Safety Integrated: Normen machineveiligheid

Transcriptie

1 EN ISO EN Safety Integrated: Normen machineveiligheid Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO (PL) en EN (SIL) Safety Integrated Normen Functionele Veiligheid 1

2 Het nut van veiligheidstechnologie Veiligheid vraagt om bescherming tegen gevaar voor Mens Milieu Machine Proces Wettelijk verplichte bescherming Economisch verantwoorde veiligheid Gevaarlijke situaties die ontstaan door functiefouten moeten worden voorkomen vóór dat ze optreden! Safety Integrated Normen Functionele Veiligheid 2

3 Functionele veiligheid heeft betrekking op dat deel van de machine of productie-installatie waarbij de veiligheid afhangt van het correct functioneren van besturingen en afschermingen Dit voorkomt: Mens Machine Letsel (of dood) van mensen Vernietiging of beschadiging van - productie-faciliteiten (machines) en - productie-kwaliteit (productieverlies en uitval) Functionele veiligheid moet een integraal onderdeel zijn van elke machine! Safety Integrated Normen Functionele Veiligheid 3

4 Toenemend belang veiligheidstechniek In veel productie-installaties schuilen gevaren voor mens en machine. Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken: 1 e Wettelijke richtlijnen voor machinebouwers en installatiebeheerders (Machinerichtlijn, CE-markering) 2 e Economische gegronde redenen: - b.v. het voorkomen van ongelukken en productiestilstand - of het verhogen van de beschikbaarheid van de installatie - machine en materiaal tegen schade behoeden (investering!) Uw marktkansen worden verbetert dankzij de toenemende vraag naar veilige machines! Safety Integrated Normen Functionele Veiligheid 4

5 Veilige machines Wat maakt een machine veilig??? Veilig ontwerp Additionele veiligheidsmaatregelen id l Bescherming voor het bedieningspersoneel Safety Integrated Normen Functionele Veiligheid 5

6 Veiligheid begint met bewustwording Industriële automatisering Safety Integrated Normen Functionele Veiligheid 6

7 Belangrijke e wijzigingen ge van wetgeving g en normalisatie in de machinebouw Machinerichtlijn EN edruk Categorie, SIL en PL EN ISO EN ISO (PL) EN EN (SIL) Welke methode kiezen: SIL of PL? Safety Integrated Normen Functionele Veiligheid 7

8 Normen Functionele cto eeveiligheid ed Machinerichtlijn EN e druk Categorie, SIL en PL EN ISO EN Welke methode kiezen: SIL of PL? EN ISO (PL) in detail EN (SIL) in detail Safety Integrated Normen Functionele Veiligheid 8

9 Machinerichtlijn (2006/42/EG) De belangrijkste feiten op een rij: Ingangsdatum: 29 december 2009 Geen overgangstermijn Aangepaste eisen aan besturing Verdwijnen van IIC verklaring (IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten) Eisen niet-voltooide machines (IIB machines) aangescherpt Montagehandleiding IIB machines TCD niet-voltooide machines vereist Veiligheid wordt meetbaar Safety Integrated Normen Functionele Veiligheid 9

10 Overzicht belangrijkste normen Machinerichtlijn Geharmoniseerd onder de EU Machinerichtlijn: EN ISO (samenvoeging van EN ISO en EN ISO 14121, overgangstermijn 3 jaar) Leidraad voor risicobeoordeling Basisbegrippen en algemene ontwerpbeginselen EN Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen EN ISO (voorheen EN 418) Veiligheid van machines - Noodstop - Ontwerpbeginselen EN ISO /-2 (EN 954-1/-2) Veiligheid van machines - Veiligheidgerelateerde g gedeelten van besturingssystemen (SRP-CS) EN Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 1: algemene eisen en beproevingen EN Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen (SRECS) Safety Integrated Normen Functionele Veiligheid 10

11 Overzicht belangrijkste normen Machinerichtlijn Niet geharmoniseerd onder de EU Machinerichtlijn: IEC Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/- programmeerbare elektronische systemen IEC , -3, -4 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 2, -3, -4 - Meer informatie: Safety Integrated Normen Functionele Veiligheid 11

12 Overzicht Relevante machineveiligheid-normen voor functionele veiligheid Machinerichtlijn 98/37/EG 2006/42/EG EN 954-1: 1996 (Cat) Overgangsfase tot EN ISO (PL) PL EN (SIL) SIL Vanaf Januari 2012 mag EN (Cat.) niet meer toegepast worden! Het uitfaseren van de EN naar EN en EN ISO heeft tot gevolg dat u nu moet overstappen naar SIL of PL Safety Integrated Normen Functionele Veiligheid 12

