B2 worden de vereisten voor de veiligheidsvoorzieningen (vergrendelvoorzieningen, AOPD’s, enz.) besproken.

Categorieën • Terminologie van EN 954-1:1996, worden voortaan (in EN ISO 13 849-1:2006) “designated architectures” genoemd. Zij hebben betrekking op de veiligheidstechnische vereisten voor een SRP/CS ongeacht de technologie en worden in 5 niveaus (in de categorieën B, 1, 2, 3 en 4) ingedeeld. De indelingen gaan van eenvoudige tot uitgebreide vereisten, zoals bijvoorbeeld 1-foutenveiligheid/redundantie en zelfbewaking. • Naast de architectuurvereisten behoort ook de beoordeling van de zogeheten veiligheidsbasisprincipes (vanaf categorie B) tot de vereisten voor de categorieën en verder (vanaf categorie 1) ook de inachtneming van de zogeheten beproefde veiligheidsprincipes. Dit mag niet verwisseld worden met de vereiste dat veiligheidstechnisch beproefde componenten gebruikt moeten worden (geldt uitsluitend voor categorie 1). Meer duidelijkheid over dit alles wordt geboden in de informatieve bijlagen A tot D van EN ISO 13 849-1:2006 (validatie van SRP/CS). • Categorieën weerspiegelen de bestendigheid van een SRP/CS tegen uitvallen en het gedrag in geval van een fout. • In de volgende tabel (zie pagina 105) worden de vereisten voor de 5 categorieën afzonderlijk kort samengevat.

Categorieën/Categorie 2 • We gaan hier niet in detail in op de vereisten en de inhoud van de categorieën, omdat deze genoegzaam bekend zijn uit de EN 954-1:1996. Een overzicht vindt u onder het trefwoord “categorieën”. • Een uitzondering hierop vormt de opmerking dat in het kader van EN ISO 13 849-1:2006 de vereisten voor categorie 2 verhoogd zijn. Praktisch gesproken gaat het voortaan om een soort “light” versie van categorie 3.

104

Cat.(1) Korte samenvatting van de vereisten

Systeemgedrag(2)

Principes om de veiligheid te bereiken

B

De onderdelen van besturingssystemen met een veilig- Het optreden van een fout kan heidsfunctie en/of hun veiligheidsvoorzieningen en hun tot het verlies van de veiligheidscomponenten moeten conform aan de van toepassing functie leiden. zijnde normen zo ontworpen, gekozen, samengesteld en gecombineerd worden, dat zij aan de te voorziene invloeden kunnen weerstaan.

1

De vereisten van B moeten vervuld zijn.

2

De vereisten van B en het gebruik van beproefde veilig- • Het optreden van een fout heidsprincipes moeten vervuld zijn. kan tot het verlies van de veiligheidsfunctie leiden in de De veiligheidsfunctie moet op regelmatige tijdstippen periode tussen twee controledoor de machinebesturing gecontroleerd worden. tijdstippen.

Overwegend gekenmerkt door de keuze van de componenten

Het optreden van een fout kan tot het verlies van de veiligBeproefde componenten en beproefde veiligheidsprinheidsfunctie leiden, maar de cipes moeten toegepast worden. waarschijnlijkheid dat deze zich voordoet is kleiner dan in categorie B. Overwegend gekenmerkt door de structuur

• Het verlies van de veiligheidsfunctie wordt door de controle gedetecteerd. De vereisten van B en het gebruik van beproefde veilig- • In geval van een enkele fout heidsprincipes moeten vervuld zijn. blijft de veiligheidsfunctie altijd behouden. Onderdelen met een veiligheidsfunctie zijn zo ontworpen, dat: • Enkele, maar niet alle fouten • een fout in ieder van deze onderdelen niet tot het worden gedetecteerd. verlies van de veiligheidsfunctie leidt, en • Een accumulatie van niet• als dit op een passende manier uitgevoerd kan worgedetecteerde fouten kan tot den, de individuele fout gedetecteerd wordt. het verlies van de veiligheidsfunctie leiden.

Overwegend gekenmerkt door de structuur

4

De vereisten van B en het gebruik van beproefde veilig- • Als er zich fouten voordoen, heidsprincipes moeten vervuld zijn. blijft de veiligheidsfunctie altijd behouden. Onderdelen met een veiligheidsfunctie moeten zo ontworpen zijn, dat: • De fouten worden tijdig • het optreden van een enkele fout niet tot het verlies gedetecteerd om verlies te van de veiligheidsfunctie leidt, en verhinderen. • de enkele fout bij of voor de volgende activering van de veiligheidsfunctie gedetecteerd wordt, of, als dit niet mogelijk is, een accumulatie van fouten niet tot het verlies van de veiligheidsfunctie leidt.

Overwegend gekenmerkt door de structuur

(1)

Ingangs-

Uitgangs-

Monitoring

Monitoring

signaal signaal • Achtergrond: omdat de veiligheidsfunctie in categorie 2 tussen de tests O door ongemerkt O L kan uitvallen, is de testfrequentie een kritieke parameter. Daarnaast kan de testvoorziening zelf vroeger uitvallen dan het functiekanaal. Daarom stelt men voor de kwantificering voorop: Bewaking Bewaking – dat de MTTFd waarde van de testvoorziening TE niet kleiner IngangsUitgangssignaal signaal is dan de helft van de MTTFd van de logica L en I O L – de testfrequentie minstens honderdmaal hoger ligt dan de 2 uit gemiddelde activeringsfrequentie van de veiligheidsvoorzieschakelkanaal ning of dan de gevaarlijke uitvalfrequentie. TE OTE of sig– Hierbij komt nog de vereiste van een tweede uitschakelnaalkanaal kanaal (via de testvoorziening). • Vooral de geëiste verhouding van 1:100 voor de activerings- en testfrequentie is voor strucBewaturen van categorie 2 met elektromechanische technologie (zonder eigenIngangstestintelligentie) king signaal O1 L1 2 strenger een nauwelijks oplosbare opgave. De reden waarom de vereisten voorI1categorie Uitgangsgeworden zijn, is dat het voortaan – in combinatie met een MTTFd waarde “hoog” signaal en een DC “gemiddeld” – mogelijk is een Performance Level “d” te behalen. Voor dit kritieke niveau Bewamoeten wij onze klanten aanraden andere ontwerpmogelijkheden te overwegen. Als kingwij I2 O2 L2 mettertijd nieuwe ontwerpmogelijkheden ontdekken, zullen wij u hierover inlichten. de

Gekruiste bewaking

Het is niet de bedoeling dat de categorieën in een bepaalde opgegeven volgorde of hiërarchische rangschikking met betrekking tot de veiligheidsvereisten gebruikt worden. (2) De risicobeoordeling zal uitwijzen of het volledige of gedeeltelijke verlies van de veilig heidsfunctie(s) door fouten aanvaardbaar is.

3

Ingangssignaal

Uitgangssignaal

105

• Tot PL “e” volstaat daarentegen een MTTFd waarde “hoog” en een architectuur van categorie 1 (1-kanalig, echter gerealiseerd met veiligheidstechnisch beproefde componenten. Dit betekent dat voor de typische gemiddelde risicogebieden (dit is PL “c”) de elektromechanische techniek zoals voorheen gebruikt mag worden. In dit opzicht is er in vergelijking met de huidige stand van de veiligheidstechnologie – ondanks de strenger geworden vereisten voor categorie 2 – geen beduidend verschil.

CCF (Common Cause Failure, fouten met een gemeenschappelijke oorzaak), CCF maatregelen, CCF management • Definitie volgens de norm (EN ISO 13 849-1:2006): uitvallen van verschillende eenheden omwille van een enkele gebeurtenis, waarbij deze uitvallen niet op tegenstrijdige oorzaken berusten (mogen niet verwisseld worden met gelijkaardige uitvallen). • Aan de basis van de CCF ligt een zeer speciale foutenbeoordeling, die tot doel heeft voldoende maatregelen te treffen tegen fouten die tegelijkertijd op meer dan een SRP/CS kanaal inwerken en op die manier de veiligheidsfunctie van een systeem ondanks de meerkanaligheid onwerkzaam kunnen maken. • In de terminologie van de normen EN IEC 62 061:2005 en EN IEC 61 508:2001 wordt CCF ook wel β factor genoemd. Op andere plaatsen worden deze speciale uitvallen ook “Common mode uitvallen” (“Common-Mode-Failures”) genoemd.

Gemeenschappelijke oorzaak

Uitval kanaal 1

Uitval kanaal 2

• Een typisch voorbeeld voor CCF’s zijn invloeden van elektromagnetische stralen, bijvoorbeeld een blikseminslag (overspanning of “surge” effect) op de redundant uitgevoerde halfgeleideruitgangen berooft beide kanalen tegelijk van hun uitschakelvermogen. Een ander voorbeeld zijn ontbrekende filtermaatregelen bij fluïdumtechnologie of fouten die te wijten zijn aan klimatologische invloeden, bijvoorbeeld luchtvochtigheid. • EN ISO 13 849-1:2006 vermeldt in tabel F.1 courante CCF maatregelen (zie afbeelding hieronder) en kent punten toe aan iedere maatregel. Is het resultaat van de optelling van de punten voor de getroffen maatregelen hoger dan 65 punten (met een maximum van 100), gaat EN ISO 13 849-1:2006 er van uit dat er voldoende maatregelen tegen CCF risico’s getroffen zijn, d.w.z. het punt “CCF management” kan aangevinkt worden. • Vanaf categorie 2 moeten altijd voldoende en afdoende CCF maatregelen gegarandeerd zijn. • Uit de tabel (zie pagina 107) blijkt dat het bij eenvoudige individuele toestellen slechts voorwaardelijk mogelijk is de CCF punten op voorhand volledig te bepalen, omdat vooral de beoordelingseenheden 1 en 2 tot de ontwerpspeelruimte van onze klanten behoren. De beoordelingseenheden 3 en volgende daarentegen zijn uitsluitend constructieafhankelijk en componentspecifiek en zorgen bij eenvoudige individuele componenten al voor de vereiste minimumscore van 65 punten.

CCF management/maatregelen (tegen fouten met een gemeenschappelijke oorzaak) • Zie hiervoor!

106

Methode voor het berekenen van de score en de kwantificering van de maatregelen ter voorkoming van fouten met een gemeenschappelijke oorzaak CCF Nr. Maatregel ter voorkoming van CCF 1

Score

Scheiding/Afscheiding Fysieke scheiding van de signaalkanalen

2

15

Diversiteit Gebruik van diverse technologieën/ontwerp of fysische principes

3

20

Ontwerp/gebruik/ervaring

3.1 Beveiliging tegen overspanning, overdruk, overstroom, enz.

15

3.2 Gebruik van beproefde componenten

5

4

Beoordeling/analyse Werd er rekening gehouden met de resultaten van een uitvaltype en een analyse van de fouteneffecten om de fouten met een gemeenschappelijke oorzaak in de ontwikkeling te vermijden?

5

Competentie/opleiding Werden de bouwers opgeleid om de oorzaken en effecten van fouten met een gemeenschappelijke oorzaak te begrijpen?

6

5

5

Omgeving

6.1 Bescherming tegen verontreiniging en elektromagnetische invloeden (EMC) ter voorkoming van CCF in overeenstemming met de normen

25

6.2 Andere invloeden: werden alle vereisten met betrekking tot ongevoeligheid voor alle relevante omgevingsvoorwaarden, zoals temperatuur, schokken, vibraties, vochtigheid, enz. (zoals in de van toepassing zijnde normen bepaald) in acht genomen?

