Standaard-PLC versus Failsafe-PLC (F-PLC)

Standaard-PLC versus Failsafe-PLC (F-PLC)

Nick de With Fusacon B.V. Senior Safety Consultant Telefoon: 06 611 915 917 E-mail: [email protected] Ruud Dofferhoff Siemens Nederland N.V. Sales Support Specialist Machineveiligheid Telefoon: 070 333 3404 E-mail: [email protected]

www.fusacon.nl www.siemens.nl/industry/machineveiligheid Standaard-PLC versus Failsafe-PLC - 05-2016

1

Standaard PLC in ”veiligheidscircuit”? Remark from an electrical engineer:

Bron: Linkedin group “IEC 62061 and ISO 13849 machinery functional safety”

In practice standard PLCs are pretty reliable and if something goes wrong with them they just stop working with their outputs off. Double up the outputs and add some cross monitoring back to the inputs or some other item with logic such as a drive and you can have a pretty reliable system which is probably comparable to a safety relay.

Standaard-PLC versus Failsafe-PLC - 05-2016

2

Principe-opbouw veiligheidsfunctie met standaard PLC

Besturingsfunctie

Eindstand

Input (sensoren)

logic (besturing)

Output (schakelen)

Motor

Aandachtspunten: - Hoe wordt de veiligheid van de hardware EN software gewaarborgd? - Wat is de betrouwbaarheid van de gebruikte componenten? - Hoe toon ik als ontwerper aan dat de veiligheidsfunctie volstaat voor het risiconiveau uit de risicobeoordeling? Standaard-PLC versus Failsafe-PLC - 05-2016

3

Elke standaard PLC kent 3 typen software Laptop / PG Fixed Programming Language = FPL Limited Variability Language = LVL Full Variability Language = FVL

Programmeerbaar Electronisch Systeem (PC of PLC of andere programmeerbare electronica)

Applicatie software

Libraries

Diagnostic Software

Functie 1

Support Functions

Functie 2 Functie .. Standaard-PLC versus Failsafe-PLC - 05-2016

Operating System

Embedded software 4

VOORBEELD: Mogelijk probleem met geheugen PES

65=1000001

One Bit Failure 1100001=97

Sensor

Input Module

Logic Module

Output Module

Actuator

S1

Als T > 65°C dan sluit de klep

Process

5

Wettelijke eisen Machinerichtlijn 2006/42/EG

Wet iemand van u wat de huidige Machinerichtlijn zegt over de veiligheid van het machine-besturingssysteem?

Wat wordt er wettelijk geeist? Page 6

6

Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 1.

zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf,

2.

een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt,

Ad. 2. Geldt dus voor falen hardware en fouten in embedded software! Page 7

7

Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 3.

fouten in de besturingslogica niet tot een gevaarlijke situatie leiden,

4.

redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke situatie leiden.

Ad. 3. Geldt dus voor fouten in applicatie software! Page 8

8

Wat is de enige zekerheid in de techniek…

Na een storing door een foutieve aansluiting van een meetwaarde- omvormer door een monteur zei Murphy tegen hem: "If there is any way to do it wrong, he'll find it.“ Later is dit geworden: "If anything can go wrong, it will“ http://www.murphys-laws.com

Edward Aloysius Murphy, Jr. Amerikaanse ruimtevaart-ingenieur die aan veiligheid-kritieke systemen werkte. 9


Logic Solver

SENSOR

MOTOR CONTACTOR

Facts: •

Elk product kan falen.

•

Murphy’s law geldt ook hier….

•

Wanneer het faalt is de…?

•

Faalkans is te berekenen!

NEN-EN 954-1 hield helemaal GEEN rekening met faalkans component(en).

10


De volgend twee normen houden WEL rekening met de faalkans van componenten/subsystemen:

NEN-EN-(IEC) 62061, functionele veiligheid SRECS; Safety Integrity Level 3 niveau’s: SIL1, SIL2, SIL3.