13 Hiërarchische structuur EN - Normen EN IEC Basisveiligheidsnormen Veiligheidsaspect id normen Specifieke normen B1 Normen Behandeling van gemeenschappelijke gevaarzettende aspecten A-TYPE normen Basisontwerprichtlijnen en basisbegrippen voor machines B-TYPE normen C-TYPE normen B2 Normen Algemeen toepasbare veiligheidsvoorzieningen Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten EN ISO (EN ISO EN ISO 14121) EN ISO (EN 954) EN b.v. EN ISO (EN 418) (Noodstops) b.v. EN 692 (machinegereedschappen lasmachines) Safety Integrated Normen Functionele Veiligheid 13

14 Richtlijnen, wetten en normen Artikel 95 EG-verdrag (machineveiligheid) Machineveiligheid Artikel 137 EG-verdrag (sociale veiligheid) Kaderrichtlijn veiligheid werknemers (89/391/EG) Laagspannings richtlijn (2014/35/EU) Machine- richtlijn (2006/42/EG) Richtlijn arbeidsmiddelen (2009/104/EG) Eventueel andere richtlijnen Geharmoniseerde EN Europese normen ISO Nationale wetsvoorschriften Fabrikant Gebruiker Scope vandaag: functionele veiligheid volgens EN en EN ISO Safety Integrated Normen Functionele Veiligheid 14

15 Geharmoniseerde normen vermoeden van overeenstemming Basisnormen voor veiligheidgerelateerde besturingsfuncties Ontwerp- en risicobeoordeling van de machine EN ISO (EN ISO EN ISO 14121, overgangsperiode tot eind 2013) Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject Functionele- en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen Ontwikkeling en realisatie van veiligheidgerelateerde besturingssystemen EN 62061: 2005 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen Willekeurige opbouwstructuren (architecturen) Safety Integrity Level (SIL), SIL 1, SIL 2 SIL 3 EN ISO : 2015 Veiligheid van machines Veiligheidgerelateerde gedeelten van besturingssystemen, deel 1: algemene principes - Opvolger van EN 954-1: Overgangsperiode tot dec Bepaald architectuur (categorie) Perfomance Level (PL) PL a, PL b, PL c, PL d, PL e Elektrische veiligheid EN Veiligheid van machines Elektrische onderdelen van machines, deel 1: algemene eisen Safety Integrated Normen Functionele Veiligheid 15

16 Bijlagen Machinerichtlijn 2006/42/EG Nieuwe eisen aan de besturing - Defecten, bedieningsfouten, - Operationele- en noodstop Noodstop is geen vervanger van veiligheidsmaatregelen (is voor beperken van letsel/schade na incident, of aanvullende beveiliging) Lijst van veiligheidscomponenten Safety Integrated Normen Functionele Veiligheid 16

17 Bijlage V Machinerichtlijn 2006/42/EG Veiligheidscomponenten Eenheden voor veiligheidsfuncties Afschermingen Persoonsdetectie Noodstopvoorzieningen Tweehandenbediening Kleppen met storingsdetectie t ti. (momenteel zo n 17 items) Safety Integrated Normen Functionele Veiligheid 17

18 Hoe maak je een machine veilig? Voorkomen van gevaarlijke situaties RIE (Risico Inventarisatie en Evaluatie) Stappenplan: 1. Identificeren van het gevaar (analyse) 2. Risicobeoordeling van het gevaar (schatting / -evaluatie) 3. Bepaling maatregelen voor risicoreductie i i (reductie: d i definities i i / maatregelen) ) 1 e Ontwerp / mechanische oplossingen (b.v. afscherming met hek of beschermkap) 2 e Elektronische en elektrische oplossingen 3 e Organisatorische maatregelen (b.v. gebruikershandleiding, training machine-operators) De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 18

19 Risicobeoordeling begint met gebruiksgrenzen g aangeven van de machine! Waarvoor te gebruiken Onder welke omstandigheden Door wie te bedienen. Safety Integrated Normen Functionele Veiligheid 19

20 Risicobeoordeling Ernst van de verwonding Hoe ernstig Zwaar licht Frequentie en duur van verblijf in de gevaarlijke zone Hoe vaak Vaak Zelden Mogelijkheid om schadelijk effect te beperken of uit te sluiten Hoe waarschijnlijk Bijna onmogelijk Mogelijk Safety Integrated Normen Functionele Veiligheid 20