10

Totaal

100

Compatibiliteit SIL ↔ PL/PL ↔ SIL • Omdat EN IEC 61 508-2001 model gestaan heeft voor beide nieuwe SRP/CS normen, zijn de SIL- en PL-vermeldingen compatibel met elkaar, d.w.z. een PL kan schematisch als een SIL en een SIL schematisch als een PL uitgedrukt worden. De gemeenschappelijke maatstaf daarbij is de waarschijnlijkheid van een gevaarlijke uitval per uur (PFHd) als volgt: Waarschijnlijkheid van het optreden van een gevaarlijke fout per uur EN ISO 13 849-1:2006

PL

10 –4

10 –5

a

SIL IEC 62 061:2005/ IEC 61 508:2001



b

1

3 × 10

10 –6

10 –8

10 –7

–6

c

d

2

e


• Het bovenstaande schema geldt globaal, maar kan ook voor subsystemen of deelsystemen gebruikt worden. Dit biedt dan het voordeel dat bijvoorbeeld componenten met een SIL kwalificatie in PL beoordelingen volgens EN ISO 13 849-1:2006 geïntegreerd kunnen worden en omgekeerd ook componenten met een PL kwalificatie in SIL beoordelingen volgens EN IEC 62 061:2005.

107

• Rekent men zonder gebruikmaking van de combinatietabel (Tabel 11 volgens EN ISO 13 849-1:2006), dan wordt aanbevolen dat voor subsystemen telkens max. 20 % voor I en L van de totale PFHd moet verbruikt worden, zodat > 60 % voor het O niveau (volgens de ervaring de “zwakste” schakel van de ketting) ter beschikking is. • Opmerking: voor het omrekenen van MTTFd waarden naar PFHd waarden en omgekeerd: zie trefwoord “Bijlage K” van EN ISO 13 849-1:2006.

D

Designated Architectures • Zie trefwoorden“Architecturen” en “Categorieën”

Diagnostic Coverage DC • Zie Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 138491:2006” en pagina 32 volgende en pagina 68 volgende.

Doelstelling van de SRP/CS standaardisatie • Zie Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 138491:2006”.

E

Exponentiële verdeling • De exponentiële verdeling is een continue waarschijnlijkheidsverdeling over het aantal positieve reële getallen en een typische levensduurverdeling; zij wordt uitgedrukt in MTTF of MTBF en gebruikt voor, bijvoorbeeld, de inschatting van de levensduur van componenten, toestellen, enz., als er geen rekening gehouden moet worden met verouderingsverschijnselen (lees: slijtage). • Voor slijtagegevoelige componenten, toestellen, enz. geldt een voorafgaande B10d waardebeoordeling. • Een MTTFd waarde veronderstelt/betekent dat – 63 % van alle eenheden gevaarlijk uitgevallen zijn – 37 % van alle eenheden nog correct functioneren • EN ISO 13 849-1:2006 verdeelt de MTTFd waarden per kanaal in drie groepen:

Gevaarlijke fouten [%]

100% onaanvaardbaar

80%

laag 60% gemiddeld 40% hoog 20% onaanvaardbaar 0%

0

5 3j MTTFd = MTTFd = 10 j MTTFd = 30 j MTTFd = 100 j

108

10

15 Tijd [jaar]

= 30% fouten na 1 jaar = 10% fouten na 1 jaar = 3% fouten na 1 jaar = 1% fouten na 1 jaar

20

25

30

F

Foutendekking DC (Diagnostic Coverage) • Zie Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 138491:2006” en pagina 32 en volgende en pagina 68 en volgende.

Foutendekking (extern) • Bij gebruik van eenvoudige individuele componenten in een SRP/CS, valt de foutendekking onder andere onderdelen van de SRP/CS, die de individuele componenten voor- en nageschakeld zijn (gewoonlijk de signaalverwerking in het logicagedeelte of speciale testvoorzieningen). • In deze gevallen moet verplicht geweten zijn, welke foutdekkende maatregelen hier werkzaam zijn en uiteraard moeten de eenvoudige individuele componenten correct geïntegreerd zijn, bijvoorbeeld in de logica (bijvoorbeeld nageschakelde vermogensbeveiligingen per terugkoppeling, bij voorkeur met gedwongen uitgevoerde contacten). • Eventueel moet men zich informeren welke foutdekkende maatregelen bijvoorbeeld in de logica invloed hebben op de voor- en nageschakelde onderdelen van de SRP/CS. Bij voorkeur gebruikt men Bijlage E aan EN ISO 13 849-1:2006 (zie elders). Bovendien moeten ook alle vereisten voor de categorieën nageleefd worden, bijvoorbeeld de vereisten voor de bedrading. • Theoretisch bouwt men dan een eigen subsysteem of deelsysteem op. • Zie ook pagina 32 en volgende. • Bij gebruik van veiligheidsmodules, voor zover deze geschikt zijn voor categorie 4, PL “e” of SIL 3, kan voor het ingangsniveau een foutendekking van 99 % aangenomen worden (Tabel E – Maatregel: Bewaking van elektromechanische eenheden via gedwongen uitvoering). Voor het uitgangsniveau is de foutendekking echter fundamenteel afhankelijk van het type actuator. Sensor A Sensor B

Dwarssluiting

• Wordt een vermogensbeveiliging bijvoorbeeld via gedwongen uitgevoerde contacten in de terugkoppeling uitgevoerd, dan kan een DC van 99 % bereikt worden. • Bij veiligheids-PLC’s, veiligheidsbussystemen en dergelijke (voor zover zij ook geschikt zijn voor categorie 4, PL e of SIL 3) kan men ook uitgaan van een foutendekking van 99 % op ingangsniveau (hier omwille van de zogeheten kruisgewijze gegevensvergelijking). Voor het uitgangsniveau telt het hierboven beschrevene (zie: veiligheidsmodules). • OPGELET: de hiervoor genoemde uitvoeringen gelden niet voor alle situaties, bijvoorbeeld niet voor serieschakelingen van elektromechanische veiligheidsschakelcomponenten, omdat bepaalde fouten die zich in de ketting kunnen voordoen, niet altijd door de logica herkend worden. Om een foutendekking van 99 % te verkrijgen, moeten de toestellen hier 1:1 geïntegreerd worden of zijn andere bijkomende maatregelen zoals externe testvoorzieningen vereist. • Informatie over de foutendekking bij serieschakelingen en vooral bij serieschakelingen van elektromechanische componenten en toestellen: zie pagina 32 en volgende.

109

Foutuitsluiting • De foutuitsluiting is een compromis tussen de technische veiligheidsvereisten (de vereiste foutbeoordeling) en de theoretische mogelijkheid van het optreden van een fout. • Zoals de naam al zegt, worden bepaalde uitvallen of foutgevallen bij de veiligheidstechnische beoordeling (bij de foutbeoordeling) van een SRP/CS uitgesloten (men gaat er niet van uit/er mag aangenomen worden dat zij zich voordoen). • Foutuitsluitingen laten bijgevolg – gedeeltelijk essentiële – vereenvoudigingen toe bij het ontwerp van de architectuur van een SRP/CS, bijvoorbeeld bij vragen met betrekking tot de noodwendigheid van een redundante uitvoering of bij vragen met betrekking tot de uitvoering van de verbindingskabels in een SRP/CS. Er mag echter niet willekeurig en subjectief gebruik gemaakt worden van de mogelijkheid tot foutuitsluiting. Er is eerder een gekwalificeerd bewijs en een schriftelijke documentatie van de overeenstemmende overwegingen vereist. • Men moet onderscheiden of de foutuitsluitingen op de erkende stand van de techniek gebaseerd zijn of individueel (en zonder de rugdekking van deze stand van de techniek) gemaakt worden. • Op het vlak van de machineveiligheid worden de Bijlagen A tot D van EN ISO 13 849-2:2003 als maatgevende stand van de techniek beschouwd. Hier wordt per technologie –mechanica, hydraulica, pneumatica en elektriciteit, vastgelegd welke foutuitsluitingen zonder meer toegestaan zijn, welke slechts onder bepaalde omstandigheden toegelaten zijn en welke niet toegelaten zijn. • EN ISO 13 849-1:2006 beschrijft de mogelijkheid tot foutuitsluitingen als volgt: de foutuitsluiting kan gebaseerd zijn op: – de technische onwaarschijnlijkheid van het optreden van een fout, – de algemeen aangenomen technische ervaring, onafhankelijk van de beoogde toepassing en – de technische vereisten met betrekking tot de toepassing en het speciale gevaar. • Als fouten uitgesloten worden, moet in de technische documentatie een nauwkeurige motivering gegeven worden. • Voor foutuitsluitingen geldt daarbij de volgende grens: de combinatie van onderdelen van besturingssystemen met een veiligheidsfunctie begint op het punt waar veiligheidsgerichte signalen gegenereerd worden (inclusief bijvoorbeeld de bediensleutel en de rol van een positieschakelaar) en eindigt aan de uitgangen van de elementen voor het aansturen van het vermogen (inclusief bijvoorbeeld de hoofdcontacten van een externe relais) • Zie ook pagina 29 en volgende.

Foutuitsluiting: bedradingsniveau • EN ISO 13 849-1:2006 gaat er bij voorkeur van uit dat voor het niveau van de bedrading in een SRP/CS een foutuitsluiting kan gebeuren. • De vereisten voor een foutuitsluiting zijn daarbij als volgt:

Voorwaarde is dat zowel de kabels als ook de aansluitruimte aan de vereisten voldoen (zie EN 60 204-1 [IEC 60 204-1]).

Aanvaarde fout

Foutuitsluiting

Kortsluiting tussen twee willekeurige kabels

Kortuitsluitingen tussen kabels, die: – permanent (vast) gelegd en tegen externe beschadiging beschermd zijn (bijv. door kabelkanaal, gepantserde buis) of – in verschillende mantelleidingen of – in een elektrische aansluitruimte(1) of – die individueel via een aardverbinding beveiligd zijn.

Kortsluiting tussen een willekeurige kabel en een onbeveiligd geleidend onderdeel of de aarde of een aardingskabel

Kortsluiting tussen kabel en ieder onbeveiligd geleidend onderdeel in een aansluitruimte(1).

Onderbreking van een kabel

Neen

(1)

110

• In het andere geval raden wij onze klanten een signaalverwerking met bijkomende dwarssluitbewaking aan!

Foutuitsluiting bij manueel bediende toestellen: • Noodstopbedienorganen, toestemschakelaar, e.d.: zie pagina 29 en volgende.

Foutuitsluiting bij vergrendelvoorzieningen • Fysische vs. elektrische 2-kanaligheid van bewakingsschakelaars bij vergrendelvoorzieningen aan bewegende beschermvoorzieningen: zie pagina 29 en volgende.

Functionele geschiktheid • In de machinebouw weinig gebruikelijke veiligheidsbeoordeling, die voornamelijk als vervangingsmaatregel voor de beoordeling van systematische fouten en uitvallen beschouwd moet worden. • Zie hiertoe EN IEC 61 508:2001.

G

H

Good Engineering Practices (GEP), Goede Engineering Praktijken • Oorspronkelijk een begrip uit de planning en het gebruik van farmaceutische installaties. In de context van EN ISO 13 849-1:2006 en vooral met betrekking tot het ontwerp en de vormgeving van SRP/CS wordt hiermee bedoeld: – de vereisten van de desbetreffende productnormen (zie Tabel D.2 in EN ISO 13 849 1:2006) – de vereisten van de A-normen (EN ISO 12 100-1/-2, EN ISO 14 121-1/-2) – en de essentiële en beproefde veiligheidsprincipes alsook, in categorie 1, het gebruik van veiligheidstechnisch beproefde onderdelen (Bijlagen A tot D van EN ISO 13 849-2:2003) in acht nemen. • Bovendien omvatten de GEP’s ook de keuze van de geschikte componenten in functie van de toepassings- en omgevingsvoorwaarden en de inachtneming van de fabrikantspecificaties (trefwoord: gebruikshandleiding) • De reden hiervoor is het vermijden van systematische fouten en uitvallen, die niet (nauwelijks) door de vormgevende eigenschappen, die de hoogte van een PL (of SIL) bepalen, beïnvloed worden. • Zie ook trefwoord “Uitvallen”.