NEN-EN-ISO 13849 deel 1 en deel 2, ontwerp en verificatie SRP/CS; Performance Level: 5 niveau’s: PLa, PLb, PLc, PLd, PLe

11

Kent iemand de functie van de veiligheidspal?

Veiligheidspal

12

VHC werkt als veiligheidspal van pistool! Standaard-PLC

Overig

Motoren/ Cilinders

Veiligheidsrelais

Veiligheids-PLC met of zonder Safe bus systeem © 2014 FUSACON B.V. - www.fusacon.nl

Page13 13

Wat is het verschil tussen de standaard PLC en de fail-safe PLC?

ZOEK DE VERSCHILLEN!!!!! 14

Principe-opbouw besturingsfunctie Kan/mag een standaard besturing een veiligheidsfunctie uitvoeren ?

Besturingsfunctie

Input (sensoren)

Eindstand

logic (besturing)

Output (schakelen)

Motor

Aandachtspunten: - Wat is het risico op letsel? - Hoe wordt de veiligheid gewaarborgd van de functie?

- Wat is de kwaliteit van de gebruikte hardware componenten? - Welke eisen moeten er aan de software gesteld worden? Standaard-PLC versus Failsafe-PLC - 05-2016

15

Principe-opbouw besturing met separate veiligheidsfunctie Principe-opbouw standaard besturingsfunctie en separaat opgebouwde veiligheidsfunctie Besturingsfunctie

Eindstand

Input (sensoren)

logic (besturing)

Output (schakelen)

Motor

Reacting

Motor

Veiligheidsfunctie

Noodstop

Detecting

Evaluating

16

Wat is nu eigenlijk karakteristiek voor een veiligheidsfunctie? Foutdetectie en waarborgen veiligheid: Welke fouten al dan niet herkend worden is afhankelijk van de diagnosemogelijkheden binnen een veiligheidsfunctie Veiligheidsfunctie

Noodstop

Foutdetectie door:

Detecting

Evaluating

Checks/diagnose !

Reacting

Motor

Storingen/fouten (intern/extern)

- Opbouwstructuur

- Uitgevoerde checks / diagnosemogelijkheden - Intelligentie van de gebruikte componenten


17

Voorbeeld: veiligheidsfunctie met veiligheidsrelais

Q1

Q2

Waarborgen veiligheid van de functie door foutdetectie en diagnose: - 2-kanaals-opbouw / wijze van aansluiten

- Testpulsen door de kanalen / feedbackcircuit magneetschakelaars - Gebruik van de juiste componenten of b.v. veiligheidscomponenten met eigen intelligentie Standaard-PLC versus Failsafe-PLC - 05-2016

18

Basisprincipe veiligheidsrelais: ‘relais-techniek’

Mogelijke fout: kortsluiting in noodstopknop

Ch.2

Ch.1

Noodstop Indrukken/ uittrekken

Noodstopknop

UB A1 (L+)

A2 (L-) S11 S12 S12

Terugkoppelcircuit S22 Y1 Y2

Veiligheids-contacten, mechanisch gedwongen 13

23 33 41

* K1

F1

K1 G1

~

+

K3 K1 K3 K2

K2

=

Hulpverbreekcontacten; alleen voor signalering

Relais met mechanisch gedwongen veiligheidscontacten

K2 K1

K2

K3

C1 K3

** S33

S34

14

24 34 42

Resetknop Standaard-PLC versus Failsafe-PLC - 05-2016

Met ‘relais-techniek’` geheugenfunctie voor één enkele fout!!!!! 19

Mechanisch gedwongen?! Mechanisch gedwongen verbreekcontact houdt in: Het NC en NO contact van een contactset moeten niet gelijktijdig gesloten kunnen zijn. EN 50205:2002: Relays with forcibly guided (mechanically linked) contacts Mechanische koppeling/-link