21 Basisbegrippen en leidraad voor risicobeoordeling: EN ISO (EN ISO en EN ISO 14121) De 3-stapsmethode : algemene ontwerpbeginselen Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is n aan het gevaar: inherent ontwerp, technische beveiligingsmaatregelen en gebruiksinformatie. Start Stap 1: Risicoreductie door een veilige constructie/opbouw JA Is het risico voldoende verminderd? NEE Stap 2: Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Stap 3: Risicoreductie door gebruikersinformatie over de restrisico s Is het risico voldoende verminderd? NEE Risicobeoordeling opnieuw uitvoeren JA Einde Safety Integrated Normen Functionele Veiligheid 21

22 Basisbegrippen en leidraad voor risicobeoordeling: EN ISO (EN ISO en EN ISO 14121) Principe voor risicobeoordeling: Start Risicoanalyse Risicobeoordeling Risicoreductie, door het kiezen van de juiste beveiliging(en) g( Bepaling van de grenzen van de machine/installatie Identificatie van de gevaren van de machine/installatie Voor elk gevaar: risicoschatting en risico-evaluatie NEE Is het risico voldoende d gereduceerd? JA Einde De machine is veilig, het gevaar is teruggebracht tot een aanvaardbaar restrisico Safety Integrated Normen Functionele Veiligheid 22

23 Essentieel onderdeel bij het ontwerpen van machines: Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model) Risicobeoordeling Machinevalidatie Start t vd machine Einde vlgs EN ISO Gevalideerde machine Veiligheidsspecificaties SRS* Test van specificaties SRS Ontw werp en engin neering turingstechni ische iligheidsfunct ties Best ve Architectuur HW** en SW*** HW-ontwerp SW-ontwerp SW-test Integratie test HW en SW HW-test Verific catiie en Vali datie Realisatie * SRS = Safety Requirement Specification Verificatie / Validatie ** HW = Hardware Resultaat *** SW = Software Safety Integrated Normen Functionele Veiligheid 23

24 Normen Functionele cto eeveiligheid ed Machinerichtlijn EN e druk Categorie, SIL en PL EN ISO EN Welke methode kiezen: SIL of PL? EN ISO (PL) in detail EN (SIL) in detail Safety Integrated Normen Functionele Veiligheid 24

25 Belangrijkste wijzigingen EN e druk Veiligheid van machines Elektrische onderdelen Betere aansluiting op de IEC reeks (NEN 1010) Betere aansluiting op de IEC reeks (schakel- en verdeelinrichtingen) Verdwijnen hoofdstuk 11 elektronische uitrusting Verwijzing naar EN en EN ISO Safety Integrated Normen Functionele Veiligheid 25

26 EN 60204: Hoofdnorm elektrische veiligheid van machines EN elektrische veiligheid van machines Elektrische installaties Besturingen Testen, keuren/valideren, documenteren NEN 1010 voor specifiek de Machinebouw m.b.t. de elektrische aspecten van machines Afstemming tussen normen voor besturingen met een veiligheidsfunctie EN ISO (EN 954) en EN Procedures, markeringen / waarschuwingen en Specifieke elektrische invulling van het Technisch Dossier van de machine Safety Integrated Normen Functionele Veiligheid 26

27 Samenhang besturingsnormen EN Veiligheids georiënteerde onderdelen van een besturing EN elektrische veiligheid van machines EN ISO (EN 954) Besturingssysteem met veiligheidsfunctie EN ISO Noodstop (EN 418) EN ISO handenbediening (EN 574) EN ISO 14120: 2015 Afschermingen (EN 953) EN ISO onbedoeld starten (EN 1037) EN ISO blokkeerinrichting afscherming (EN1088) Safety Integrated Normen Functionele Veiligheid 27

28 Normen Functionele cto eeveiligheid ed Machinerichtlijn EN e druk Categorie, SIL en PL EN ISO EN Welke methode kiezen: SIL of PL? EN ISO (PL) in detail EN (SIL) in detail Safety Integrated Normen Functionele Veiligheid 28

29 Indien de C-Norm geen klasse aangeeft Bepaling betrouwbaarheidscategorie volgens EN Methode volgens EN S1 B Methode voor de inschatting van de betrouwbaarheid van een specifiek veiligheidsbesturingscircuit. S2 Ernst van de verwondin ng F1 F2 gevaarlijke zone Freque entie en/of tijd in P1 P2 P1 P2 r te voorkomen jkheid om gevaar Mogelij Ernst van de verwonding S1: Licht, herstelbaar S2: Zwaar, onomkeerbare tot en met dodelijke afloop Frequentie en/of tijdsduur in gevaarlijke zone F1: Zelden tot vaak F2: Frequent tot continue Mogelijkheid om het gevaar te voorkomen P1: Mogelijk onder bepaalde omstandigheden P2: nauwelijks mogelijk Safety Integrated Normen Functionele Veiligheid 29