Hardwarebetrouwbaarheid MTTFd • Zie Deel 6, pagina 81 en volgende: “Eigenschappen en gebruik van EN ISO 13 849-1:2006”

Herstartcircuit • Een typisch element hiervan is het manuele (en in uitzonderlijke gevallen het automatische) herstart-/resetsignaal op L niveau. • De operator moet controleren of een herstart van de machinebesturing zonder gevaar uitgevoerd kan worden. • EN ISO 13 849-1:2006 bepaalt voortaan ondubbelzinnig dat een flankenwissel vereist is voor de hernieuwde initialisatie. Zie ook pagina 28. • Het herstartcircuit en de terugkoppeling worden frequent ook samengenomen op O niveau.

111

I L

Inwerkingtreding • EN ISO 13 849-1:2006 is al sinds het najaar van 2006 van kracht en ook IEC EN 62 061:2005 is al van kracht; EN 954-1:1996 (of ISO 13 849-1:1999) kan echter nog tot december 2009 (met vermoedenwerking ten opzichte van de EG Machinerichtlijn) gebruikt worden. • Zie ook trefwoord “Overgangstermijn“.

Literatuur • Voor EN ISO 13 849-1:2006 en EN IEC 62 061:2005 werd ondertussen heel wat literatuur gepubliceerd door uitgeverijen en door fabrikanten van veiligheidscomponenten – in dit laatste geval zelfs gedeeltelijk kosteloos. • Tot de eerste (en naar goede gewoonte tot de omvangrijkste) informatie behoort onze informatiebrochure “Een nieuwe norm voor de machineveiligheid: EN ISO 13 849-1:2006 – SRP/ CS”, die op www.schmersal.be (link: Documentatieaanvraag) gedownload worden kan. • De afdeling Automatisering van de Vakvereniging voor de Elektro- en Elektronische Industrie Duitsland heeft een ZVEI brochure gepubliceerd met tekst en uitleg over het gebruik en de toepassing van de normen EN 62 061 en EN ISO 13 849-1 (voor downloads: www.zvei. org). • En last, but not least verwijzen we naar het BGIA rapport 2/08 over dit thema (zie aldaar). Neuer Ansatz für die Sicherheit von Maschinen: EN ISO 13 849-1:2006 – Sicherheitsbezogene Teile von Steuerungen

Automation

r erliche Er ford rmance es Perfo l PL r Niedrig Leve iko Ris a P1 P1

F2 P1

c

Erläuterungen zur Anwendung der Normen EN 62061 und EN ISO 13849-1

P2 d

P

F2

S1

F1

Sicherheit von Maschinen

b

P2

S1

F1

t gspunk Ausgan ng schätzu zur Ein erung ikomind der Ris

S2

F1

P2 P1

P2 P1 B

Category 3 1 2

4

Low Demand Mode • Zie PFD

M 112

Machinerichtlijn (MRL) • De Europese Machinerichtlijn vormt de wettelijke basis voor de vereisten voor de functionele machineveiligheid in de Europese Unie en in de overige EFTA-landen IJsland Liechtenstein, Noorwegen en Zwitserland alsook – anticiperend op de beoogde toetreding tot de EU – Turkije.

Zie MRL 2006/42/ EG geldig vanaf 29.12.2009 of de momenteel geldende MRL 98/37/ EG

(1)

(2)

Elektrische uitrusting van machines; bron: Beuth-Verlag, Berlijn

• Zoals bij alle Europese richtlijnen moet ook de inhoud van de Machinerichtlijn in nationaal recht omgezet worden. In het geval van de Machinerichtlijn gebeurt dit in Duitsland onder de vlag van de wet op de veiligheid van toestellen en producten (Geräte- und Produktsicherheitsgesetz GPSG) in de vorm van de zogeheten Machineverordening (= 9de GPSG-VO). • Uit de algemene principes (trefwoord: gevarenanalyse of in de toekomst risicobeoordeling, risicovermindering) en de vereisten van paragraaf 1.2.1 (trefwoord: veiligheid en betrouwbaarheid van besturingen) in MRL-Bijlage I(1) kan de noodzaak van onderdelen van besturingssystemen met een veiligheidsfunctie (= SRP/CS) afgeleid worden. • De noodzaak van SRP/CS wordt in paragraaf 9.4 “Besturingsfunctie bij fouten” van EN IEC 60 204-1:2005(2)verder geconcretiseerd en uiteindelijk (met het oog op het concrete ontwerp) naar de “Bevoegdheid” van EN ISO 13 849-1:2006 en EN IEC 62 061:2005 verwezen. Het genuanceerde concept is daarbij gebaseerd op de algemene principes van de Machinerichtlijn.

Mission Time (levensduur) • De waarschijnlijkheidsmathematische modellen achter EN ISO 13 849-1:2006 gaan uit van een zogeheten Mission Time van 20 jaar. Een uitzondering hierop vormt de B10d of T10d waardebeoordeling met het oog op een eventueel vereiste preventieve vervanging van het toestel. Zogeheten Proof Tests, Proof Testintervallen enz. zijn daarentegen van minder belang met het oog op de PL en SIL in de machinebouw.

MTTFd hardwarebetrouwbaarheid • Zie elders (trefwoorden “Uitvalrisico’s”, “badkuipcurve” enz.) en Deel 6, pagina 81 en volgende: Eigenschappen en toepassing van EN ISO 13 849-1:2006

N

NORMEN (Type-) A-, B- en C-normen • Zie C-normen

EN 954-1:1996 • Deze van bij aanvang omstreden norm met betrekking tot het thema SRP/CS wordt in november 2009 teruggetrokken. • Opvolger: de norm EN ISO 13 849-1:2006

EN 954-2 • Zie EN ISO 13 849-2:2003

113

EN ISO 13 849-1:2006 • Nieuwe B1-norm met betrekking tot het thema: Onderdelen van een besturingssysteem met een veiligheidsfunctie – Deel 1: Algemene ontwerpbeginselen • Duitse versie: DIN EN 13 849-1:2008; bron: Beuth-Verlag GmbH, Berlijn, www.beuth.de • Sinds mei 2007 als (geharmoniseerde) norm met vermoedenwerking opgenomen in de Europese Machinerichtlijn • Vervangt EN 954-1:1996 (ISO 13 849-1:1999) (die in december 2009 teruggetrokken wordt) • Essentiële wijzigingen – Performance Level (vervangt de uitsluitende beoordeling van categorieën) – Houdt rekening met de ontwikkeling en het gebruik van zogeheten Programmeerbare Elektronische Systemen met een Veiligheidsfunctie (PES) in de technologie van de SRP/CS – Uitbreiding (via een eigen Bijlage G) van de beoordeling voor het beheersen en vermijden van systematische uitvallen en fouten • Alternatieve norm voor EN ISO 13 849-1:2006 (voor deelgebieden): EN IEC 62 061:2005

EN ISO 13 849-2:2003 • Norm die oorspronkelijk als Deel 2 van EN 954 gelanceerd werd, met als zwaartepunt de “Validatie van SRP/CS” (Onderdelen van besturingssystemen met een veiligheidsfunctie – Deel 2: Validatie) • Duitse versie: DIN EN ISO 13 849-2:2003-12; bron: Beuth-Verlag GmbH, Berlijn, www.beuth.de • Blijft van kracht (wordt momenteel echter herzien) en vervolledigt nu EN ISO 13 849-1:2006 • De norm blijft bij het ontwerpen en het realiseren van SRP/CS ook na het in voege treden van het nieuwe deel 1 in de vorm van EN ISO 13849-1:2006 haar vroegere betekenis behouden. • Zij krijgt een speciale betekenis met het oog op toegelaten foutuitsluitingen en voor de lijst van fundamentele en beproefde veiligheidsprincipes en veiligheidstechnisch beproefde onderdelen (zie technologiebetrokken Bijlagen A tot D).

EN IEC 62 061:2005 • Nieuwe B1-norm over het thema: Functionele veiligheid van elektrische, elektronische en programmeerbare elektronische besturingssystemen met een veiligheidsfunctie (E/E/PES systemen) • Sectorspecifieke norm voor de machinebouw, afgeleid uit EN (IEC) 61 508:2001 • Duitse versie: DIN EN 62 061 (VDE 0113-50):2005-10; bron: Beuth-Verlag GmbH, Berlijn, www.beuth.de • Sinds december 2006 als (geharmoniseerde) norm met vermoedenwerking opgenomen in de Europese Machinerichtlijn • Wordt beschouwd als alternatief voor EN 954-1:1996 en speciaal voor complexere E/E/PES systemen ook als alternatief voor EN ISO 13 849-1:2006 • Essentiële inhoud: – Houdt rekening met elektrische besturingssystemen met een veiligheidsfunctie (SRECS) en Safety Integrity Levels (SIL) – Weerspiegelt de vereisten van EN (IEC) 61 508:2001 voor de machinebouw, echter in vereenvoudigde vorm. • Zie ook trefwoord “EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (vergelijking)”.

EN IEC 61 508:2001 • Zogeheten Basic Safety Publication (basisveiligheidsnorm) met betrekking tot het thema: Functionele veiligheid van elektrische/elektronische/programmeerbare elektronische systemen – Deel 1 tot 7 (= 370 pagina’s) 114

• Duitse versie: DIN EN 61 508-x:2001 (x = delen 1 tot 7); bron: Beuth-Verlag GmbH, Berlijn, www.beuth.de • Oorspronkelijke IEC-norm 1508 (1998 + wijzigingen 2000); werd in 2001 in het Europese normenwerk opgenomen, echter zonder harmonisering onder de vlag van de Europese Machinerichtlijn. • Het toepassingsgebied van de norm strekt zich uit over alle levensfasen van een product/ systeem en houdt rekening met de zogeheten veiligheidslevenscyclus (beginnend met het concept tot en met de demontage en afbraak). Het onderwerp van de beoordeling zijn alle soorten veiligheidsrelevante systemen (systemen met fouttolerantie, shutdownsystemen, enz.) en risicoverminderende maatregelen in geval van een fout of falen tot en met catastrofale risico’s. Achtergrondinformatie: de aanleiding tot het ontstaan van deze norm was het ongeluk met gifgas in Seveso. • De doeltreffendheid van de maatregelen wordt in een Safety Integrity Level (SIL) of Veiligheidsintegriteitsniveau uitgedrukt. De berekening hiervan berust op complexe mathematische modelvormingen met een hoge wetenschappelijke aanspraak. Tegen dezelfde achtergrond zijn ook de zogeheten sectorspecifieke normen ontstaan, die de normvereisten van EN IEC 61 508:2001 in een vereenvoudigde vorm en toegespitst op de desbetreffende doelgroep brengen.

Machinebouw

Medische sector

… sector

Chemie en procestechnologie

Elektriciteitscentrales

• Zeer simpel uitgedrukt is EN IEC 61 508:2001 het archetype van de veiligheidsgerichte betrouwbaarheidsengineering, die ook model gestaan heeft voor EN ISO 13 849-1:2006.

EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (vergelijking) • Beide normen zijn (geharmoniseerde) normen met vermoedenwerking onder de vlag van de Europese Machinerichtlijn. • Jammer genoeg zijn er overlappingen tussen beide normen (lees dubbele regelingen): zij hebben betrekking op het ontwerp van SRP/CS met elektrische, elektronische en programmeerbare elektronische technologieën (EN ISO 13 849-1:2006 in de vorm van een Performance Level en EN IEC 62 061:2005 in de vorm van een Safety Integrity Level).