Mechanisch gewongen contacten

Gegatrandeerde contactscheiding van min. 0,5 mm

Vastgeplakt contact


EN 50205: It must be ensured that contact spacings of at least 0,5mm exist over the entire lifetime, even under faulty conditions (e.g. contact welding)

20

Testpulsen ingangscircuits

0,2 ms

1 ms / 3 ms

T1 T2

T3 T4


21

Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais Harware-configuratie , in combinatie met .…

Logic


22

Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais …. Software-configuratie:

Gecertificeerde failsafe functieblokken met specifieke parameter-settings Standaard-PLC versus Failsafe-PLC - 05-2016

23

Principe-opbouw veiligheidsfunctie met een failsafe PLC Veiligheidsfuncties worden geïntegreerd binnen de PLC „Veiligheids-systeem“

Veiligheidsdeur

input / detecting (sensoren)

logic / evaluating (besturing)

output / reacting (schakelen)

Motor

 Met een failsafe PLC zijn adequate foutdetectie en diagnose van veiligheidsfuncties gewaarborgd !


24

Basis-technieken F-PLC Welke technieken zitten er wel in een F-PLC en niet in een Standaard-PLC ?

 Redundante CPU-opbouw (hardware-redundantie / software-redundantie)  Zelftest CPU en hardware  Redundantie hardware incl. diagnose

 Gescheiden opbouw van standaard- en veiligheidsfuncties


25

Foutdetectie en diagnose met een failsafe PLC Mogelijk optredende fouten in een veiligheidsfunctie „Veiligheids-systeem“

Veiligheidsdeur

Kortsluiting, Aardfout, Draadbreuk, Verkeerd bedraad



Dataverlies, datacorruptie, Communicatie vertraging


Processorfout, Geheugenfout

Tijdbewaking/-redundantie

Foutdetectie en diagnose door F-CPU: Coded Processing en interne tests Profisafe: communicatiefouten F-I/O: twee kanaals processor en bedradingstests Tijdbewaking voor afhandeling van de instructies Standaard-PLC versus Failsafe-PLC - 05-2016

Motor

Kortsluiting, Aardfout, Draadbreuk

tijd

26

F-CPU Klassiek F-controller principe: structural redundancy (HFT)  Twee of meer identieke controllers/CPU’s  Allen voeren hetzelfde programma uit  De resultaten worden vergeleken

Safety Advanced F-controller principle: Coded Processing  Genereren van een schaduw programma met behulp van de F-compiler  Geprogrammeerd programma en schaduwprogramma worden achter elkaar uitgevoerd (tijdbewaking).  Resultaten worden vergeleken  Toepassing van een failsafe systeem met één enkele F-CPU Standaard-PLC versus Failsafe-PLC - 05-2016

27

Software varianten Programmeer software (laptop / PG) Fixed Programming Language = FPL Limited Variability Language = LVL Full Variability Language = FVL

Programmeerbaar Electronisch Veiligheidssysteem (Programmable Electronic Safety System)

F-Libraries

Safety-applicatie software

Safety Functie 1

Diagnostic Software Support Functions

Safety Functie 2 Safety Functie ..


Operating System

Embedded safety software 28

Failsafe PLC – Redundante opbouw Geheugenbereik: gescheiden opbouw voor standaard- en safety-programma F-Controller Standaard-programma

Safety-programma

Standaard-programma

Failsafe-programma


29

Werking F-CPU Afloopproces: constateren van verschillen en tijdbewaking z=x+y x=2 y=3

z=5

Ingangen

Programma

Uitgangen

xc = f(x)

Verkeerde ingang: 13+21=34

yc = f(y)

Verkeerde uitvoer: 14+21+3=38

Vergelijk

≠

zc = xc + yc xc = 14 yc = 21

Schaduw ingangen

zc = 35

Schaduwprogramma

Tijd-redundantie


Schaduw Uitgangen

t 30

Failsafe cyclus van de F-CPU

(F-CALL)

