Safety Integrated: Praktische invulling van machineveiligheid

Transcriptie

1 Safety Integrated: Praktische invulling van machineveiligheid Introductie in het risicobeoordelingstraject en normen voor functionele veiligheid EN ISO (PL) / EN (SIL) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 1

2 Safety Integrated: Oplossingen Ondersteuning Tools Ruud Dofferhoff Siemens Nederland N.V. Sales Support Specialist - Machineveiligheid Telefoon: ruud.dofferhoff@siemens.com Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 2

3 Doelstellingen 1 U bewust maken van het belang van machineveiligheid, alsmede om de voordelen ervan te herkennen. Uitleg aan de hand van voorbeelden over de te nemen noodzakelijke stappen om uw machine veilig genoeg 2 te maken voor de uiteindelijke CE markering. 3 U ondersteunen bij de praktische implementatie en het ontwikkelen van management voor functionele veiligheid (Functional Safety Management), zodat u de beste oplossing veiligheidstechnologie kunt kiezen voor elke levensfase van de machine. 4 U praktijkinformatie en tools aanbieden waarmee u in uw dagelijkse werkzaamheden direct mee aan de slag kunt gaan: functionele aansluitvoorbeelden, normeninformatie en de Safety Evaluation Tool. Dit alles eenvoudig binnen online handbereik. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 3

4 Waarom moeten machines veilig zijn? ernstige arbeidsdsongevallen per jaar, waarvan incidenten door het werken met machines! (bron: Ministerie van Sociale Zaken en Werkgelegenheid) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 4

5 Sociale aspecten: noodzaak van een veilige werkplek en voorkomen van letsel Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 5

6 Economische aspecten: voorkomen van productiestilstand. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 6

7 . voorkomen van claims en reputatieverlies Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 7

8 Noodzaak van veilige machines en productie-installaties Juridisch dwingende bepalingen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 8

9 Europese wet voor veiligheid van machines Machinerichtlijn Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 9

10 Veiligheid moet essentieel onderdeel zijn van elk machine-ontwerp Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 10

11 Wat is er nodig om een machine veilig te maken?! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 11

12 Stappenplan Risicobeoordelingstraject 3 fasen Risico-analyse Risicoreductie Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 12

13 Het risico reduceren tot een acceptabel rest-risico Risico-analyse Risicoreductie Validatie Oorspronkelijk ri isico Acceptabel restrisico Risicoreductie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 13

14 Geharmoniseerde normen zijn leidraad voor een veilig machine-ontwerp Risico-analyse Risicoreductie Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 14

15 Opbouw benodigde veiligheidsfuncties is afhankelijk van het risico Risico-analyse Risicoreductie Validatie... groot risico Vereenvoudigde weergave van... klein risico... kleinste risico Herstelbaar, minimale verwondeing (EHBO) Te voorkomen, Kleine kans van minimale verwonding optreden Kleinste kans van optreden PL a SIL 1 PL b PL c (grootste faalkans)... gemiddeld risico Geringe tot ernstige verwonding Blijvend letsel (verlies van vinger) Redelijke kans van optreden SIL 2 PL d Zeer zware verwonding of dood Blijvend letsel (verlies van oog / ledemaat / ) Grote kans van optreden SIL 3 PL e (kleinste faalkans) Let op: Het daadwerkelijk benodigd veiligheidsniveau kan uitsluitend bepaald worden door normspecifieke criteria (risiograaf) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 15

16 Hoe gaat de praktische invulling eruit zien? Risico-analyse Risicoreductie Validatie Veiligheidsfuncties Detecting Evaluating Reacting Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 16

17 Valideren: Testen - Verifiëren - Documenten het bewijs Risico-analyse Risicoreductie Validatie Software Veiligheidsfuncties Omgevingscondities Bedieningsinstructies Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 17

18 Toetsing / verificatie van gerealiseerde veiligheidsfuncties Risico-analyse Risicoreductie Validatie Veiligheidsfunctie (-systeem) Veiligheidsdeur Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting Motor TÜV getest Online verificatie van veiligheidsfuncties volgens EN-ISO (PL) en EN (SIL) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 18

19 Is machine in overeenstemming met de Machinerichtlijn? Risico-analyse Risicoreductie Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 19

20 Zijn het Technisch Dossier en CE-markering van de machine gereed? Risico-analyse Risicoreductie Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 20

21 . Zoja, dan mag de machine op de markt gebracht worden! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 21

22 Safety Integrated: Oplossingen Ondersteuning Tools Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 22

23 Praktijkvoorbeeld risicobeoordelingstraject Metaalbewerkingsmachine met materiaalinvoer (zaagmachine) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 23