30 Systeemgedrag EN Categorie Samenvatting van de eisen Systeemgedrag Principe B 1 Veiligheidsgerelateerde onderdelen van de besturingen moeten zodanig zijn ontworpen, gebouwd, samengesteld, volgens de relevante normen, zodat deze de te verwachten invloeden kunnen weerstaan Eisen van categorie B; Er moeten beproefde componenten en veiligheidsprincipes worden gebruikt en in acht worden genomen. Een fout kan tot verlies van de veiligheidsfunctie leiden Zoals beschreven in categorie B, maar met een hogere mate van betrouwbaarheid van de veiligheidsfunctie Overwegend gekenmerkt door de kwaliteit van de componenten Eisen van categorieën B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd Eisen van categorieën B en 1; Een afzonderlijke fout in de b esturing kan niet leiden tot verlies van de veiligheidsfunctie Eisen van categorieën B en 1; Een afzonderlijke fout mag niet leiden tot verlies van de veiligheidsfunctie. De enkele fout moet gedetecteerd voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot verlies v.d. veiligheidsfunctie Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden, echter de fouten worden niet allemaal gedetecteerd Wanneer een samenloop van fouten optreedt, blijft de veiligheidsfunctie behouden en worden fouten tijdig herkend Overwegend gekenmerkt door de structuur van de besturing Safety Integrated Normen Functionele Veiligheid 30

31 Betrouwbaarheidscategorieën volgens EN Categorie 2 Eisen Eisen van categorie B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd (vb. het sporadisch openen van veiligheidsdeuren /-hekken) Voorbeeld voor categorie 2 Systeemgedrag Principe Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Veiligheid nog steeds voornamelijk afhankelijk van de kwaliteit van de componenten Dicht Open Hekbewaking 3TK 28 K1 Start M K1 K1 Systeem : v.b. volgens EN 418 Actuatoren : beproefde componenten (v.b. magneetschakelaars) Foutherkenning : v.b. door gebruik van veiligheidsrelais Safety Integrated Normen Functionele Veiligheid 31

32 Betrouwbaarheidscategorieën volgens EN Categorie 4 Eisen Systeemgedrag Principe Eisen van categorieën Ben1; Een enkele fout mag niet leiden tot verlies van de veiligheidsfunctie De enkele fout moet worden gedetecteerd tijdens of voordat een beroep op de veiligheidsfunctie wordt gedaan Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot een verlies van de veiligheidsfunctie Wanneer een afzonderlijke fout optreedt, blijft de veilig- heidsfunctie altijd behouden en de fouten worden tijdig herkend Veiligheid gewaarborgd door structuur van de besturing Voorbeeld voor categorie 4 K1 S1 Start K1 K2 K2 3TK28 S2 M Dicht K1 K2 Open Hekbewaking Systeem Actuatoren Foutherkenning : Redundant ontwerp : Redundant ontwerp : v.b. door gebruik van veiligheidsrelais Aanvullende controle op onderlinge kruissluiting, kortsluitdetectie en bewaakte start. Safety Integrated Normen Functionele Veiligheid 32

33 Methode volgens EN en EN ISO Er is een berekenbare methode geintroduceerd voor veiligheidgerelateerde g aspecten: de Safety Performance - EN 62061: Safety Integrity Level (SIL) - EN ISO : Performance Level (PL) EN en EN ISO definiëren beiden veiligheid: - Een gevaarlijke situatie van een machine kan beschreven worden in gedefinieerde veiligheidsfuncties. - Voor de gedefinieerde veiligheidsfuncties kan de vereiste Safety Performance bepaald worden. - De hoogte van de Safety Performance is afhankelijk van de kwaliteit van de gebruikte componenten, de gebruikscyclus èn de mate van diagnosemogelijkheden binnen de veiligheidsfuncties. Met SIL en PL is veiligheid meetbaar geworden! Safety Integrated Normen Functionele Veiligheid 33

34 Methode volgens EN en EN ISO de vereiste Safety Performance is afhankelijk van de risico s. Voorheen: Categorie (EN 954-1) Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur) Geen referentie voor de meetbaarheid van de risico s Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level) Onafhankelijke oplossing (kwantitatieve waardebepaling) Systeemgedrag/architectuur wordt gecombineerd met betrouwbaarheid (uitvalkans) van gebruikte componenten Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL! Safety Integrated Normen Functionele Veiligheid 34