115

• De reden waarom deze overlappingen bestaan, is dat de ene norm op ISO gebied en de andere norm op IEC gebied ontstaan is (op Europees vlak op CEN of CENELEC niveau). Daarbij gaat de normgever op ISO gebied er van uit dat ook EN 954-1:1996 al een ISO norm was en eist hij in dit opzicht ook de bevoegdheid op voor de revisie van de norm (dit is de opvolgende norm), terwijl de IEC normgever onder verwijzing naar de Basic Safety Publication EN IEC 61 508:2001 de bevoegdheid voor de zogeheten E/E/PES technologieën naar zich toe trekt. • Een duidelijke afbakening vindt men bij de technologieën mechanica, hydraulica, pneumatica en slijtagegevoelige elektriciteit (hiervoor bevat uitsluitend EN ISO 13 849-1:2006 uitgesproken regelingen) enerzijds en anderzijds bij architecturen, die zich beduidend onderscheiden van de architecturen (categorieën) die in EN 13 849-1:2006 voorzien worden (hoewel EN IEC 62 061:2005 hiervoor “bevoegd” is, bevat zij zeer vaak kruisverwijzingen naar EN IEC 61 508:2001). Bovendien wordt er voor de bevoegdheid voor de ontwikkeling van PES met Performance Level “e” naar EN IEC 62 061:2005/61 508:2001 verwezen, voor zover geen diversitair geproduceerde software gebruikt wordt. In alle andere gevallen bevelen wij onze klanten EN ISO 13 849-1:2006 aan. • De reden voor deze aanbeveling is dat EN ISO 13 849-1:2006 er consequent naar streeft de onnodige complicaties die uit de overschakeling naar Performance Level voortvloeien, voor de gebruiker in de machinebouw zo veel mogelijk te vereenvoudigen (de “prijs” daarvoor is dat hij zich in dat geval echter uitsluitend binnen het kader van de designated architectures mag bewegen), terwijl EN IEC 62 061:2005 meer mogelijkheden biedt (maar met frequente verwijzing naar EN IEC 61 508:2001). De vereenvoudigingsgedachte in EN IEC 62 061:2005 ten opzichte van EN IEC 61 508:2001 bestaat erin SRP/CS via subsystemen te realiseren. • Toch zijn beide normen compatibel met elkaar; zij kunnen naar keuze apart of gecombineerd gebruikt worden.

EN ISO 13 849-1 / EN IEC 62 061:2005 (vergelijking met EN 954-1:1996) • De onnodige complicaties buiten beschouwing gelaten bieden de beide nieuwe SRP/CS normen het voordeel dat de gebruiker voortaan over meer ontwerpmogelijkheden beschikt. Voor PL “c” biedt EN ISO 13 849-1:2006 bijvoorbeeld 5 of 6 verschillende ontwerpmogelijkheden. In het verleden zou dit uitsluitend categorie 2 geweest zijn.

Bij MTTFd “zeer hoog” PL “e”

(1)

116

Performance Level (PL) PL „a“ Voorziene architectuur (cat.) SK B Hardwarebetrouwbaarheid (MTTFd) laag Foutendekking (DC) Maatregelen tegen CCF

SK 2 laag laag Ja!

PL „b“ SK 2 gemiddeld laag Ja!

SK 3 laag gemiddeld Ja!

SK 3 laag laag Ja!

Performance Level (PL) PL „c“ Voorziene architectuur (cat.) SK 1 Hardwarebetrouwbaarheid (MTTFd) hoog Foutendekking (DC) Maatregelen tegen CCF

SK 2 hoog laag Ja!

SK 2 gemiddeld gemiddeld Ja!

SK 3 gemiddeld laag Ja!

SK 3 laag gemiddeld Ja!

Performance Level (PL) Voorziene architectuur (cat.) Hardwarebetrouwbaarheid (MTTFd) Foutendekking (DC) Maatregelen tegen CCF

PL „d“ SK 2 hoog gemiddeld Ja!

SK 3 hoog laag Ja!

SK 3 gemiddeld/hoog(1) gemiddeld Ja!

PL „e“ SK 4 hoog hoog Ja!

Afgerond in veilige richting: PFH (1/h)

PL

10 –4 a 10 –5 b 3 × 10 –6 c 10 –6 d

MTTFd = laag MTTFd = gemiddeld MTTFd = hoog

10 –7 e 10 –8

Categorie B Categorie 1 Categorie 2 Categorie 2 Categorie 3 Categorie 3 Categorie 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog + CCF

• In vergelijking met EN 954-1:1996 wordt er bovendien ook rekening gehouden met de ontwikkeling en het gebruik van PES systemen (veiligheids-PLC’s, veiligheidsbussystemen, enz.) alsook met een uitgesproken beoordeling van systematische fouten (inclusief CCF).

O

Optelling van uitvalwaarschijnlijkheden • Als de MTTFd waarden beschikbaar zijn, gebeurt de optelling per kanaal via de Parts Count Methode, d.w.z. de omgekeerde waarden 1/MTTFd worden opgeteld. De som wordt terug naar een globale MTTFd waarde geconverteerd en vergeleken met de normspecificaties voor “laag” (3 j … 10 j), “gemiddeld” (10 j … 30 j) en “hoog” (30 j … 100 j). Per kanaal is er een begrenzing op 100 jaar MTTFd (binnenin een kanaal zijn echter hogere waarden mogelijk). 1 = MTTFd

N

S

i=1

1 MTTFd i

• Voor kanalen met verschillende MTTFd waarden bestaat er een zogeheten symmetrieformule: MTTFd =

2 MTTFd C1 + MTTFd C2 – 3

1 1 1 + MTTFd C1 MTTFd C2

• PFHd waarden kunnen zondermeer opgeteld worden, d.w.z. 1 × 10 –9 + 1 × 10 –9 = 2 × 10 –9. De laagste subclassificatie bepaalt echter de globale PL of SIL. Betere PFHd waarden compenseren in geen geval de beperkingen die bij het Safety Integrity Level (zie daar) uit de zogeheten Architectural Constraints (architecturale beperkingen) voortvloeien.

Overgangstermijn • EN 954-1:1996 (of ISO 13 849-1:1999) wordt in december 2009 afgeschaft. Op dat ogenblik verliest de norm ook de status van de zogeheten vermoedenwerking (d.w.z. de beschermdoelen van de EG Machinerichtlijn in de zin van de wetgever “correct” te interpreteren en te concretiseren). • Machines en machinebesturing die vanaf 2010 voor het eerst op de markt gebracht worden, moeten de nieuwe stand van de norm in acht nemen, om in twijfelgevallen voortaan ook conform aan de EG Machinerichtlijn te zijn. 117

• OPGELET: dit geldt ook voor bestaande constructies, die zoals voorheen na deze vervaldag op de markt gebracht worden. • Realistisch gezien gaat in individuele gevallen een omschakeling binnen de gestelde termijn niet lukken, als we bijvoorbeeld denken aan de doorlooptijden van grote machines en installaties. Als men het hard zou willen spelen, zou eventueel de rechtbank erover moeten beslissen, hoe zulke gevallen beschouwd moeten worden. Hierbij zou men er zeker ook rekening mee houden, dat de EN 954-1:1996 geen “slechte” norm geweest is of dat EN ISO 13 849-1:2006 niet de “veilige” norm is (maar gedeeltelijk een andere aanpak vertegenwoordigt). • Voor machines en machinebesturingen die al op de markt gebracht zijn, blijven de verworven rechten behouden

P

Parts Count methode • Zie “Optelling van uitvalwaarschijnlijkheden”

Performance Level • Zie elders (trefwoord “Berekeningen” e.d.) en Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 13 849-1:2006”

SIL 4 heeft betrekking op veiligheidsfuncties met de kans op meerdere doden en catastrofale gevolgen en komt in de machinebouw (de fabrieksautomatisering) niet aan de orde.

(1)

PFD (Probability of Failure on Demand) • Beoordeling uit EN IEC 61 508-1/-7:2001 • Waarschijnlijkheid van de veiligheidsintegriteit van een typische SRP/CS voor de procestechnologie. De PFD waarde is de tegenhanger van de PFHd waarde voor de fabrieksautomatisering. • Het verschil ligt hierin, dat de frequentie waarmee een veiligheidsfunctie geactiveerd wordt, beduidend verschillend is. In de zogeheten Low Demand Mode (typisch voor procestechnologie) wordt de veiligheidsfunctie zeer zelden (niet meer dan eenmaal per jaar) geactiveerd. Een typisch voorbeeld hiervan zijn noodstopsystemen, die pas actief worden als een proces uit de hand gelopen is. Dit gebeurt normaal gezien altijd minder dan één keer per jaar. Daartegenover staat de zogeheten High Demand Mode (met de PFHd waarden) waarbij de veiligheidsfunctie vaak (vaker) of continu (= meer dan eenmaal per jaar) geactiveerd wordt. • De SIL classificatie bij Low Demand Mode is daarbij als volgt(1): SIL PFD

Max. getolereerde fout van de SIS

1

≥ 10 tot < 10

–1

2

≥ 10 tot < 10

–2

3

≥ 10 –4 tot < 10 –3

1 gevaarlijke fout in 1.000 jaar

4

≥ 10 tot < 10

1 gevaarlijke fout in 10.000 jaar

–2

–3

–5

–4

1 gevaarlijke fout in 10 jaar 1 gevaarlijke fout in 100 jaar

PL – Performance Level • Zie elders (trefwoord “Berekeningen” e.d.) ook Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 13849-1:2006”

PLr = required • Definitie volgens de norm (EN ISO 13 849-1:2006): toegepaste Performance Level (PL) om de vereiste risicovermindering voor iedere veiligheidsfunctie te bereiken. • Het gaat in feite om de vaststelling van de GEWENSTE toestand op basis van de risicobeoordeling van een veiligheidsfunctie. Dientengevolge moet een PL ≥ PLr gerealiseerd worden. 118

• De PLr is het resultaat van de desbetreffende C-norm of een risicograaf van de veiligheidsfunctie, d.w.z. het voor een veiligheidsfunctie te bereiken Performance Level (“a”, “b”, “c”, “d” of “e”) vloeit voort uit de vermoedelijke ernst van de verwonding in geval van een fout, de frequentie en/of de duur van blootstelling aan het gevaar en de mogelijkheid een gevaar door een persoonlijke reactie te ontlopen. • Zie trefwoord “Risicograafbeoordeling volgens EN ISO 13 849-1:2006”

PL resultaatsgrafiek • Zie ook Deel 6, pagina 81 en volgende: ”Eigenschappen en toepassing van EN ISO 138491:2006”

Proof Test/Proof Testinterval • Herhalingstest/terugkerende beproeving van SRP/CS, die voor het herkennen van fouten uitgevoerd wordt, zodat het systeem – indien nodig - in een “zo goed als praktisch mogelijk nieuwe” toestand gebracht kan worden. Op dat moment vangt een nieuwe zogeheten Mission Time aan. • Typische toepassingsgebieden voor Proof Tests en Proof Testintervallen zijn de chemische en procestechnologie, maar ook vliegtuigonderhoud. • Voor onze componenten is dit thema nauwelijks van belang (met uitzondering van de T10d waardebeoordeling voor slijtagegevoelige componenten). • De verplichting voor de werkgever om de werkmiddelen aan regelmatige beproevingen en inspecties te onderwerpen, zoals zij uit de Europese Richtlijn op het Gebruik van de Arbeidsmiddelen of – in Duitsland – uit de BetrSichV voortvloeit, wordt hierdoor niet getroffen.

Proven in use • Zie trefwoord “Functionele geschiktheid”.

R

Reset • Zie trefwoord “Herstartcircuit” en pagina 28.