24 Praktijkvoorbeeld risicobeoordelingstraject Theorie Veiligheid, hoe en waarom? Normstructuur en belangrijkste wijzigingen Proces-flow Praktijk Risico-analyse Risicoreductie Validatie SIL en PL en Categorie Uitgebreide informatie PL in detail (EN ISO ) SIL in detail (EN 62061) Welke methode kiezen: SIL of PL? Siemens als uw Safety-partner Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 24

27 Waarom moet een machine veilig zijn? +! Er is wettelijke verplichting! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 27

28 Zijn er andere redenen waarom een machine veilig zou moeten zijn? In geval van een ongeluk kunnen claims een dramatische kostenexplosie tot gevolg hebben Er zijn significante voordelen te behalen met beschermings- en beveiligingsmaatregelen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 28

29 Mogelijke oorzaken directe kostenexplosie Productieverlies en machinestilstand gedurende het schadeherstel Vervanging of reparatie van beschadigd gereedschap en machines Onderbreking van de continuïteit en voortschrijdend productieverlies door afwezigheid van de medewerker Eerste hulp, medische zorg en revalidatie Verzekeringsclaims en hogere premies Boetes en juridische procedures na het ongeluk/verzuim Het treffen van permanente voorzieningen voor het regelen van vervangend werk Compensatieclaims van de verwonde persoon / boeteclausules van klanten Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 29

30 Mogelijke oorzaken indirecte kostenexplosie Werving van vervangend personeel Tijd benodigd door management voor nader onderzoek, indien nodig, in samenwerking met de autoriteiten (Arbeidsinspectie) Permanente vervanging door een ander persoon voor het betreffende werk Langdurige arbeidsongeschiktheid van de medewerker als gevolg van verwonding Verminderde motivatie, hoger arbeidsverzuim Reputatieverlies van het bedrijf bij klanten en in de markt Schade aan het milieu (b.v. als gevolg van chemische ongevallen) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 30

31 Voordelen van een veilige machine + + Voldoen aan de eisen van de Machinerichtlijn en nationale wetgeving is in veel markten een eerste vereiste om toegang te krijgen Juridische zekerheid door toepassing van de normen + Toenemende exportmogelijkheden door grotere acceptatie in andere makten + Verhoogde productiviteit door grotere machine-beschikbaarheid + Lange termijn kostenbesparingen dankzij minder ongevallen en productieverlies Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 31

32 Wettelijke verplichtingen voor veiligheid Veiligheid is op te splitsen in verschillende gebieden Mens Milieu Wettelijk verplichte bescherming Machine Proces Economisch verantwoorde veiligheid Gevaarlijke situaties die ontstaan door functiefouten moeten worden voorkomen vóór dat ze optreden! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 32

33 In de industrie is veiligheidstechniek een integraal onderdeel In veel productie-installaties schuilen gevaren voor mens en machine. Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken: 1 e Wettelijke bepalingen voor machinebouwers en installatiebeheerders (Machinerichtlijn, CE-markering) 2 e Economische gegronde redenen: - b.v. het voorkomen van ongelukken en productiestilstand - of het verhogen van de beschikbaarheid van de installatie - machine en materiaal tegen schade behoeden (investering!) Uw marktkansen worden verbetert dankzij de toenemende vraag naar veilige machines! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 33

34 Functionele veiligheid heeft betrekking op dat deel van de machine of productie-installatie waarbij de veiligheid afhangt van het correct functioneren van besturingen en afschermingen Dit voorkomt: Letsel (of dood) van mensen Vernietiging of beschadiging van - productie-faciliteiten (machines) en - productie-kwaliteit (productieverlies en uitval) Mens Machine Functionele veiligheid moet een integraal onderdeel zijn van elke machine! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 34

35 Veiligheid begint met bewustwording Industriële automatisering Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 35

36 Veilige machines Wat maakt een machine veilig? Veilig ontwerp Additionele veiligheidsmaatregelen Bescherming voor het bedieningspersoneel! + Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 36

37 Wie is nu eigenlijk fabrikant? Een fabrikant is iemand die verantwoordelijkheid draagt voor het ontwerp en fabrikage van een machine die valt onder de scope van de Machinerichtlijn en welke onder eigen naam vermarkt wordt. Dit is normaal gesproken de machinebouwer op het oorspronkelijk gebruiksdoel van de machine aanpassingen- of functionele uitbreidingen maakt. Dit kan de (eind)gebruiker zelf zijn of een gecontracteerde externe partij een machine vanuit het buitenland importeert en daardoor de verantwoordelijkheden als fabrikant moet overnemen (de wettelijk vertegenwoordiger) zoals gedefineerd in de Machinerichtlijn. Dit is normaal gesproken de importeur. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 37