Lees F-PII (F_CTRL_1) Uitvoer F programma

Uitvoer schaduw F-programma

F-runtime groep

Vergelijk resultaat Schrijf F-PIO (F_CTRL_2)

t


31

Coded Processing – S7 Referentiedata

F-gebruikersprogramma


F-schaduwprogramma

32

Opbouw veiligheidsfunctie met F-PLC: F-DI + F-CPU + F-DO/F-RO

F-DI

μP Left

μP Right

PROFIsafe telegram Data

PROFIsafe Input Driver

CRC F-CTRL 1

Data x

Coded xc

F FBs STEP 7

z=x+y

zc = xc + yc

F-Coded FBs

Data

CRC

F-CTRL2

uP Right

PROFIsafe Output Driver

F-CPU

Tijdbewaking/ -redundantie ≠

PROFIsafe telegram

F-DO

uP Left

Plus

Minus

Resultaat CRC niet correct:  PROFIsafe stopt of  CPU stopt

(CRC: Cyclische Redundatie Controle) Standaard-PLC versus Failsafe-PLC - 05-2016

tijd

33

Toepassing met centrale opbouw versus decentrale opbouw Één centrale besturing

Besturing met Remote I/O en veldbus-communicatie F-CPU

F-CPU + F-I/O

Remote F-I/O

Veldbus met failsafe communicatie


34

Hardware-technieken Failsafe I/O F-I/O modules:  Twee kanaals processor systeem  Zelftests en vergelijkingen  Detectie van interne- en externe fouten

μP

Beide processoren genereren en vergelijken een compleet Profisafe message frame. Om transmissiefouten te detecteren, stuurt iedere processor slechts een deel van het bericht (message frame).

μP

DATA+STATUS

CRC


PROFIsafe message frame

35

Principe-opbouw failsafe ingangsmodules (F-DI) Blokdiagram F-DI-modules:

Aansluitvoorbeelden (SIL3 / Cat.4 / PLe): 1x2 FDI: - één 2-kanaals sensor, - voedingsspanning intern verzorgd

1x2 FDI: - één 2-kanaals sensor, - voedingsspanning extern verzorgd

2x1 FDI: - twee 1-kanaals sensoren, - onderling mechanisch gekoppeld, - voedingsspanning intern verzorgd Standaard-PLC versus Failsafe-PLC - 05-2016

36

Test-pulsen failsafe ingangen (F-DI) Foutherkenning m.b.v. testpulsen in het ingangscircuit

F-DI

Sensor Kanaal 1: T1

Kanaal 2: T2

0,2 ms

1 ms / 3 ms

T1 T2 T3 T4

Foutdetectie: Kortsluiting sensor Verkeerde bedrading sensor / kruislingse sluiting Aardfout Kabelbreuk Discrepantiefout Standaard-PLC versus Failsafe-PLC - 05-2016

37

Software-technieken Failsafe ingangsmodules Gecertificeerde failsafe ingangs-databouwstenen met specifieke parameter-instellingen


38

Principe-opbouw failsafe uitgangsmodules (F-DQ) Blokdiagram F-DQ-modules:

Aansluitvoorbeelden: 1x FDQ: (SIL1 / Cat.2 / PLc) - één actuator, - feedbackcircuit via DI

XX

2x FDQ: (SIL3 / Cat.4 / PLe) - twee actuators (redundantie), - feedbackcircuit via DI

YY

1x FDQ: (SIL3 / Cat.4 / PLe) - twee parallel geschakelde actuators, - PLC en actuators zijn in dezelfde schakelkast gemonteerd, - feedbackcircuit via DI Standaard-PLC versus Failsafe-PLC - 05-2016

39

Light-test / dark-test failsafe uitgangen (F-DQ) Zelftest failsafe uitgangen: light-test / dark-test Uitgang ‘hoog’: dark-test (shutdown test)

Uitgang ‘laag’: light-test (switch on test)

1e

1e

2e

2e

Foutdetectie: Testen uitgang P / M (readback time) Kortsluiting / kruislingse sluiting uitgang Standaard-PLC versus Failsafe-PLC - 05-2016

Uitgang ‘laag’: light-period test (activated light-test)

Foutdetectie: Draadbreuk / belasting ontbreekt Overbelasting 40

Software-technieken Failsafe uitgangsmodules Failsafe uitgangsmodules met specifieke parameter-instellingen


41

Veldbussystemen en failsafe communicatie Hoe betrouwbaar is signaaloverdracht via een bussysteem?