Resultaatsgrafiek PL • Zie elders en Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 13849-1:2006”

Risico, Risicoanalyse, Risicobeoordeling • Definitie van risico volgens de norm: combinatie van de waarschijnlijkheid van het optreden van schade en ernst van de schade. • Definitie van risicoanalyse volgens de norm: combinatie van de definitie van de grenzen van de machine, identificatie van de gevaren en risico-inschatting. • Definitie van risicobeoordeling volgens de norm: beoordeling op basis van de risicoanalyse, of de doelstellingen van de risicovermindering bereikt kunnen worden. • Ook de wettelijke vereisten van de Europese Machinerichtlijn (zie trefwoord “Machinerichtlijn”) liggen aan de basis van deze thematiek. • De beide standpunten “risico en risicoanalyse” (elders ook risicobeoordeling, gevarenanalyse en dergelijke genoemd) vormen niet het hoofdonderwerp van de beide nieuwe SRP/CS normen; men gaat er eerder van uit dat zij uitgevoerd zijn, voordat men de beide SRP/CS normen gebruikt.

119

• Vooral de normen EN ISO 12 100-1/-2:2004(1) en EN 1050:1995 (voortaan EN ISO 14 121:2007(2)) bieden hier interpretatie- en uitvoeringshulpmiddelen. Voorbeeld van een schema voor risicobeoordeling (Bron: SUVA/CH)

Bepaling van de grenzen van de machine Risicoanalyse

Identificatie van de gevaarlijke situaties

Risicobeoordeling

Veiligheid van machines – Basisbegrippen, algemene ontwerpprincipes -1: Deel 1: Basisterminologie, methodologie; -2: T eil 2: Deel 2: Technische principes (2) Veiligheid van machines – Risicobeoordeling – -1: Deel 1: Grondbeginselen (1)

Risico-inschatting

Risico-evaluatie

Is de machine veilig?

NEEN

JA

Beschrijving van het correcte gebruik in de bedieningshandleiding. Beschrijving van de veiligheids- en beschermmaatregelen die gekozen werden ter vermijding van de gevaren die van de machine uitgaan en verwijzingen naar restrisico’s. Wij raden aan ook de risico’s te beschrijven, waar geen veiligheidsmaatregelen voor vereist zijn.

Technische documentatie

Beschermmaatregelen selecteren

Risicovermindering

Geen verdere veiligheidsmaatregelen vereist

Risicograaf, Risicobeoordeling • Beide nieuwe SRP/CS normen kennen een risicograaf, waarmee de vereiste mate van risicovermindering voor de SRP/CS of de daaruit voortvloeiende PL of SIL bepaald wordt. • Als men van een gedifferentieerde beoordeling in EN IEC 62 061:2005 afziet, zijn de methode en het resultaat in hoge mate vergelijkbaar. In enkele grensgevallen kan het daarbij gebeuren, dat EN ISO 13 849-1:2006 iets “strenger” is (dat de vereisten hoger liggen).

Risicograaf volgens EN ISO 13 849-1:2006 • Bepaalt de PLr (= toe te passen PL om de vereiste risicovermindering voor iedere veiligheidsfunctie te behalen). • De uit EN 954-1:1995 (ISO 13 849-1:1999) bekende parameters van de risicobeoordeling blijven in EN ISO 13 849-1:2006 ongewijzigd behouden. Hun resultaat is echter niet langer een te realiseren categorie, maar een te realiseren Performance Level PLr:

120

S Ernst van de verwonding S1 lichte (meestal omkeerbare) verwonding S2 ernstige (gewoonlijk onomkeerbare) verwonding inclusief dood

Laag Risiko

a

P1

F Frequentie en/of duur van de bloot stelling aan het gevaar F1 zelden tot minder vaak en/of korte blootstellingsduur F2 vaak tot permanent en/of lange blootstellingsduur

Vereiste PerformanceLevel PL r

F1 P2

S1 F2

P1

P Mogelijkheid tot het vermijden van het gevaar of het beperken van de schade P1 mogelijk onder bepaalde omstandigheden P2 amper mogelijk

F1 S2 Uitgangspunt voor de beoordeling van de risicovermindering

P2

F2

b

P1 P2

c d

P1

e

P2 Hoog Risiko

• Risicograaf-beoordeling: PLr (required) • Definitie F2: → 1 × per uur • Eenduidige PLr’s • De nieuwe risicograaf biedt als voordeel dat er nu een definitie volgens de norm bestaat voor de afbakening tussen de parameters F1 en F2. F1 geldt voor een verblijfsfrequentie in de gevarenzone van 1 x per uur en meer en F2 voor verblijfsfrequenties in de gevarenzone > 1 × per uur. • Een tweede voordeel is dat de parameterbeoordelingen voortaan altijd tot een eenduidige PLr leiden, terwijl het in de voorgaande norm voor enkele gemengde situaties mogelijk was twee – naar keuze bruikbare – categorieën te vinden, zonder dat er dan verdere hulpmiddelen beschikbaar waren om de juiste keuze te maken.

Risicograaf volgens EN IEC 62061:2005 • Bepaalt de vereisten voor de veiligheidsintegriteit van de SRP/CS in de vorm van een veiligheidsintegriteitsniveau (SIL). • Het gaat hierbij om een afgeleide, die voor de machinebouw aangepast en uit de risicograaf volgens EN IEC 61 508:2001 afgeleid werd. • EN IEC 62 061:2005 kent in dit verband nog de zogeheten SILCL (= SIL Claim Limit). Volgens de definitie van de norm is dit de maximale SIL, die voor een SRP/CS deelsysteem geclaimd worden kan, rekening houdend met de structurele beperkingen en de systematische

Frequentie en/of duur van de blootstelling F

Waarschijnlijkheid dat de gevaarlijke gebeurtenis zich voordoet W

≤ 1 uur

5

Vaak

5

> 1 uur tot ≤ 1 dag

5

Waarschijnlijk

4

Mogelijkheid tot vermijden P

> 1 dag tot ≤ 2 weken

4

Mogelijk

3

Onmogelijk

5

> 2 weken tot ≤ 1 jaar

3

Zelden

2

Mogelijk

3

> 1 jaar

2

Verwaarloosbaar

1

Waarschijnlijk

1

Effecten

Omvang van de schade S

Klasse K = F + W + P 3–4

5–7

8–10

11–13

14–15

Dood, verlies van ogen of arm

4

SIL 2

SIL 2

SIL 2

SIL 3

SIL 3

Permanent, verlies van vingers

3

SIL 1

SIL 2

SIL 3

Omkeerbaar, medische behandeling

2

SIL 1

SIL 2

Omkeerbaar, eerste hulp

1

Ernst van de schade S

Andere maatregelen

SIL 1

121

veiligheidsintegriteit. De SIL claim limit is in die zin belangrijk voor de totale beoordeling (validatie), omdat de laagste SILCL – als zwakste schakel in de ketting – bepaalt welke SIL een SRP/CS in zijn geheel kan bereiken.

S

Serieschakelingen • De lengte van een serieschakeling (en dus het relatieve aantal waarschijnlijke restfouten, d.w.z. des te langer, des te meer) wordt bepaald op basis van de definitie van de veiligheidsfunctie (zie elders). • Vanuit dit standpunt kunnen bijvoorbeeld ook meer dan 31 CSS componenten in serie geschakeld worden, zonder dat hiermee een herberekening van de SIL of PIL gepaard gaat, mits achter het aantal componenten meerdere van elkaar onafhankelijke veiligheidsfuncties staan. • Het argument van de volledige foutherkenning (DC ≥ 99 %) van de CSS familie blijft echter volledig behouden.

Serieschakelingen van elektromechanische componenten • In het verleden hebben wij geargumenteerd dat serieschakelingen van elektromechanische componenten slechts categorie 3 vormen. Een kwalificatie als categorie 4 is niet mogelijk, omdat niet alle fouten in de serieschakeling herkend en onder bepaalde omstandigheden een foutenaccumulatie niet uitgesloten worden kan (zie afbeelding pagina 32 en volgende). • Aan deze inschatting verandert niets, d.w.z. er kan geen “hogere” foutendekking (≥ 99 %) aan een SRB module of een veiligheids-PLC toegekend worden in geval van een serieschakeling van elektromechanische componenten, maar voortaan is echter wel een PL “d” mogelijk, ook met een architectuur van categorie 3. Na overleg met de BGIA raden wij aan, een DC van 60 % te nemen (zie elders, vooral pagina 32 en volgende). • Serieschakelingen met PL “e” zijn echter ook mogelijk als de contacten van de serieschakeling in de PLC opnieuw ingelezen en op plausibiliteit gecontroleerd worden (zie BGIA schakelvoorbeeld 8.2.28 op pagina 76) of als op ingangsniveau foutuitsluitingen (zie BGIA schakelvoorbeeld 8.2.29, pagina 75) gemaakt worden.

Staafdiagram • Zie elders en Deel 6, pagina 81 en volgende: “Eigenschappen en toepassing van EN ISO 13849-1:2006”.

SIL (Safety Integrity Level) • Klasse van de veiligheidstechnische totaalkwaliteit van een SRP/CS, zoals gekend door EN IEC 62 061:2005 en EN IEC 61 508-1/-7:2001 (cf. PL filosofie). • Definitie volgens de norm: discreet niveau voor het bepalen van de vereisten voor de veiligheidsintegriteit van de veiligheidsgerelateerde besturingsfunctie. Veiligheidsintegriteit wordt hierbij gedefinieerd als de waarschijnlijkheid dat de vereiste besturingsfuncties onder alle vastgelegde voorwaarden tevredenstellend uitgevoerd worden en heeft betrekking op de integriteit van de hardware, de software en de systematische veiligheid. Ondanks het begrip “waarschijnlijkheid” is een SIL echter geen pure probabilistiek. • Een SIL wordt bepaald op basis van de zogeheten Architectural Constraints (architectuurbeperkingen) en de waarschijnlijkheid van een du gevaarlijke fout per uur (PFHd). SFF: s = fouten in “veilige” richting, dd = gevaarlijke gedetecteerde fouten (“failures dangerous detected”), gevaarlijke ongedetecteerde fouten (“failures dangerous undetected”) 122

dd

s

• Architectuurbeperkingen bestaan in afhankelijkheid van de zogeheten Safe Failure Fraction SFF. Zij combineren diagnose met het aandeel fouten, die in de veilige richting gaan. Eenvoudig voorgesteld: als de SFF (dus het aandeel herkende en/of veilige fouten) hoog, dan kan men – afhankelijk van de SIL – een 1-kanalige structuur gebruiken; is de SFF laag, dan moet men – weerom afhankelijk van de SIL – een redundante structuur voorzien (foutentolerantie van de hardware) • Voorbeeld: een SIL 2 vereist een PFHd waarde tussen 1 × 10 –7 en 1 × 10 –6 op basis van een HWT 2 (3-kanalig) bij < 60 % SFF of HWT 1 (2-kanalig) bij 60 … 90 % SFF of HWT 0 (1-kanalig) bij 90 … 99 % SFF. • Afhankelijk van het kritieke niveau onderscheidt EN IEC 62 061:2005 voor de machinebouw drie Safety Integrity Levels. Voor de classificatie is ook hier weer een risicograaf (idem deze uit EN ISO 13 849-1:2006) maatgevend. • Met betrekking tot de waarschijnlijke restfouten kan ook niet gezegd worden dat een SIL strenger is dan een PL of omgekeerd. Het is eerder zo dat bij SIL’s de ontwerpmogelijkheden groter zijn. • Met betrekking tot sub- of deelsystemen van een SRP/CS wordt in deze scriptie ook over sub-PL’s of sub-SIL’s gesproken. Hiermee wordt de veiligheidstechnische deugdelijkheid van een sub- of deelsysteem bedoeld, uitgedrukt in SIL en PFHd. • De totale SIL van een SRP/CS stemt overeen met de laagste sub-SIL (theorie van de zwakste schakel) en de daarvoor te bereiken PFHd waarde. Deze laatste is de optelsom van de individuele PFHd waarde. Deze laatste is de optelsom van de individuele PFHd waarden per sub-SIL. • EN IEC 61 508:2001 kent in totaal 4 SIL niveaus. SIL 4 dekt hierbij risico’s met meerdere doden of catastrofale gevolgen en is dus voor de machinebouw niet van toepassing. Naast de PFHd waarde werkt EN IEC 61 508:2001 ook nog met de zogeheten PFD waarde (PFD = Probability of Failure on Demand) in geval van een uitzonderlijke of zeldzame activering van een veiligheidsfunctie (> 1-maal per jaar), bijvoorbeeld typisch voor de chemie en procestechnologie.