38 Wie is verantwoordelijk voor de veiligheid van de machine? In elke fase van de levenscyclus van een machine of productie-installatie komen veiligheidgerelateerde taken en verantwoordelijkheden voor: Fabrikant Gebruiker Nieuwe fabrikant Ontwerp & concepten Productie & engineering Installatie & inbedrijfname Bedrijf, onderhoud & service Modernisering & upgrade De fabrikant is de enig verantwoordelijke voor de CEmarkering van de machine of productie-installatie Als de fabrikant onderaannemers heeft, zullen de taken, verantwoordelijkheden en niet te vergeten het documenteren, eenduidig geregeld moeten worden. De eerste keer dat een machine op de markt in omloop wordt gebracht, neemt de gebruiker de verantwoordelijkheid over. Voor uitbreidingen, retrofit of aanpassingen op het oorspronkelijk gebruik, heeft de uitvoerende partij (=nieuwe fabrikant) de verantwoordelijkheid over deze aanpassing(en). De Machinerichtlijn definieert de procedure van CE-markering en daarmee het Certificaat van Overeenstemming van een veilige machine of productie-installatie. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 38

40 Normen en richtlijnen Afhankelijk van de aard en toepassingsgebied van een product, zullen hiervoor bepaalde richtlijn(en) van kracht zijn Richtlijnen bieden een raamwerk met globale vereisten. Als een bepaalde richtlijn voor een product van toepassing is, is het een verplichting om hieraan te voldoen (=wetgeving!) Om de vereisten van richtlijnen concreet te maken zijn onderliggende normen opgesteld voor de praktische invulling ervan. Een richtlijn is van toepassing op een bepaald product als - het product formeel binnen het toepassingsgebied van desbetreffende richtlijn valt èn - het product bij het beoogde gebruik risico s omvat die beschreven zijn in de basiseisen van deze richtlijn. - Informatie over toewijzing van een product aan een richtlijn kan ook verkregen worden door te kijken welke richtlijn(en) van toepassing zijn voor een vergelijkbaar soort product. Voor machines / machinebouw is veelal de Machinerichtlijn van toepassing (2006/42/EC) De fabrikant is altijd verantwoordelijk voor de beslissing welke richtlijn(en) van toepassing (moeten) zijn voor hun machine (product)! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 40

41 Richtlijnen Bepaal welke richtlijnen van toepassing zijn voor het CE-comformiteitsproces van de applicatie Machines (2006/42/EC) EMC (2014/30/EU) Laagspanning (2014/35/EU) Drukapparatuur Eenvoudige drukvaten ATEX (97/23/EC) (2014/29/EU) (2014/35/EU) Outdoor machines (2000/14/EC) Meetinstrumentatie (2014/32/EU) Belangrijk: alvorens het risicobeoordelingstraject in te gaan, zal eerst bepaald moeten worden welke richtlijn(en) er van toepassing is/zijn! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 41

42 Basiskennis normeringen Normen Normen maken abstract geformuleerde doelstellingen van richtlijnen concreet. Elke norm is ontworpen voor inzet in een bepaald toepassingsgebied ( scope ). Dit wordt in de norm omschreven (b.v. EN ISO Par. 1, Scope ). De norm zelf is geen verplichting om toe te passen, maar wel om state of the art technieken te gebruiken (volgens Machinerichtlijn, item 14). Geharmoniseerde normen Geharmoniseerde normen zijn nodig om conformiteit te kunnen verifiëren. Algehele toepassing van normen Vermoeden van overeenstemming Als geharmoniseerde normen zijn gebruikt, zijn de autoriteiten verplicht om overeenstemming met de eisen van de richtlijn te veronderstellen (vermoeden van overeenstemming) Alle lidstaten zetten deze normen (veelal 1:1) om in nationale normen en zij worden in het Europese Official Journal gepubliceerd als geharmoniseerde norm ten behoeve van een bepaalde richtlijn. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 42

43 Het belang van normeringen In het algemeen geldt voor normen: Normen zijn niet juridsch bindend, maar zijn, strikt genomen, zelfs vrijwillig. Echter, toepassing en overeenstemming met hen leidt tot het veronderstelde effect dat aan de minimum eisen van de meest recente stand ( state of the art ) voldaan is. Normen reflecteren regelgeving en de meest recente stand en worden beschouwd als een bewezen methode in het desbetreffende toepassingsgebied. Normen hebben een ondersteunende functie om een minimale kwaliteitsstandaard te bereiken (verschillende landen, etc.). Enkel en alleen voldoen aan de norm is niet voldoende omdat de norm slechts minimale vereisten geeft. Het primaire doel van normen is de veiligheid van mensen, het milieu, veestapel en goederen. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 43