F-CPU Mogelijke communicatie en transmissiefouten: - Bericht/telegram herhaling

Remote F-I/O

- Verlies van data/bericht - Invoegen van ongewenst bericht - Verkeerde volgorde van afhandeling

Veldbus met failsafe communicatie

- Datacorruptie/-verminking - Bericht vertraging


42

Voorkomen van transmissiefouten in een veldbus Veldbussystemen voor industriële automatisering garanderen maatregelen om fouten af te vangen


43

Failsafe communicatie is gewaarborgd in failsafe veldbussystemen Voorbeeld: PROFINET industriële veldbus met PROFIsafe veiligheidsprotocol  PROFIsafe is een internationale standaard (IEC)

 Seriële nummering  Tijd controle

Safetydata

PROFIsafe layer

 Betrouwbaarheidscontrole  Cyclische redundantie controle (CRC)

 PROFIsafe ondersteunt standaard- en failsafe communicatie via één enkele bus  Gecertificeerd door

Standaard data

en

Standaard data

PROFIsafe layer

Standaard bus protocol

Standaard bus protocol

PROFIBUS of

PROFINET

"Black channel"

 PROFIsafe controleert op potentiële fouten (bv. foutieve adressen, vertragingen, verlies van data) d.m.v.:

Safetydata

IFA


44

Met een veiligheids-PLC kan het machine-ontwerp flexibel worden uitgevoerd Identieke functionaliteit voor elke systeem-opzet: PLC niveau

PLC niveau

I/O niveau

I/O niveau

PLC, I/O en bus gescheiden

Eén PLC, maar gescheiden I/O en bus

PLC niveau

PLC niveau

I/O niveau

I/O niveau

Eén bus, maar gescheiden PLC en I/O Standaard-PLC versus Failsafe-PLC - 05-2016

Eén PLC, één bus, en gecombineerde I/O 45

Een ‘echte’ veiligheidsbesturing (F-PLC) herkennen Hoe herken je een F-PLC ?

Display / apparaat

Software Standaard-PLC versus Failsafe-PLC - 05-2016

46

Faalkans gegevens (F-PLC) Hoe controleer je of een F-PLC wel echt veiligheidsbesturing genoemd mag worden?

Documentatie: faalkans gegevens

IFA Safety Evaluation Tool: faalkans gegevens faalkans berekeningen

Test / keuringscertificaten Standaard-PLC versus Failsafe-PLC - 05-2016

47

Welke VHC EG-type-onderzoek? Deurschakelaar

Noodstopknop Veiligheidsmat

Lichtgordijn

EG-type-onderzoek: Mutingsensor

Welke VHC’s wel en welke niet? Tweehanden-bediening

Hold-to-run Magnetische deurschakelaar

Laserscanner

Inloopbeveiliging

48

Veiligheidscomponenten en de Machinerichtlijn MRL 2006/42/EG: Bijlage IV: (uitgebreidere) limitatieve lijst met machines en veiligheidscomponenten, waarvoor EG-type-onderzoek door Notified Body noodzakelijk is. Bijlage V: indicatieve lijst van veiligheidscomponenten, die door EU kan worden uitgebreid.

EG-Verklaring van overeenstemming moet uitsluitsel geven!

49

2006/42/EG Bijlage IV EG-type-onderzoek is must! 19. Detectoren voor de aanwezigheid van personen.