35 Uitgangspunten voor SIL en PL met betrekking tot uitval/falen Hoe lang bent u verantwoordelijk als fabrikant? Hoe vaak mag een veiligheidsvoorziening weigeren per jaar? Idem maar bij een zeer gering effect. Hoeveel uren zitten er in een jaar? Wat mag de kans op falen per uur zijn? Risk Assessment Management Safety Integrated Normen Functionele Veiligheid 35

36 Wat is nieuw aan EN en EN ISO 13849? Berekening en bepaling van veiligheidsfuncties (over de hele veiligheidsketen: Detecting Evaluating Reacting) Eisen aan de uitvalwaarschijnlijkheid (PFH D / B10 D / MTTF / DC / SFF / CCF / λ / ) Naast bepaling van het vereiste veiligheidsniveau (beoordeling) ook bepaling van het behaalde veiligheidsniveau: de toetsing Eisen aan de handelwijze (projectmanagement, testconcept, technische documentatie,.) Safety Integrated Normen Functionele Veiligheid 36

37 Normen EN en EN ISO gebruiken veiligheidsfuncties/-systemen systemen Technische beveiligingsmaatregelen worden in normen EN en EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (-systeem) Voert veiligheidsfunctie uit (b.v. hekbewaking) Moet voor elk afzonderlijk gevaar beschreven worden Is opgebouwd uit subsystemen Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden (wat is de uitvalkans) Proces/routine voor elke veiligheidsfunctie (-systeem) Beschrijving/specificatie van de veiligheidsfunctie Bepaling van het vereiste veiligheidsniveau (beoordeling) Ontwerp/opbouw van de veiligheidsfunctie e e Bepaling van het behaalde veiligheidsniveau (toetsing) Realisatie en testen van de veiligheidsfunctie Safety Integrated Normen Functionele Veiligheid 37

38 Opbouw van veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN en EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 38

39 Veiligheidsfuncties/-systemen systemen in de praktijk De subsystemen van de veiligheidsfunctie Detecting Input / detecting Logic / evaluating Output / reacting (sensor, eindschakelaar, lichtscherm,. ) (veiligheidsrelais, veiligheidsbesturing, ) (contactor, frequentieregelaar, ) Evaluating Veiligheidsfunctie (-systeem) Veiligheidsdeur Subsysteem 1: input / detecting (sensoren) Subsysteem 2: logic / evaluating (besturing) Subsysteem 3: output / reacting (schakelen) Motor Reacting of Voor elke veiligheidsfunctie moet een veiligheidsniveau bepaald worden (hoe groot is de uitvalkans) Safety Integrated Normen Functionele Veiligheid 39

40 Voorbeeld: veiligheidsfunctie/-systeem systeem Doel van het ontwerp Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde veiligheidsniveau vervullen (SIL, PLr). Voorbeeld Veiligheidsfunctie: Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden. Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e Veiligheidsfunctie (-systeem) Veiligheids- id deur input / detecting ti logic / evaluating output t / reacting (sensoren) (besturing) (schakelen) Motor Ontworpen of voor SIL 3, resp. PL e Safety Integrated Normen Functionele Veiligheid 40

41 Voorbeeld: veiligheidsfunctie/-systeem systeem Toetsing van het ontwerp Kan het vereiste veiligheidsniveau (SIL, PL) gerealiseerd worden? Handelwijze Berekening van de afzonderlijke subsystemen (Detecting, Evaluating, Reacting) Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid j (PFH D D) ) Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie id (-systeem) Subsysteem 2: evaluating of Subsysteem 3: reacting Motor Berekening van het veiligheidssysteem Behaald veiligheidsniveau (SILCL, PL): In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare maximaal veiligheidsniveau van het veiligheidssysteem. Uitvalwaarschijnlijkheid j PFH D: som van alle PFH D-waarden van de subsystemen Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste (SIL, PL) van de veiligheidsfunctie? Safety Integrated Normen Functionele Veiligheid 41

42 Voorbeeld: veiligheidsfunctie/-systeem systeem Berekening van een subsysteem Veiligheidsrelevante kengetallen voor een subsysteem: Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid PFH D Subsysteem 2 Kant en klaar subsysteem Gegevens en certificaten van leverancier logic / evaluating (besturing) of Ontworpen subsysteem Gegevens moeten berekend worden Norm EN ISO en EN beschrijven hoe. (diagnosedekking, uitvalwaarschijnlijkheid van componenten) Subsysteem 1 input / detecting (sensoren) Subsysteem 3 output / reacting (schakelen) Safety Integrated Normen Functionele Veiligheid 42