44 Normenstructuur Er bestaan normen op verschillende niveau s met verschillende toepassingsgebieden (scopes): Internationale normen Bijvoorbeeld: IEC- en ISO-normen (zoals onder andere ISO of IEC 62061) Deze worden wereldwijd erkent door vele landen. Europeese normen Bijvoorbeeld: EN-normen binnen de EU (zoals onder andere EN ISO of EN 62061) Nationale normen Bijvoorbeeld: NEN-normen in Nederland, DIN-normen in Duitsland, etc. (zoals onder andere NEN EN ISO of NEN EN 62061) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 44

45 Verklaring van terminologie CEN CENELEC IEC ISO EN NEN KEMA-KEUR European Committee for Standards, Brussel, België European Committee for Electrotechnical Standardization, Brussel, België International Electrotechnical Commission, Genève, Zwitserland International Standards Organization, Genève, Zwitserland Europese Norm (European standard) Nederlands Normalisatie Instituut, Delft Keuring elektrische materialen, uitgevoerd door DEKRA, Arnhem Standaardisatie procedure: IEC EN NEN EN ISO EN ISO NEN EN ISO Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 45

46 Hiërarchische structuur EN - Normen IEC Basisveiligheid normen A-TYPE normen EN ISO (EN ISO EN ISO 14121) Specifieke normen B1 Normen Behandeling van gemeenschappelijke gevaarzettende aspecten Basisontwerprichtlijnen en basisbegrippen voor machines C-TYPE normen B2 Normen Algemeen toepasbare veiligheidsvoorzieningen Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten EN (El.veiligheid v.machines) Veiligheidsaspect normen B-TYPE normen EN ISO / -2 (EN 954) EN b.v. EN ISO (EN 418) (Noodstops) b.v. EN 1870 (houtbewerkings-/verwerkingsmachines) b.v. EN 693 (hydraulische persen) b.v. EN 415 (verpakkingsmachines) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 46

47 Type A-, Type B- en Type C-Normen: wanneer welke te gebruiken? ISO/TR : Stappenplan voor gebruik van EN ISO (A-norm) en bestaande Type B- en Type C-normen START JA Bestaat er een toepasselijk Type C-norm? NEE Dekt de norm de gehele machine af? NEE JA Zijn alle gevaren en risico s afdoende gereduceerd? NEE JA (Figuur 4 uit ISO/TR ) Pas de relevante C-norm toe, Pas de relevante Pas EN ISO toe, samen met de Type B-normen C-norm toe samen met relevante voor de niet door C-norm afdoende Type B-normen afgedekte gevaren en risico s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 47

48 Geharmoniseerde normen Normen maken abstract geformuleerde doelstellingen van richtlijnen concreet Algehele toepassing van geharmoniseerde normen Geen gebuik van geharmoniseerde normen Vermoeden van overeenstemming: Autorieiten veronderstellen onformiteit Veiligheidsmaatregelen van de richtlijn(en) moeten in acht genomen worden Bewijslast ligt bij de autoriteiten Bewijslast ligt bij de machinebouwer Advies: gebruik waar mogelijk zoveel mogelijk geharmoniseerde normen! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 48

49 EU-Richtlijnen, wetten en normen Artikel 95 EG-verdrag (vrij verkeer van goederen) Europese veiligheidseisen Artikel 137 EG-verdrag (sociale veiligheid) b.v.: Machines Kaderrichtlijn veiligheid werknemers (89/391/EG) b.v.: EMC-richtlijn (2014/30/EU) Machinerichtlijn (2006/42/EG) Richtlijn arbeidsmiddelen (2009/104/EG) Eventueel andere richtlijnen Geharmoniseerde Europese normen EN ISO Nationale wetsvoorschriften Fabrikant Gebruiker Scope vandaag: functionele veiligheid volgens EN en EN ISO Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 49

50 Machinerichtlijn (2006/42/EG) Machinerichtlijn 2006/42/EG De Machinerichtlijn 2006/42/EG beschrijft, naast ook andere zaken, essentiele eisen voor gezondheid en veiligheid voor het ontwerp en opbouw van machines. Het voldoen aan de Machinerichtlijn is een vereiste voor de CE- markering. De Europese Machinerichtlijn is opgenomen in nationale wetgeving van de afzonderlijke landen en daardoor bindend (=wet). Met de CE-markering verklaart de fabrikant dat alle relevante normen en richtlijnen zijn vervuld. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 50

51 Uittreksel van de Machinerichtlijn (2006/42/EG) Machinerichtlijn 2006/42/EG De fabrikant of haar wettelijk vertegenwoordiger moet ervoor zorgen dat een risibeoordeling uitgevoerd is om de veiligheids- en gezondheidsmaatregelen te kunnen bepalen die van toepassing zijn voor de machine. De machine moet vervolgens zodanig ontworpen en gecontrueerd worden dat deze in overeenstemming is met de resultaten van deze risicobeoordeling. De fabrikant is gebonden aan de Machinerichtlijn 2006/42/EG. Dit geldt voor zowel een completeen ook voor een niet-voltooide machine! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 51