SIL Claim Limit (SILCL) • SIL claim limit, d.w.z. de SIL die vereist is voor een veiligheidsfunctie (de gewenste waarde op basis van een risicograaf of uit een C-norm). • De claim limit “SILCL” moet beschouwd worden als identiek aan het vereiste Performance Level PLr. • Zie ook trefwoord “alleen SIL” en “Risicograaf volgens EN IEC 62 061:2005”.

SISTEMA • WINDOWS-gebaseerde software voor het berekenen van de PL volgens EN ISO 13 8491:2006, die door het Institut für Arbeitsschutz BGIA van de Deutschen Gesetzlichen Unfall versicherung DGUV, St. Augustin, geschreven werd en gratis ter beschikking gesteld wordt van alle geïnteresseerden. • SISTEMA staat voor SIcherheit von STEuerungen an MAschinen (veiligheid van machinebesturingen. • Het SISTEMA tool bootst de structuur van onderdelen van een besturingssysteem met een veiligheidsfunctie (SRP/CS) op basis van de zogeheten Designated Architectures na en berekent de gedetailleerde betrouwbaarheidswaarden inclusief het bereikte Performance Level (PL). De risicoparameters voor het bepalen van de PL, m.a.w. de categorie, de CCF maatregelen, de MTTFd waarde en de testkwaliteit DCavg, worden stap voor stap berekend. De impact van iedere parameterwijziging op het volledige systeem wordt onmiddellijk getoond en kan als rapport uitgedrukt worden. • Het tool is een hulpmiddel bij de berekening, maar vervangt in geen geval het basisinzicht en de basiskennis van de norm!

123

• SISTEMA kan via www.dguv.de/bgia/13849 gedownload worden. Met het oog op het aanvaarden van de licentievoorwaarden en het ontvangen van eventuele updates wordt de gebruiker verzocht zich te registreren.

Software • In de context van PES systemen krijgt software zowel in EN ISO 13 849-1:2006 als in EN IEC 62 061:2005 een speciale betekenis. • Hierbij wordt een onderscheid gemaakt tussen de software van het besturingssysteem van een PES enerzijds (= SRESW voor Safety-Related Embedded Software) en de gebruikerssoftware van een PES (= SRASW voor Safety-Related Application Software). Deze laatste (SRASW) wordt daarbij nog volgens de gebruikte programmeertalen onderverdeeld (FVL voor programmeertalen met een niet-beperkte talenomvang en LVL voor programmeertalen met een beperkte talenomvang). • In deze brochure gaan wij niet dieper in op het onderwerp “SRESW”. • Het is goed om weten dat EN 13 849-1:2006 ook de ontwikkeling van PES systemen mogelijk maakt (zie elders) en dat de norm SRESW vereisten tot PL “d” bevat. Voor PL “e” moet het bijbehorende deel van EN IEC 61 508 als basis genomen worden en alternatief kan de SRESW software diversitair gecreëerd worden. • Voor SRASW software gelden voortaan ook bijkomende vereisten, die van belang zijn voor de gebruiker, bijvoorbeeld de programmeerder van een veiligheids-PLC. Er zijn basisvereisten die voor alle PL’s gelden en – onderverdeeld volgens FVL en LVL – bijkomende vereisten vanaf PL “c”. • Definitie van “gebruikerssoftware”: Software, die speciaal voor de toepassing door de fabrikant in de machine geïmplementeerd werd en gewoonlijk logische sequenties, grenswaarden en uitdrukken voor het aansturen van de bijbehorende ingangen, uitgangen, berekeningen en beslissingen bevat om de noodzakelijke vereisten van de SRP/CS te vervullen. • Definitie van FVL: Soort taal met het vermogen een groot aantal functies en toepassingen te implementeren. – Voorbeeld: C, C++, Assembler

124

– Opmerking 1: in aansluiting op IEC 61 511-1:2003, paragraaf 3.2.80.1.3 – Opmerking 2: een typisch voorbeeld van systemen voor het gebruik van FVL: Embedded systems – Opmerking 3: op gebied van machines wordt FVL in embedded software en bij gelegen heid in de toepassingssoftware gebruikt. • Definitie van LVL: Soort taal met het vermogen voorgedefinieerde, toepassingsspecifieke bibliotheekfuncties te combineren om de specificatie van de veiligheidsvereisten te implementeren. – Opmerking 1: in aansluiting op IEC 61 511-1:2003, paragraaf 3.2.80.1.2 – Opmerking 2: typische voorbeelden van LVL (contactschema, functieblokdiagram) wor den in IEC 61 131-3 vermeld. – Opmerking 3: een typisch voorbeeld van een systeem dat beroep doet op LVL: de PLC.

Symmetrieformule • Zie trefwoord “Optelling van uitvalwaarschijnlijkheden”

T

T10d waardebeoordeling • Een T10d waardebeoordeling is eveneens een nieuwe beoordeling in EN ISO 13 849-1:2006. De T10d waarde stemt overeen met 10 % van de B10d waarde en moet – omgerekend in jaren (j) – beschouwd worden als aanwijzing voor de preventieve vervanging van slijtagegevoelige componenten. Bij een T10d waarde gaat men er van uit dat de component in kwestie in de bijbehorende tijd een constant uitvalgedrag vertoont (cf. de gemiddelde fase van de “badkuipcurve”). • De aanduiding van een preventieve vervanging van de component is natuurlijk alleen zinvol bij MTTFd waarden, als het 10 % aandeel binnen de aangenomen Mission Time van 20 jaar van de SRP/CS ligt. • De T10d waardebeoordeling is geen vervangmiddel voor de regelmatige controles van de werkmiddelen volgens de Europese Richtlijn betreffende het gebruik van werkmiddelen of in Duitsland volgens de BetrSichV. • Zie ook trefwoord “B10d waarden”

Terugkoppeling • Maatregel voor foutendekking op het O niveau, als zij met eenvoudige individuele componenten zoals vermogensbeveiligingen uitgevoerd wordt. • Ook kan het testresultaat van andere maatregelen hier geïntegreerd worden om te garanderen dat een herstart van de machinebesturing slechts mogelijk is, als de betrokken onderdelen van de SRP/CS correct functioneren. • De foutendekking DC kan – afhankelijk van de kwaliteit van de terugkoppelingssignalen – tot 99 % bedragen. • Zie ook pagina 55.

Testvoorzieningen • Testvoorzieningen dienen voor de foutendekking (DC) in SRP/CS. Zij kunnen in een kanaal van een SRP/CS geïmplementeerd zijn, bijvoorbeeld in de veiligheids-PLC of in de SRB module. Zij kunnen echter ook los van de kanalen van een SRP/CS als externe testvoorzieningen werken, bijvoorbeeld in het kader van de functionaliteit van de PLC. In dit geval gelden er bepaalde bijkomende vereisten voor de testvoorziening, die in normale gevallen echter geen onoverkomelijke hindernis vormen. Zie ook BGIA schakelvoorbeeld 8.2.28 (pagina 76).

125

U

Uitvallen • Definitie volgens de norm (EN ISO 13 849-1:2006): einde van het vermogen van een toestel (subsysteem) om een vereiste functie te vervullen. • De vermindering van het risico dat uitvallen in een SRP/CS tot gevaarlijke toestanden kunnen leiden, is een essentiële doelstelling van standaardisering met betrekking tot dit thema. • Storingen worden gelijkgesteld aan en op dezelfde manier beschouwd als uitvallen. • In het kader van de SRP/CS standaardisering wordt een onderscheid gemaakt tussen toevallige en systematische uitvallen en tussen gevaarlijke uitvallen (bij waardevermeldingen vaak gekenmerkt door de index “d”) en niet-gevaarlijke uitvallen (die de beschikbaarheid van processen afremmen). Dit laatste behoort echter niet tot het toepassingsgebied van de SRP/CS standaardisering. • Het resultaat van uitvallen zijn fouten in de SRP/CS. De norm bepaalt hiervoor dat uitvallen gebeurtenissen en fouten toestanden zijn. Fouten kunnen echter ook zonder voorafgaande uitvallen tot stand komen. Ook hiertegen moeten maatregelen getroffen worden, zoals ze vooral in EN ISO 13 849-2:2003 behandeld worden. • Omdat de precieze definitie van een “uitval” en een “fout” gedeeltelijk een semantische spitsvondigheid is, worden de beide begrippen in deze brochure hier en daar ook als synoniemen van elkaar gebruikt.

Uitvallen (systematische uitvallen) • Definitie volgens de norm (EN ISO 13 849-1:2006): uitvallen met een deterministische samenhang met bepaalde oorzaken, die alleen door een verandering van het ontwerp of het productieproces, bedrijfsprocedure, documentatie of bijbehorende factoren opgelost kunnen worden. • Systematische uitvallen kunnen zowel op de hardware als op de software betrekking hebben. • Maatregelen ter vermijding en ter beheersing van systematische uitvallen worden in de nieuwe Bijlage G van EN ISO 13 849-1:2006 nog eens bijkomend beschouwd. “Bijkomend beschouwd” betekent dat de normen EN 954-1:1996 (ISO 13 849-1:1999) en in het bijzonder EN ISO 13 849-2:2003 (oorspronkelijk bedoeld als EN 954-2) specifieke vereisten omvatten, die in Bijlage G doorgedreven en verbeterd worden. Ook EN IEC 62 061:2005 bevat uitvoerige beschouwingen over dit thema. Meer dan 60 % van de fouten al voor de inbedrijfstelling “ingebouwd” in de SRP/CS!

(1)

15 % Ontwerp & implementatie

44 % Specificatie

6 % Installatie en inwerkingstelling

15 % Werking en onderhoud 20 % Wijzigingen na inwerkingstelling

126

• Systematische uitvallen liggen vandaag de dag aan de basis van het gros van de oorzaken voor machine-uitvallen. Hiertoe behoren ontoereikende FMEA’s en beproevingen, concepten specificatiegebreken, maar ook denkfouten enz. Daarbovenop komen ongevallen door het manipuleren van veiligheidsvoorzieningen (in Duitsland geschat op ongeveer 25%). • Hoewel het niet volledig in de systematiek van de normen past, hoort ook de uitgebreide risicobeoordeling (gevarenanalyse) tot de context van mogelijke systematische fouten. Zie hiertoe ook EN ISO 12 100-1/-2:2003 en EN ISO 14 121:2007 (vroeger EN 1050). • Volgens een Britse studie (zie afbeelding) zijn meer dan 60 % van alle ongevallen die in het kader van een representatieve selectie onderzocht werden, terug te voeren op oorzaken, die reeds voor de inbedrijfstelling in de SRP/CS aanwezig waren.