43 Waarschijnlijkheid j van een gevaarlijke uitval per jaar (PFYD) / per uur (PFHD) EN ISO : PL EN : SIL PL Gemiddeld gevaarlijk falen per jaar (PFY D )* Gemiddeld gevaarlijk falen per uur (PFH D )** SIL a 0,1 PFYd < PFHd < b 0,03 PFYd < 0,1 3 x 10-6 PFHd < c 0,01 PFYd < 0, PFHd < 3 x 10-6 d 0,001 PFYd < 0, PFHd < e 0,0001 PFYd < 0, PFHd < * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar uur In Amendment EN ISO : PFHD waarde wordt nu ook binnen PL-norm geïntroduceerd! Safety Integrated Normen Functionele Veiligheid 43

44 Vergelijk parameters EN ISO versus EN EN SIL - Safety Integrity Level EN ISO PL - Performance Level Structuur HFT Cat. (architectuur) Betrouwbaarheid PFH D / λ MTTF D / PFY D / λ Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 44

45 Bepaling van het Performance Level (PL) St t Structuur Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: e e/ systee Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Normen Functionele Veiligheid 45

46 Riscograaf voor bepaling van het Performance Level (PL) St t Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein. In Amendment EN ISO : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid j van optreden gevaarlijke situatie Safety Integrated Normen Functionele Veiligheid 46

47 Scope van EN ISO Structuurt Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN is opgedeeld in: - EN ISO deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO deel 2:2003, Validatie Safety Integrated Normen Functionele Veiligheid 47

48 Scope van EN St t Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Structuur Bepaling van het vereiste veiligheidsniveau id i (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Normen Functionele Veiligheid 48

49 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Het vereiste veiligheidsniveau (risico) wordt bepaald door: Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Normen Functionele Veiligheid 49

50 Factoren voor het vaststellen van de SIL-Claim Structuurt Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Safety Integrated Normen Functionele Veiligheid 50

51 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 >1j 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 l b 1 > 1 jaar 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Se Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3tot4 5tot7 8 tot tot tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 Safety Integrated Normen Functionele Veiligheid SIL 1 51

52 Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem Structuurt Annex A van norm EN 62061: Template voor SIL-bepaling Safety Integrated Normen Functionele Veiligheid 52

53 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Normen Functionele Veiligheid 53

54 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Normen Functionele Veiligheid 54

55 Invloed van diagnose-mogelijkheden: g Diagnostic Coverage (DC) Diagnose De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 < DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % < DC ( 99,9 %) In Amendment EN ISO : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Normen Functionele Veiligheid 55

56 Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO Diagnose De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Safety Integrated Normen Functionele Veiligheid 56

57 Systeemgedrag g volgens categorieën in relatie met diagnosedekking g (DC) Diagnose Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (0) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (99 %) (optimale diagnose mogelijk door dubbelpolig li circuit) it) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2 e hek) Safety Integrated Normen Functionele Veiligheid 57

58 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 58

59 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse Waarden bij elkaar optellen voor totaalscore - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF: Score 65 Voldoet aan de eisen Score < 65 Proces mislukt, kies additionele maatregelen Safety Integrated Normen Functionele Veiligheid 59

60 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 60

61 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore TblF2 Tabel - ß-factor: Totaalscore omrekenen naar percentage - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Normen Functionele Veiligheid 61

62 Praktijkvoorbeelden van veiligheidsfuncties (1) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Noodstopcircuit Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting (2NC) Veiligheidsfunctie noodstop (dubbelpolig) Subsysteem 2: evaluating Subsysteem 3: reacting (2x) (vb: 2NC-noodstop - veiligheidsrelais - 2 magneetschak.) of PL e / SIL 3 Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten Hoog ( 99 %)* 65 pt** (PL) 1%-10%** (SIL) Subsysteem 1: detecting (1NC) Veiligheidsfunctie noodstop (enkelpolig) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld) Subsysteem 1a: detecting 1a Subsysteem PL e / Dubbelpolig Hoog 65 pt** (PL) Subsysteem 2: Subsysteem 3: 1b: evaluating reacting detecting 1b SIL 3 (redundant) ( 99 %)* 1%-10%** (SIL) (2NC) (2NC) of - Cat.4 (PL) (2x) - 2 channels/kanalen Noodstop 1 Noodstop 2-2 componenten/contacten (vb: 2 noodstoppen in serie Safety veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 62

63 Praktijkvoorbeelden van veiligheidsfuncties (2) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-hekschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 hekschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL d / SIL 2 Dubbelpolig - max.cat.3 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Gemiddeld (90 - < 99 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 schak.met 1-/2NC Safety - veiligheidsrelais Integrated - 2 Normen magneetschak.) Functionele Veiligheid 63