52 Machinerichtlijn (2006/42/EG) Definities volgens Artikel 2 van de Machinerichtlijn Machine "Machine" betekent een samenstel van onderdelen of componenten, waarvan er minimaal één beweegt, met geschikte machine-actuatoren, stuurstroom- en hoofdstroomcircuit, samengebouwd voor een specifieke toepassing, in het bijzonder voor het verwerken, bewerken, verplaatsen of verpakken van materiaal. De term machine omvat tevens een samenstelling van machines welke, om hetzelfde doel te bereiken, zodanig opgesteld en aangestuurd worden dat zij als één integraal geheel functioneren. Niet voltooide machine (gedeeltelijk-voltooide-machine) Niet voltooide machine betekent een samenstel dat bijna een machine is maar op zich zelf geen bepaalde toepassing kan uitvoeren. Een niet voltooide machine is alleen voornemens om geïntegreerd of samengebouwd te worden met een andere machine of andere niet voltooide machine of apparatuur, waardoor een machine gevormd wordt waarop deze richtlijn van toepassing is (voorbeeld: lasrobot). Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 52

53 Machinerichtlijn (2006/42/EG) Verdere definities volgens Artikel 2 van de Machinerichtlijn Gekoppelde machine (interlinked machine) Een gekoppelde machine is een productie-installatie (onderling verbonden machines). Het bestaat uit meerdere machines die samenwerken en een product produceren. Op de markt brengen Op de markt brengen betekent het voor de eerste keer beschikbaar maken in de EU Machine-Community, of gedeeltelijk voltooide machine met vooruitzicht op verdeling of gebruik, hetzij voor een beloning, hetzij kosteloos. Fabrikant Een fabrikant is een natuurlijk of juridisch persoon welke een machine ontwerpt en/of produceert of gedeeltelijk voltooide machine, welke onder deze richtlijn valt en verantwoordelijk is voor de conformiteit van de machine of gedeeltelijk voltooide machine met deze richtlijn, met als vooruitzicht om op de markt te brengen onder zijn eigen naam of als handelsmerk of voor eigen gebruik. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 53

54 Structuur van de Machinerichtlijn 2006/42/EG Bepalingen Artikel 1 t/m 29 Bijlage I Essentiele gezondheids- en veiligheidsvereisten Bijlage VII Technisch Dossier voor machines Bijlage II Verklaringen Bijlage VIII Interne controle op de bouw van de machine Bijlage III Bijlage IV CE markering Categorieën machines waarvoor een EG-Type-onderzoek door Notified Boby noodzakelijk is Bijlage IX Bijlage X EG type-onderzoek Volledige kwaliteitswaarborging Bijlage V Indicatieve lijst met veiligheidscomponenten Bijlage XI Minimale criteria voor aanmelding van (keurings)instanties (NoBo s) Bijlage VI Samenbouwinstructies voor niet voltooide machines Bijlage XII Correlatietabel met oude MR Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 54

55 Scope van de Machinerichtlijn (2006/42/EG) De machinerichtlijn is van toepassing op de volgende producten (Artikel 1): a) Machines b) Verwisselbare uitrustingsstukken (b.v werkstukken, gereedschappen op of aan een machine) c) Veiligheidscomponenten d) Hijs- en hefgereedschappen e) Kettingen, kabels en banden f) Verwijderbare mechanische overbrengingssystemen g) Niet voltooide machines (gedeeltelijk voltooide machines) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 55

56 Conformiteitsmethode van de Machinerichtlijn (2006/42/EG) De Machinerichtlijn definieert een aparte conformiteitsmethode voor potentieel gfevaarlijke machines Machines met normaal potentieel gevaar dit zijn machines die niet opgenomen zijn in Bijlage IV. Voor deze machines kan de fabrikant zelf het conformiteitsproces uitvoeren door middel van interne controle op de bouw van de machine, zoals beschreven in Bijlage VIII. Bijlage IV machines dit zijn zogenaamde gevaarlijke machines. De fabrikant kan het conformiteitsproces uitvoeren volgens verschillende methoden: Beoordelen of voor de machine onder zijn verantwoordelijkheid, in geval van een voorval, een geharmoniseerde norm bestaat en dat de machine hieraan voldoet en dat geen andere gevaren naar voren komen.optreden. Typetest door een Notified Body (NoBo) Beoordelen of Evaluation of the quality assurance system in accordance with Annex X by the NB Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 56

57 Machinerichtlijn (2006/42/EG) De belangrijkste feiten op een rij: Ingangsdatum: 29 december 2009 Geen overgangstermijn Aangepaste eisen aan besturing Verdwijnen van IIC verklaring (IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten) Eisen niet-voltooide machines (IIB machines) aangescherpt Montagehandleiding IIB machines TCD niet-voltooide machines vereist Veiligheid wordt meetbaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 57