(redactie: algemenere tekst; gedetailleerde uitleg in Guide to MD.) 20. Aangedreven beweegbare afschermingen met vergrendeling voor de machines, bedoeld in de punten 9, 10 en 11. 21. Logische eenheden voor veiligheidsfuncties.

(redactie: ALLE logische eenheden, niet alleen 2-handenbediening) 22. Kantelbeveiligingsinrichtingen (ROPS). 23. Constructies ter bescherming tegen vallende voorwerpen (FOPS).

50

21. Logische eenheden voor VHF’s Het gaat om complexe componenten die:

voldoen aan de definitie van veiligheidscomponent en één of meer ingangssignalen analyseren en met een bepaald algoritme een of meer uitgangsignalen voortbrengen en bedoeld zijn, om samen met het besturingssysteem van een machine of een deel daarvan, één of meer beveiligingsfuncties uit te voeren.

Opmerking: Het besturingssysteem dient echter niet als één logische eenheid te worden beschouwd. Eenvoudige organen als elektromagnetische sensoren of schakelaars die enkel een ingangssignaal in een uitgangssignaal omzetten, moeten niet als logische eenheid worden beschouwd.

Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010 51

21. Logische eenheden voor VHF’s Logische eenheden ter verzekering van veiligheidsfuncties zijn bijvoorbeeld:

•

logische eenheden voor bedieningsorganen die met twee handen moeten worden bediend;

•

veiligheids-PLC’s;

•

componenten voor de logische verwerking van veiligheidsgerelateerde signalen van veiligheids-bussystemen.

Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010 52

Wie is NOBO voor VHC-en? Aangemelde instantie (Notified Body) Nationale overheid wijst NOBO aan en controleert deze

EU-NOBO’s voor VHC: TÜV’s, BG’s, DNV, etc. NL-NOBO’s voor VHC: Aboma (ROPS/FOPS), Liftinstituut (Logic units) LET OP: Niet elke NOBO voor VHC-en aangewezen!

Controleren via: NANDO Information System (New Approach Notified and Designated Organisations) Bron: http://ec.europa.eu/enterprise/newapproach/nando/ 53

Wat doet een Notified Body? Onderzoekt compleetheid Technisch Dossier. Controle/meting/beproeving of aan fundamentele V&G-eisen MRL is voldaan. Controle/meting/beproeving of aan de geldende geharmoniseerde EN-normen is voldaan. Bij goedkeuring opstellen:

 ‘Verklaring van EG-type-onderzoek’. (certificate +nr.)  Rapport van de EG-type goedkeuring. (report + nr.)

 Voorwaarden geldigheid benoemen. 15 jaar bewaren resultaten EG-type-onderzoek.

54

Inhoud EG-VVO VHC Bijlage II EG Conformiteitsverklaring volgens Bijlage IIA •

Naam/adres fabrikant en gemachtigde. (in voorkomend geval)

•

Naam TD samensteller.

•

EU-richtlijnen (MRL/EMC/ATEX?)

•

* Naam/ adres/ nr. NOBO (type onderzoek volgens Bijlage IX)

•

* Nr. EG-type-onderzoek

•

Naam/ adres/ nr. NOBO. (volledige kwaliteitsborging volgens Bijlage X)

•

EN-/ nationale normen.

•

Identiteit/ handtekening ondertekenaar.

* LET OP: Items met ster ervoor vervallen bij de “niet-Bijlage IV” VHC 55

… en dan nu een veiligheidsfunctie met een standaard PLC Welke foutdetectie en diagnose zijn bij een veiligheidsfunctie mogelijk met een standaard PLC ? „Veiligheids-systeem ?“

Veiligheids deur



Welke checks/ diagnose zijn mogelijk ?


Motor

Welke storingen/fouten worden gedetecteerd ?