64 Praktijkvoorbeelden van veiligheidsfuncties (3) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole met twee hekken (beide hekken worden niet frequent (< 1/uur) geopend/gebruikt) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1a: detecting 1a Veiligheidsfunctie hekbewaking (hekken in serie geschakeld) Subsysteem 1b: detecting 1b Subsysteem 2: evaluating + + of (hek 1) (hek 2) Subsysteem 3: reacting (vb: 1-/2 schak.p/hek met 1-/2NC veiligheidsrelais - 2 magneetschak.) (2x) PL d / SIL 2 Dubbelpolig (redundant/divers) - Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 of 2 componenten/schak. Laag (60 - < 90 %)* 65 pt** (PL) 1%-10%** (SIL) Serieschakeling van hekken is niet aan te bevelen, er kan een gevaarlijke situatie ontstaan! Een persoon kan ingesloten raken in het gevaarlijke gebied! - als na openen van het 1 e hek een persoon ongemerkt door het 2 e hek naar binnen gaat en dit hek achter zich sluit, - kan de machine gestart worden zodra iemand het 1 e hek sluit en het veiligheidscircuit reset! Let op: bij andere opbouw en gebruiksfrequentie van veiligheidsfuncties met hekken gelden afwijkende voorwaarden! Voorbeelden: - 2 hekken in serie geschakeld, welke beiden frequent ( 1/uur) geopend/gebruikt worden: DC = geen (0) / Cat. 2 / max. PL c / SIL 1-5 hekken in serie geschakeld, waarvan er 1 frequent en 4 sporadisch geopend/gebruikt worden: DC = laag (60 - < 90 %) / Cat. 3 / max. PL d / SIL 2-5 of meer hekken in serie geschakeld, ongeacht gebruik: altijd DC = geen (0) / Cat. 2 / max. PL c / SIL 1 - per situatie zal de DC/CCF-waarde bepaald moeten worden voor een correcte invulling van het veiligheidsniveau van de toepassing Safety Integrated Normen Functionele Veiligheid 64

65 Praktijkvoorbeelden van veiligheidsfuncties (4) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - eindschakelaars (met mechanisch gedwongen verbreekcontacten! ) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-eindschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 eindschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL c / SIL 1 Dubbelpolig - Cat.1 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Geen (< 60 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 eindschak.met 1-/2NC Safety - veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 65

66 Vergelijking van de verschillende normen: uitgangspunt EN954-1 Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Omschrijving / architectuur Cat. B PL a < 10-4 Standaard d besturingen Cat. 1 PL b SIL 1 3x10-6 < 10-5 Veiligheidscomponenten en -pricipes; p testprocedures PL c Cat. 2 SIL < 3x10-6 Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, snelle foutherkenning, additionele zelftests in diverse cycli Cat. 4 PL e SIL < 10-7 Verschillende hardware en software Safety Integrated Normen Functionele Veiligheid 66

67 Vergelijking van de verschillende normen: uitgangspunt EN / EN ISO Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval Omschrijving van de veiligheidsfunctie / architectuur Cat. B PL a < Standaard (geen overeenstemming) d besturingen Cat. 1 PL b SIL 1 PL c Cat. 2 SIL 1 3x10-6 < < 3x10-6 Veiligheidscomponenten en -pricipes; p testprocedures Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, Niet meer dan snelle 1 gevaarlijke foutherkenning, uitval additionele v.d. veiligheidsfunctie zelftests in per diverse 100 cycli jaar Cat. 4 PL e SIL < 10-7 Verschillende Niet meer dan hardware 1 gevaarlijke en software uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Normen Functionele Veiligheid 67

68 Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 1 PFH D = PFH D = PFH 10 D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 68

69 Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = PFH D = PFH D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 69

70 Normen Functionele cto eeveiligheid ed Machinerichtlijn EN e druk Categorie, SIL en PL EN ISO EN Welke methode kiezen: SIL of PL? EN ISO (PL) in detail EN (SIL) in detail Safety Integrated Normen Functionele Veiligheid 70

71 Welke methode kiezen: SIL of PL? Beide normen beschrijven eisen aan de veiligheidsniveaus van veiligheidsfuncties / veiligheidssystemen EN (SIL) en EN ISO (PL) beschrijven de vereisten voor de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen: PL a SIL 1 SIL 2 SIL 3 PL b PL c PL d PL e Toenemende eisen aan de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen Alle fasen van de machine life-cycle moeten hierbij in acht genomen worden: Vanaf het ontwerp en engineering Tot en met buitenbedrijfstelling Safety Integrated Normen Functionele Veiligheid 71