58 Overzicht normen en richtlijnen met betrekking tot functionele veiligheid Relevante machineveiligheid-normen voor functionele veiligheid Machinerichtlijn 98/37/EG 2006/42/EG EN 954-1: 1996 (Cat) Overgangsfase tot EN ISO (PL) PL EN (SIL) SIL Al vanaf 2012 mag EN (Cat.) niet meer toegepast worden! Het uitfaseren van de EN naar EN en EN ISO heeft tot gevolg dat u nu SIL of PL moet gebruiken Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 58

59 Overzicht belangrijkste geharmoniseerde normen Machinerichtlijn Geharmoniseerd onder de EU Machinerichtlijn: EN ISO (samenvoeging van EN ISO en EN ISO 14121, overgangstermijn 3 jaar) Leidraad voor risicobeoordeling Basisbegrippen en algemene ontwerpbeginselen EN Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen EN ISO (voorheen EN 418) Veiligheid van machines - Noodstop - Ontwerpbeginselen EN ISO /-2 (EN 954-1/-2) Veiligheid van machines - Veiligheidgerelateerde gedeelten van besturingssystemen (SRP-CS) EN Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 1: algemene eisen en beproevingen EN Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronischeen programmeerbare elektronische besturingssystemen (SRECS) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 59

60 Niet-geharmoniseerde normen Machinerichtlijn Niet geharmoniseerd onder de EU Machinerichtlijn maar wel toepasbaar! Onder andere: IEC Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/- programmeerbare elektronische systemen IEC , -3, -4 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 2, -3, -4 - Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 60

61 Geharmoniseerde normen vermoeden van overeenstemming Basisnormen voor veiligheidgerelateerde besturingsfuncties Ontwerp- en risicobeoordeling van de machine EN ISO Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject Functionele- en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen Ontwikkeling en realisatie van veiligheidgerelateerde besturingssystemen EN 62061: 2005 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronischeen programmeerbare elektronische besturingssystemen EN ISO : 2015 Veiligheid van machines Veiligheidgerelateerde gedeelten van besturingssystemen, deel 1: algemene principes (opvolger van EN 954-1: 1996 ) Willekeurige opbouwstructuren (architecturen) Safety Integrity Level (SIL), SIL 1, SIL 2 SIL 3 Bepaald architectuur (categorie) Perfomance Level (PL) PL a, PL b, PL c, PL d, PL e Elektrische veiligheid EN Veiligheid van machines Elektrische onderdelen van machines, deel 1: algemene eisen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 61

62 Bijlagen Machinerichtlijn 2006/42/EG Nieuwe eisen aan de besturing - Defecten, bedieningsfouten, - Operationele- en noodstop Noodstop is geen vervanger van veiligheidsmaatregelen (is voor beperken van letsel/schade na incident, of aanvullende beveiliging) Lijst van veiligheidscomponenten (Bijlage V) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 62

63 Bijlage V Machinerichtlijn 2006/42/EG Veiligheidscomponenten Eenheden voor veiligheidsfuncties Afschermingen Persoonsdetectie Noodstopvoorzieningen Tweehandenbediening Kleppen met storingsdetectie Logica-units om veiligheidsfuncties te waarborgen. (momenteel zo n 17 items) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 63

64 Wanneer is de Machinerichtlijn van toepassing? Of een product al dan niet onder de Machinerichtlijn valt kan met onderstaand flow-chart bepaald worden Valt een product onder de MR? Product vgls. Artikel 1 Par. (1) en Artikel 2, items a t/m g? JA Product niet conform Art. 1 Par. (2), items a t/m l? JA Product niet conform Art. 3 (verwijzing naar andere richtlijn) JA Product onderhevig aan MR NEE NEE NEE Product niet onderhevig aan MR Let op: er zijn uitzonderingen!, waaronder o.a. : - Militaire apparatuur, - Wapens, - Water-, lucht -, rail- transportmiddelen (hierop vast gemonteerde machines weer wel!), - Zeewaardige voertuigen en offshore apparatuur - Materieel voor kermissen en amusementsparken - Machines voor onderzoeksdoeleinden, - Elektronische huishoudelijke apparatuur, - Audio-/video-apparatuur - Kantoor-apparatuur/machines - IT-apparatuur - Elektrische motoren - Laagspannings schakelmateriaal, - Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 64

65 Belangrijkste wijzigingen EN e druk Veiligheid van machines Elektrische onderdelen Betere aansluiting op de IEC reeks (NEN 1010) Betere aansluiting op de IEC reeks (schakelen verdeelinrichtingen) Verdwijnen hoofdstuk 11 elektronische uitrusting Verwijzing naar EN en EN ISO Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 65