Uitvallen (toevallige uitvallen): • Vooral de vereiste dat de totale veiligheidsgerichte kwaliteit van een SRP/CS in de vorm van een PL of een SIL bepaald moet worden, streeft een vermindering na van het restrisico van gevaarlijke toestanden die door toevallige gevaarlijke uitvallen veroorzaakt worden. • Bij hardware gaat men er in principe van uit dat deze zowel toevallig als systematisch uitvallen kan. Bij software daarentegen gaat men uitsluitend van systematische uitvallen uit. • Aan de toevallige hardware-uitval (bepaald door verzwakkingen van het product door de meest uiteenlopende oorzaken zoals materiaalmoeheid) kan een statistische waarschijnlijkheid toegekend worden. Anders gezegd: hoe lager deze waarschijnlijkheid, hoe hoger de functionele veiligheid. Eventueel kan (geheel of gedeeltelijk) van anderen afgezien worden, zonder aan de veiligheidstechnische totaalkwaliteit te raken. • Het aandeel ongevallen veroorzaakt door toevallige hardware-uitvallen wordt vandaag de dag doorgaans laag geschat, namelijk max. 10 tot 15 % van alle machine-uitvallen. Volgens andere schattingen zou dit aandeel zelfs nog lager zijn. • De waarschijnlijkheid van toevallige hardware-uitvallen is een louter statistische beschouwing en laat geen conclusies over de kwaliteit van een individueel product toe.

Failure Modes Effects and Diagnostic Analysis

(1)

Uitvalpercentages • Typische waarden voor de uitvalpercentages die in de norm EN ISO 13 849-1:2006 in aanmerking genomen worden, zijn MTTFd waarden (= Mean Time to dangerous Failure). • Gewoonlijk zijn MTTF waarden statistische kengetallen voor de betrouwbaarheid van een voorwerp (ongeacht wat dit “voorwerp” is); zij doen uitspraak over de waarschijnlijkheid van toevallige uitvallen. Uitvallen veroorzaakt door andere invloeden, bijvoorbeeld door een foutieve keuze, ontoereikende dimensionering, enz. behoren tot de groep van de systematische uitvallen en worden niet via MTTF waarden uitgedrukt. • MTTF waarden hebben betrekking op de gemiddelde levensduur of looptermijn van objecten (tot aan hun uitval). De kennis over levensduur of looptermijn wordt onder andere vergaard op basis van field data, berekeningen van stresstesten, de zogeheten FMED analyses(1). • In de context van de normen EN ISO 13 849-1:2006 en EN IEC 62 061:2005 zijn alleen gevaarlijke uitvallen interessant. Een contact kan bijvoorbeeld niet sluiten (= bij shutdown systemen gewoonlijk hinderlijk, maar niet gevaarlijk) of niet openen (= bij shutdown systemen gewoonlijk gevaarlijk). Gewoonlijk wordt de verhouding tussen gevaarlijke en niet-gevaarlijke uitvallen 50:50 genomen. In dat geval is een MTTFd waarde dan ook altijd tweemaal zo hoog als de MTTF waarde, die alle foutmogelijkheden weerspiegelt. • Voor een aantal objecten wordt via een MTTFd waarde waarschijnlijkheidsmathematisch – met verwijzing naar de exponentiële verdeling – uitgedrukt dat na afloop van de MTTFd levensduur 63,2 % van de objecten in kwestie gevaarlijk uitgevallen zijn. In dit geval gaat het dus om een uitspraak over de overlevingswaarschijnlijkheid.

127

• Voorbeeld: Jaren

Verdeling van de betrouwbaarheid van de eenheden van drie collectieven Intact

60 jaren

60 18 jaren

18

72% 28%

37% 63%

6

90% 10%

Fout MTTF = 6 jaren

MTTF = 18 jaren

MTTF = 60 jaren

Aanschouwelijke voorstelling van de gemiddelde levensduur: drie collectieven worden voorgesteld met verschillende betrouwbaarheidsniveaus. Hun eenheden (weergegeven via punten) vallen op toevallige tijdstippen uit. Hun uitvaltijdstippen stemmen overeen met de verticale coördinaten. De uitvaltijden zijn over grote periodes verspreid, bijvoorbeeld bij 1 collectief overleven individuele eenheden 18 jaar lang, terwijl andere al na een jaar uitvallen. 63 % is al na 6 jaar uitgevallen (bron: inleiding in de methoden van de betrouwbaarheidsanalyse, Siemens AG, I&S IS ICS IT2). • λ- of FIT waarden – uitvalpercentages waarmee EN IEC 62 061:2005 “werkt” – geven daarentegen aan hoeveel objecten in een tijdeenheid gemiddeld toevallig uitvallen (= 1/tijd vs. “overlevingswaarschijnlijkheid” van MTTF of MTTFd waarden). FIT waarden vertegenwoordigen daarbij een uitvalpercentage uitgedrukt in 10 –9 per uur. Dit betekent dat het hier om een andere tijdsbeschouwing van hetzelfde fenomeen gaat. De omgekeerde waarden van λ of FIT waarden zijn dus ook opnieuw MTTF of MTTFd waarden. • PFHd waarden drukken ook de waarschijnlijkheid van een gevaarlijke uitval per uur uit, maar kunnen daarbij in de berekening echter ook rekening houden met meer dan alleen maar de beschouwing van toevallige hardware-uitvallen. Een omrekening is dus slechts beperkt toegestaan. Zij is mogelijk voor 1-kanalige structuren (1/MTTFd = PFHd en omgekeerd). Bovendien kunnen PFHd waarden via het vormen van de omgekeerde waarde (1/PFHd : 8.760) sterk vereenvoudigd in blok MTTFd waarden omgerekend worden (omgekeerd is dit echter niet mogelijk). • Bij PFHd waarden is het verschil met de „d“ indexering niet echt gemeengoed, dit betekent dat zowel met een PFH als met een PFHd waarde gewoonlijk de gevaarlijke uitvalrichting aangeduid wordt. • Een subtype van MTTF- of MTTFd waarden zijn de MTBF- of MTBFd waarden. MTBF staat voor Mean Time Between Failures en vertegenwoordigt de gemiddelde tijd tussen twee uitvallen bij herstelbare objecten. Het verschil tussen MTTF (MTTFd) en MTBF (MTBFd) is slechts miniem en kan in de context van beoordelingen voor SRP/CS verwaarloosd worden. • In vele andere domeinen zoals de chemie en de procestechniek, militaire techniek, luchtvaart, enz. is het meerekenen van uitvalpercentages ingeburgerd (trefwoord: betrouwbaarheidsengineering). • Voor de uitvalpercentages bestaan er talrijke bronnen en naslagwerken, bijvoorbeeld SN 29 500, MIL handboeken, enz.

128

• Als men algemene bronnen voor vermeldingen over uitvalpercentages gebruikt, verdient het aanbeveling na te vragen of een waarde uitsluitend de gevaarlijke uitvallen in de zin van EN ISO 13 849-1:2006 (vaak gekenmerkt door de index d) dan wel alle mogelijke uitvallen weerspiegelt. In het laatste geval moet er omgerekend worden – zie boven. • Bovendien raadt EN ISO 13 894-1:2006 aan, waarden van een andere oorsprong, die niet voor hun doeleinden correct gecontroleerd werden, slechts voor 10 % te laten meetellen in de berekeningen. • Bij niet-specifieke vermeldingen van uitvalpercentages, bijvoorbeeld voor elektrische bouwelementen, gaat het vaak om nominale waarden zonder inachtneming van temperatuurinvloeden (bijvoorbeeld dat het uitvalpercentage verdubbelt per temperatuurstijging van 20 °C), temperatuurcycli (warm ↔ koud) en andere omgevingsinvloeden. • Deze invloeden moeten in de verdere berekeningen geïntegreerd worden (typisch voor EN IEC 61 508:2001) of forfaitair in aanmerking genomen worden, door slechts 10 % van het nominale uitvalpercentage in de verdere berekeningen te integreren (aanbevolen in EN ISO 13 849-1:2006).

V

Veiligheidsfunctie • Voor de classificatie van een vereiste PL volgens EN ISO 13 849-1:2006 of SIL in EN IEC 62 061:2005 wordt de veiligheidsfunctie in overweging genomen. Volgens de definitie (zie EN ISO 13 849-1:2006) is dit de functie van een machine, waarbij een uitval van de functie tot een onmiddellijke verhoging van het risico (de risico’s) kan leiden. • De definitie van de veiligheidsfunctie heeft daarom een aanzienlijke invloed op de bepaling van de PL en de SIL. • Meer informatie: zie pagina 70 en volgende.

Voorziene architecturen (”designated architectures“) • Zie trefwoord “Architecturen”

129

130

Uittreksel uit onze brochure “Een nieuwe norm voor de machineveiligheid: EN ISO 13 849-1:2006 – Onderdelen van besturingen met een veiligheidsfunctie”

131

Normvoorbeeld volgens Bijlage I van EN ISO 13 849-1:2006

De slijtagegevoelige onderdelen uit het schakelvoorbeeld zouden nog aan een B10d waardebeoordeling onderworpen moeten worden. Wij gaan er van uit dat de daarvoor beschikbare fabrikantspecificaties al dienovereenkomstig omgerekend zijn.

132

Laag risico

Vereiste Performance Level PL r a

P1

n ë eiro

g et a C

F1 P2

S1 F2

Uitgangspunt voor de beoordeling van de risicovermindering

P1 F1 S2

P2

F2

b

P1 P2

c d

P1

e

P2 Hoog Risico

Selectie van de veiligheidsfuncties die de SRP/CS moet uitvoeren Vanuit de risicoanalyse (EN ISO 12 100-1)

1 Bepaling van de vereiste eigenschappen voor iedere veiligheidsfunctie 2r Bepaling van het vereiste Performance Level PL

3 identificatie Ontwerp en technische realisatie van de veiligheidsfuncties; van de veiligheidsgerichte onderdelen die de veiligheidsfunctie uitvoeren Bepaling van het Performance Level PL 4

Categorie

5

MTTFd

DC

PL ≥ PL r

8

ja Validatie ja

Naar de risicoanalyse

6

CCF

7

neen

neen

Werden alle veiligheidsfuncties geanalyseerd? ja neen

Figuur 32: Iteratief ontwerpen realisatieproces voor SRP/CS volgens prEN ISO 13 849-1:2006

Voorbeeld EN ISO 13 849-1:2006 bevat een aangepaste versie van het iteratieve ontwerpproces voor onderdelen van besturingssystemen met een veiligheidsfunctie (SRP/CS), zoals dit uit de EN ISO 12 100-1 bekend is. Het proces wordt hier in 8 theoretische stappen onderverdeeld en begint met de selectie van de veiligheidsfuncties die de SRP/CS moet uitvoeren (stap 1). Het proces eindigt met de conclusie of het vereiste Performance Level PLr behaald werd (stap 8).

In het voorbeeld (zie figuur 33) wordt de vergrendeling van een bewegende veiligheidsvoorziening besproken: de gevaarlĳke beweging stopt zodra de beschermvoorziening geopend wordt, de herstart van de machine wordt verhinderd, enz. (zie EN 1088: Veiligheid van machines – Vergrendelvoorzieningen in combinatie met scheidende beschermvoorzieningen – Grondbeginselen voor het ontwerp en de keuze).

➊ Voorbeeld: • Vergrendeling van een scheidende veiligheidsvoorziening Veiligheidsfunctie: • De gevaarlĳke beweging wordt gestopt zodra de deur van de beschermvoorziening geopend wordt Figuur 33: Selectie en definitie van de vereisten waaraan de veiligheidsfunctie moet voldoen

27

133

Een nieuwe norm voor de machineveiligheid: EN ISO 13 849-1:2006 – Onderdelen van besturingssystemen met een veiligheidsfunctie

➋

Vereiste Performance Level PLr

Hoog risico

a

P1 F1 P2

S1 F2

Beginpunt voor de beoordeling van de risicovermindering

P1 F1 S2

P2

F2

b

P1 P2

c

PL r = c

d

P1

e

P2 Laag risico Figuur 34: Bepaling van het vereiste Performance Level PLr De beoordeling van het vereiste Performance Level, dus de risicoanalyse met behulp van de nieuwe risicograaf van de EN ISO 13 849-1: 2006, moet uitmonden in een vereist Performance Level PLr ”c“ (zie figuur 34).