72 Welke methode kiezen: SIL of PL? De eisen omvatten: Techniek (sterk afhankelijk van vereist veiligheidsniveau) Handelwijze Eisen ten aanzien van techniek: Structuur van de hardware Mogelijkheid van foutherkenning Betrouwbaarheid van de onderdelen (laag hoog veiligheidsniveau) (éénkanalig tweekanalig) (geen omvangrijke diagnose) (toenemend) Structuur Betrouwbaarheid Eisen ten aanzien van de handelwijze: Projectmanagement Testconcept Technische documentatie,. Diagnose Resistentie Proof-Test-Interval Processen Safety Integrated Normen Functionele Veiligheid 72

73 Toepassingsgebieden g EN EN ISO : Performance Level (PL) Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen. Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische systemen zonder beperkingen worden toegepast. Gebruik van programmeerbare veilige elektronica kan, echter met beperkingen: Voor bepaalde opbouwstructuren (architectuur) Tot en met PL d resp. SIL 2. Programmeerbare veiligheidsbesturingen (F-PLC, etc.) moeten voor PL e voldoen aan IEC Berekeningsconcept van EN ISO is gebaseerd op (beperkt aantal) vast gedefinieerde opbouwstructuren (architecturen). Minder uitgebreide berekeningen dan EN maar daardoor wel eenvoudiger. PL kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen.. Safety Integrated Normen Functionele Veiligheid 73

74 Toepassingsgebieden EN EN 62061: Safety Integrity Level (SIL) Toepasbaar voor alle elektrische-, elektronische bestuingssystemen met elk mogelijke opbouwstructuur (architectuur is minder gedefinieerd): van SIL 1 tot n met SIL 3. Programmeerbare veiligheidsbesturingen g (F-PLC) moeten voldoen aan IEC Is nauwkeuriger dan EN ISO maar vraagt meer rekenwerk. Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines. Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd. Alle fasen van de life-cycle van de machine worden beschreven: ontwerp inbedrijfstelling gebruik upgrades - uitbedrijfname. SIL kan alleen voor een gehele veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor afzonderlijke onderdelen geldt SIL CL. Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de berekeningen van EN worden meegenomen.. Safety Integrated Normen Functionele Veiligheid 74

75 Verschillen in toepassingsgebieden EN en EN ISO Safety Integrated Normen Functionele Veiligheid 75

76 Mate van gevaarlijke uitval is leidraad bij beide normen Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL PerformanceLevel EN ISO (PL) Waarschijnlijkheid gevaarlijke uitval per uur (PFHD) Safety Integrity Level EN (SIL) PL a 10-5 < PL b 3x10-6 < 10-5 SIL 1 PL c 10-6 < 3x10-6 SIL 1 PL d 10-7 < 10-6 SIL 2 PL e 10-8 < 10-7 SIL 3 Safety Integrated Normen Functionele Veiligheid 76

77 Valkuilen Minder voorspelbaar en daarmee functioneel gedrag Bij een ontwerp kan men zich rijk rekenen op basis van faalkansen Nog prille ervaring in faalkans-cijfers en faalkans-berekeningen met betrekking tot machinebesturingen (verificatie-tools zijn niet heilig) Engineeringfouten Vergt vooral in het begin de nodige studie en extra werk Safety Integrated Normen Functionele Veiligheid 77

78 Belangrijkste termen en definities op een rij PFH D PL PL r SIL SIL CL Probability of dangerous Failure per Hour: De waarschijnlijkheid van een gevaarlijk falen per uur Performance Level: Prestatieniveau / veiligheidsniveau Required Performance Level: Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL PL r ) Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau Safety Integrity Level - Claim Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten MTTF D Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout λ D Lambda: Kans van gevaarlijke uitval van een subsysteem(element), steem(element) (λ D = 1/ MTTF D ) CCF DC Common Cause Failure: (ook wel ß-factor genoemd), foutbestendigheid bij meerdere kanalen / resistentie tegen falen Diagnostic Coverage: ( SFF), diagnosegraad of dekkinggraad tegen fouten/falen SFF Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen DC), het percentage van falen wat leidt tot niet-gevaarlijk falen Safety Integrated Normen Functionele Veiligheid 78

79 Beschikbare documentatie Praktische uitvoering nieuwe machinerichtlijn - Nederlandstalige normen overzichtsbrochure EN en EN ISO / EN Overzichtsposter normen (A0-formaat) - Relatie SIL versus PL Safety Integrated Normen Functionele Veiligheid 79