66 EN 60204: Hoofdnorm elektrische veiligheid van machines EN elektrische veiligheid van machines Elektrische installaties Besturingen Testen, keuren/valideren, documenteren NEN 1010 voor specifiek de Machinebouw m.b.t. de elektrische aspecten van machines Afstemming tussen normen voor besturingen met een veiligheidsfunctie EN ISO (EN 954) en EN Procedures, markeringen / waarschuwingen en Specifieke elektrische invulling van het Technisch Dossier van de machine Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 66

67 Samenhang besturingsnormen EN Veiligheids georiënteerde onderdelen van een besturing EN elektrische veiligheid van machines EN ISO Besturingssysteem met veiligheidsfunctie (EN 954) EN ISO Noodstop (EN 418) EN ISO handenbediening (EN 574) EN ISO 14120: 2015 Afschermingen (EN 953) EN ISO onbedoeld starten (EN 1037) EN ISO blokkeerinrichting afscherming (EN1088) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 67

68 Meer informatie over EU-normen en richtlijnen Europese normen en richtlijnen voor machineveiligheid: : Controleren aangemelde instantie (NoBo) via: NANDO Information System (New Approach Notified and Designated Organisations): Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 68

70 Minimum vereisten voor het uitvoeren van de risicobeoordeling Voor het uitvoeren van een risicobeoordeling zijn een aantal organisatorische- en technische zaken vereist: Organisatorische vereisten B.v. volgens ISO 9001, maar is niet verplicht: Toewijzen van verantwoordelijke personen voor elk afzonderlijk projectdeel Technisch ontwerp (mechanisch, elektrisch, pneumatiek, hydrauliek) Software ontwerp Documenteren / documentatieproces Kwalificatie van medewerkers Kennis van processen en normering (is wel aan te raden) Technische vereisten Infrastructuur (internet, intranet) Toegang tot de normen Tool om risicobeoordeling te documenteren Productinformatie De risicobeoordeling moet in de processen van het bedrijf geborgd zijn! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 70

71 Het CE-conformiteitsproces in de product-lifecycle De risico-analyse is een integraal onderdeel van het CE-conformiteitsproces. Dit proces wordt in 9 fasen doorlopen: Idee Ontwerp & engineering Installatie & inbedrijfname In bedrijf Onderhoud & service Uit bedrijf / ontmanteling Fase 1 Fase 2 Fase 3 Fase 4 Definieer welke richtlijnen van toepassing zijn Definieer welke normen van toepassing zijn Bepaal het beoordelingstraject voor het conformiteitsproces (bijlage IV machine?) a) Analyseer het risico b) Reduceer het risico Fase 5 Stel technische documenten samen Fase 6 Stel conformiteitsverklaring op of Inbouwverklaring Fase 7 Fase 8 Kwaliteitswaarborging Fase 9 Product bewaking, product-volg-richtlijnen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 71

72 Leg de processen voor risicobeoordeling binnen de organisatie vast Verantwoordelijkheid moet gegeven worden aan personen die het productieproces kunnen beïnvloeden of met het systeem werken. Mechanica & Hydrauliiek Electrotechniek & Automatisering Team en Projectcoördinator Onderhoud & Service Installatie & Productie Veiligheid Kwaliteit waarborging Doel: De projectcoördinator zal samen met het team een Veiligheidsplan (Safety Plan) moeten gaan opstellen voor elk projectdeel. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 72

73 Proces-flow en leidraad voor risicobeoordeling: EN ISO (opvolger van EN ISO en EN ISO 14121) Principe voor risicobeoordeling: Start Risicoanalyse Risicobeoordeling Risicoreductie, door het kiezen van de juiste beveiliging(en) Bepaling van de grenzen van de machine/installatie Identificatie van de gevaren van de machine/installatie Voor elk gevaar: risicoschatting en risico-evaluatie NEE Is het risico voldoende gereduceerd? JA Einde De machine is veilig, het gevaar is teruggebracht tot een aanvaardbaar restrisico Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 73

74 Procesverloop - stappenplan Het proces met de noodzakelijk te doorlopen stappen om een veilige machine te kunnen realiseren heet het risicobeoordelingstraject. Risicobeoordelingstraject 3 fasen Risico-analyse Risicoreductie Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 74

75 Risicobeoordelingstraject - procedure Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 75

76 Benodigde informatie voor het uitvoeren van de risicobeoordeling Procedure volgens EN ISO 12100, Algemeen (zie hoofstuk 5.2): Lever informatie aan in relatie tot de beschrijving van de machine Gebruiker specificatie Machine specificatie Documentatie en informatie voor de gebruiker over eerdere ontwerpen Richtlijnen, normen die van toepassing zijn Vergelijkbare machines in relatie tot richtijnen, normen en documenten die van toepassing zijn Veiligheidsinstructies, ongevallen-, incidenten- of gebreken historie Relevante ergonomische principes Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 76