Sensor-fouten:

Bekabelings-/bussysteem-fouten:

CPU-fouten:

Actuator-fouten:

- Kortsluiting - Aardfout - Draadbreuk

- Verkeerd bedraad - Dataverlies - Datacorruptie - Communicatie vertraging Standaard-PLC versus Failsafe-PLC - 05-2016

- Processorfout - Geheugenfout

- Kortsluiting - Aardfout - Draadbreuk 56

Inzet standaard-PLC voor machineveiligheid-toepassingen: kan dat? Een veiligheidsfunctie met een standaard PLC heeft slechts beperkte foutdetectie en diagnose ! „Veiligheids-systeem ?“

Veiligheids deur



Welke checks/ diagnose zijn mogelijk ?


Motor

Welke storingen/fouten worden gedetecteerd ?

 Door de opbouwstructuur van een standaard PLC is bij een veiligheidsfunctie slechts beperkte foutdetectie en diagnose mogelijk.

 Dit betekent dat bij een standaard PLC de foutdetectie en diagnose extern (zelf) gebouwd dient te worden om de noodzakelijke veiligheid van een veiligheidsfunctie te kunnen waarborgen ! Standaard-PLC versus Failsafe-PLC - 05-2016

57

Risicobeoordelingstraject is en blijft ‘leading’ Het uit de risicobeoordeling volgend vereiste veiligheidsniveau van de applicatie moet gewaarborgd kunnen worden….

…. ook als een standaard-PLC voor veiligheid toegepast zou worden !

Risico-analyse

Risicoreductie

Safety Integrated – Normen Functionele Veiligheid in de praktijk

Bewijs

58

Aandachtspunten bij inzet standaard-PLC voor machineveiligheid-toepassingen Zorg dat u kunt aantonen ‘dat het goed is’ !  Veiligheidsfuncties bouwen met zelf gebouwde veiligheidscomponenten of –systemen betekent ook

zelf aan kunnen tonen dat deze voldoen: - U bent verantwoordelijk ! - Risicobeoordeling: onderbouwing / certificering van veiligheidsfuncties conform de Machinerichtlijn - Bewijs: documenteren, verificatie en validatie (TD)  Bij wijzigingen of aanpassingen in veiligheidscircuits OF standaardprogramma dienen procedures opnieuw

doorlopen en gedocumenteerd te worden  Gebruik van actuele stand der techniek technologie garandeert juridische zekerheid (een F-PLC is tegenwoordig een geaccepteerd ‘common good’)

BELANGRIJK: Wat niet vastgelegd en gedocumenteerd is, wordt geïntrepeteerd als niet uitgevoerd ! Standaard-PLC versus Failsafe-PLC - 05-2016

59

Bewijs en documentatieproces – ook voor software-wijzigingen

Documenteer de maatregelen

Bewijs

Voer de validatie uit

Bewijs naleving van de richtlijn CE-markering aanbrengen

Basis stappen

Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan

Veiligheidsfuncties

Software

Omgevingscondities

Bedieningsinstructies

Voorbereiden validatierapport

Bij elke software wijziging zal het validatieproces opnieuw doorlopen moeten worden (met het V-model) Safety Integrated – Normen Functionele Veiligheid in de praktijk

60

Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules Volledige veiligheidsberekening ….


61

Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules … en goedkeuring door NoBo


62

Kosten voor certificering veiligheidsfuncties Onderschat certificeringskosten van veiligheidsfuncties niet !

 De kosten voor documenteren en certificeren van zelf ontworpen veiligheidsfuncties kunnen snel oplopen  Het te doorlopen traject kost tijd

Rekenvoorbeeld voor één eenvoudige veiligheidsfunctie: - Tijdsbestek doorlopen traject:

ca. 2 – 4 weken

- Kosten voor de machinebouwer:

ca. € 10.000,- – € 20.000,-

- Kosten keuringsinstantie / NoBo:

ca. € 5.000,- – €10.000,-


63

Safety Integrated: Oplossingen – Ondersteuning – Tools

www.siemens.nl/industry/machineveiligheid 64

Standaard-PLC versus Failsafe-PLC (F-PLC)

Recommend Documents