➌

+

openen

Figuur 35 bespreekt de structuur van de SRP/ CS (Designated architecture).

+

+

L

A

sluiten

SW1B SW2

P K1B SW1B

API

PLC

besturingssignaal CC: PLC: M: RS: P:

stroomomvormer Programmable Logic Controller Motor Draaisensor Schakelaar (bediend)

RS n

Figuur 35: Ontwerp en identificatie van de SRP/CS

134

28

SW2

SPS CC

M

K1B

PLC

CC RS

Laag risico

Vereiste Performance Level PL r a

P1

n ë eiro

g et a C

F1 P2

S1 F2

Uitgangspunt voor de beoordeling van de risicovermindering

P1 F1 S2 F2

P2

b

P1 P2

c d

P1

e

P2 Hoog Risico

Op basis van de Designated architecture van figuur 35 betekent dit:

➎ • SW2, SPS, CC: MTTFd = alle 20 y (specificatie fabrikant) 1 1 1 1 = + + = 3 20 y MTTFd C2 MTTFSW2 MTTFPLC MTTFCC

➍ • De vereisten van categorie B zĳn vervuld

✔

• Een individuele fout leidt niet tot het verlies van de veiligheidsfunctie?

✔

• Gedeeltelĳke foutdetectie

✔

• Een accumulatie van niet-gedetecteerde fouten leidt niet tot het verlies van de veiligheidsfunctie? (niet-gedetecteerde fout in de 1ste PLC, fout in 2de kanaal A)

Kanaal 2: MTTFd = 6,7 y • Symmetreren MTTFd voor beide kanalen: MTTFd =

2 MTTFd C1 + MTTFd C2 – 3

1 1 1 + MTTFd C1 MTTFd C2

MTTFd = 20 y (gemiddeld) ✔

–> Categorie 3 kan bereikt worden

Figuur 38: Bepalen van het Performance Level PL: MTTFd voor kanaal B en globale MTTFd

Figuur 36: Definitie van de categorie voor het PL

Omdat in het voorbeeld de beide kanalen een diversitaire structuur hebben (zie structuur SRP/CS), moeten de verschillende MTTFd waarden van de kanalen A en B bepaald en op elkaar afgestemd worden (“symmetrie”).

Nu wordt de Diagnostic Coverage DC beoordeeld:

➏ • DCK1B 99%, “hoog“ omwille van de gedwongen uitgevoerde elektrische contacten, tabel Bĳlage E.1

➎ • SW1B: gedwongen verbrekend contact: Foutuitsluiting voor het niet-openen van de contacten, het niet bedienen van de schakelaar omwille van een mechanische fout (bĳvoorbeeld breuk van de stoter, slĳtage van de hefboom, afwĳking) • K1B: MTTFd = 30 y specificatie fabrikant) 1 1 = = MTTFd K1B MTTFd C1

1 30 y

Kanaal 1: MTTFd = 30 y Figuur 37: Bepalen van het Performance Level PL: MTTFd voor kanaal A

• DCSW2 = 60%, “laag“ omwille van de bewaking van de ingangssignalen zonder dynamische tests • DCPLC = 30%, “geen“ omwille van de lage efficiëntie van de zelftests • DCCC = 90%, “gemiddeld“ omwille van de beperkte uitschakelweg met bewaking van de actuator door het besturingssysteem, tabel E.1, Bĳlage E.1

DCavg =

DC2 DCS DC1 + + ... + MTTFd1 MTTFd2 MTTFdN 1 1 1 + + ... + MTTFdN MTTFd1 MTTFd2 DCavg = 67% (laag)

Figuur 39: Bepalen van het Performance Level PL: DCavg

29

135

Een nieuwe norm voor de machineveiligheid: EN ISO 13 849-1:2006 – Onderdelen van besturingssystemen met een veiligheidsfunctie

Aansluitend worden de maatregelen ter voorkoming van fouten met een gemeenschappelĳke oorzaak (CCF) beoordeeld:

➐ CCF: fout van diverse componenten door een gemeenschappelĳke oorzaak • Fysieke scheiding tussen de signaalkanalen 15 punten • Diversiteit 20 punten • Bescherming tegen overspanning, overdruk, enz. 0 punten • Gebruik van beproefde componenten 5 punten • Inachtneming van de resultaten van de analyse van de foutmodi en hun effecten om fouten met een algemene oorzaak bĳ het ontwerp te vermĳden 5 punten • Competentie/opleiding van de ontwikkelaar 0 punten • EMV of filtreren van het drukmedium en bescherming tegen besmetting 25 punten • Temperatuur, vochtigheid, schokken, vibraties, enz. 10 punten

… en tot slot worden alle parameters in het blokdiagram ingevoerd ter controle of PL => PLr (figuur 41). Opmerking: de nauwkeurige opsplitsing in dit voorbeeld is uiteraard een beetje overdreven. Bovendien bezit het systeem uit het voorbeeld twee kanalen met diversitaire structuur zowel op sensorniveau als op het niveau van het besturingssysteem. Het is dus een beetje ingewikkelder dan de structuren die gewoonlĳk gebruikt worden. Het voorbeeld illustreert echter perfect de gedachtegang van de EN ISO 13 849-1:2006 en haar nieuwe vereisten, hoewel voor de vergrendeling (als elektromechanische component) geen B10d waarde berekend wordt. In dit geval zou het voorbeeld de werkelĳkheid nog meer benaderen.

Σ = 80 punten > 65 punten Figuur 40: Bepalen van het Performance Level PL: CCF

➑ Performance level

a b c d e

MTTFd = laag MTTFd = gemiddeld MTTFd = hoog Categorie Categorie Categorie Categorie Categorie Categorie Categorie B 1 2 2 3 3 4 DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 laag gemiddeld laag gemiddeld hoog

PL = PLr = c Figuur 41: Controle of het berekende Performance Level PL ≥ PLr

136

30

✔

Uitgever K.A. Schmersal GmbH Industriële veiligheidsschakelsystemen Möddinghofe 30 D-42279 Wuppertal Postfach 240263 D-42232 Wuppertal Telefoon: +49 (0)202 6474-0 Telefax: +49 (0)202 6474-100 E-mail: [email protected] Internet: www.schmersal.com Elan Schaltelemente GmbH & Co. KG Im Ostpark 2 D-35435 Wettenberg Postfach 1109 D-35429 Wettenberg Telefoon: +49 (0)641 9848-0 Telefax: +49 (0)641 9848-420 E-mail: [email protected] Internet: www.elan.de

Redactie Friedrich Adams K.A. Schmersal Holding GmbH & Co. KG Hoofd Schmersal tec.nicum Telefoon (mobil): +49 (0)178 6474-051 Telefoon (Wuppertal): +49 (0)202 6474-700 Telefoon (Homeoffice): +49 (0)6406 8362-37 Telefax (Wuppertal): +49 (0)202 6474-700719 Telefax (Homeoffice): +49 (0)6406 8362-38 E-mail: [email protected]

Samenstelling flick-werk – Werbe-Grafik Heinz Flick, 35075 Gladenbach

137

Veiligheidstechnologie Veiligheid in het systeem Bescherming voor mens en machine

Vaak is de interventie van de mens in de arbeidscyclus van een machine onvermijdelijk, bijvoorbeeld bij het inzetten en uitnemen van onderdelen, om de machine te reinigen, voor het onderhoud van de machine... In deze gevallen moet de veiligheid van de operator gegarandeerd zijn. Zo gebiedt de verantwoordelijkheid van de machine-eigenaar en zo vereisen de wereldwijde normen en richtlijnen voor machineveiligheid. De Schmersal Groep draagt met haar producten al jarenlang haar steentje bij aan de veiligheid op de werkvloer en biedt de industrie vandaag de dag het grootste programma veiligheidsschakelcomponenten en –systemen ter wereld voor de bescherming van mens en machine. Onder het motto “Veiligheid in het systeem – Bescherming van mens en machine” ontwikkelen en vervaardigen de bedrijven van de Schmersal Groep veiligheidsschakelcomponenten die rekening houden met deze systeemgedachte en optimaal in de arbeidscycli

138

geïntegreerd kunnen worden. Want wij zijn ervan overtuigd dat veiligheid en een hoge productiviteit hand in hand kunnen gaan. Het uitzonderlijk uitgebreide productspectrum vindt zijn oorsprong in de klantgerichtheid van onze ontwikkelings- en productmanagementafdelingen: vele producten werden op verzoek van onze klanten ontwikkeld of aan specifieke toepassingsvoorwaarden aangepast. Ook de uitbouw van ons bedrijf van kleine onderneming tot een sterke groep heeft voor een grondige uitbreiding van onze productportfolio gezorgd. Vandaag treedt de Schmersal Groep naar voren als een wereldwijd actieve groep van ondernemingen, die zich als competentiecentrum telkens op bepaalde gebieden van de veiligheidsschakelcomponenten en –systemen concentreren. Zo biedt de Schmersal Groep haar klanten veiligheid in het systeem en bescherming voor mens en machine.

Meer details

Uitvoerige informatie over ons productaanbod vindt u op het Internet: www.schmersal.com, technische detailinformatie vindt u op www.schmersal.net

Online documentatie in zes talen Het online aanbod voor onze klanten wordt permanent uitgebreid. Onze totaalcatalogus kan volledig en in zes talen op Internet geraadpleegd worden. Maar niet alleen de technische gegevens van het volledige productprogramma zijn de klok rond beschikbaar: ook de conformiteitsverklaringen, de testcertificaten en de montagehandleidingen van onze producten kunnen hier geraadpleegd of gedownload worden.

Service voor de machinebouwer De online catalogus bevat ook de technische tekeningen van onze producten. Dit is een speciale service voor de machinebouwer: hij kan hier de tekeningen downloaden en deze rechtstreeks in zijn CAD-systeem overnemen. Bovendien bevat de homepage van Schmersal ook het laatste nieuws over vakoverschrijdende thema’s – bijvoorbeeld gespecialiseerde artikels over machineveiligheid en tips over opleidingen, beursdeelnames en workshops. Een goede raad: neem regelmatig eens een kijkje! De rechtstreekse lijn Natuurlijk kunt u ons ook gewoon bellen, als u meer informatie over een bepaald product of onderwerp nodig heeft of een gesprek met onze vertegenwoordigers wenst:

Tel.: +32 (0) 16.57.16.18 Wij staan voor u klaar!

139

140

Telefon: Telefax: E-Mail: Internet:

Telefon: Telefax: E-Mail: Internet:

+49 (0)202 6464-0 +49 (0)202 6474-100 [email protected] www.schmersal.com

Im Ostpark 2 D-35435 Wettenberg Postfach 11 09 D-35429 Wettenberg +49 (0)641 9848-0 +49 (0)641 9848-420 [email protected] www.elan.de

© flick-werk

Elan Schaltelemente GmbH & Co. KG

0.000 / X / 02.2009 / 0000000 / Ausgabe 01

K.A. Schmersal GmbH Industrielle Sicherheitsschaltsysteme Möddinghofe 30 D-42279 Wuppertal Postfach 24 02 63 09 D-42232 Wuppertal

Specifieke achtergrondinformatie bij EN ISO :2006* voor de verkoopsmedewerkers en geïnteresseerde klanten van Schmersal en Elan

Recommend Documents