77 Definities van norm EN De risicobeoordeling is een uitgebreide schatting van het actuele- en ergst mogelijke letsel als gevolg van een aanvankelijk als potentieel gevaarlijk gedefinieerde situatie De risicobeoordeling moet de volgende zaken beschouwen: Ingrepen en activiteiten door personen in alle levensfasen (transport, assemblage, montage, inbedrijfname, inbedrijf, service, uitbedrijfname, etc.) Alle mogelijke bedieningsmodi (set-up, testen, auto-bedrijf, hand-bedrijf, service-bedrijf, etc.) Bedoeld/voorgenomen gebruik Voorspelbaar incorrect gebruik Belangrijk: De risicobeoordeling beschouwt de machine of installatie in eerste oorspronkelijke situatie, zonder rekening te houden met enige maatregelen (het originele risico)! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 77

78 Closed loop principe Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Risico niet afdoende gereduceerd Implementeer het veiligheidsconcept en neem in bedrijf Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 78

79 Hoe maak je een machine veilig? Voorkomen van gevaarlijke situaties RIE (Risico Inventarisatie en Evaluatie) Stappenplan: 1. Identificeren van het gevaar (analyse) 2. Risicobeoordeling van het gevaar (schatting / -evaluatie) 3. Bepaling maatregelen voor risicoreductie (reductie: definities / maatregelen) 1 e Ontwerp / mechanische oplossingen (b.v. afscherming met hek of beschermkap) 2 e Elektronische en elektrische oplossingen 3 e Organisatorische maatregelen (b.v. gebruikershandleiding, training machine-operators) De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 79

80 Risicobeoordeling begint met gebruiksgrenzen aangeven van de machine! Waarvoor te gebruiken Onder welke omstandigheden Door wie te bedienen. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 80

81 De daadwerkelijke risicobeoordeling - uitvoering Ernst van de verwonding Hoe ernstig Zwaar licht Frequentie en duur van verblijf in de gevaarlijke zone Hoe vaak Vaak Zelden Mogelijkheid om schadelijk effect te beperken of uit te sluiten Hoe waarschijnlijk Bijna onmogelijk Mogelijk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 81

82 Basisbegrippen en leidraad voor risicobeoordeling: EN ISO De 3-stapsmethode : algemene ontwerpbeginselen Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is aan het gevaar: - inherent ontwerp, technische beveiligingsmaatregelen en gebruiksinformatie. Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 82

83 Essentieel onderdeel bij het ontwerpen van machines: Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model) Start Risicobeoordeling vd machine vlgs EN ISO Machinevalidatie Einde Machine gevalideerd Veiligheidsspecificaties SRS* Test van specificaties SRS Ontwerp en engineering Besturingstechnische e veiligheidsfuncties Architectuur HW** en SW*** HW-ontwerp SW-ontwerp Integratie test HW en SW HW-test SW-test Verificatie / Test Resultaat Evaluatie / Review Verifica atiie en Valid datie Realisatie * SRS = Safety Requirement Specification ** HW = Hardware Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid *** SW = Software 83

85 Het risico-analyse proces Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s De risico-analyse is de eerste stap naar een veilige machine. De Machinerichtlijn stelt een risico-analyse verplicht voor een nieuw te bouwen- of aan te passen machine of machinedeel. De risico-analyse dient uitgevoerd- en gedocumenteerd te worden door ter zake kundige personen. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 85

86 Risico-analyse - Beschrijf de machine Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 86

87 Beschrijf de machine Risico-analyse Beschrijving van de gebruiksgrenzen van de zaagmachine: Beoogd doel: Machine om metalen profielen in stukken te zagen/snijden tot een maximum van 150 mm x 150 mm Diameter slijpschijf 600 mm maximum Gebruiksgrenzen: Voedingsspanning: 400 V 3~ 50 Hz Binnengebruik (IP54) Temperatuurbereik: -15 C to +50 C Gebruikersgroepen: Alleen gekwalificeerd personeel (getrained/geschoold, geen leken) Leerlingen alleen onder toezicht van gekwalificeerd personeel Gebruiksduur/levensduur: 150,000 bedrijfsuren Ruimtelijke grenzen: Invoer- en uitvoer zijn geen deel van de machine Machine dient een werkgebeid van 2m rondom de machine te hebben Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 87

88 Beschrijf de machine Sjabloon - projectdata Risico-analyse Rev. Contract No Project Modification contents Plant Area Equipment Doc type Referenced documents Doc title Risk assessment Substitute for / Replaced by Language(s) EN Customer specific: Original-manufacturer: Logo Made by Checked by Approved by Name Date Signature Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 88

89 Beschrijf de machine Productbeschrijving - gebruiksgrenzen van de machine Risico-analyse Product Machine designation Machine type Year of commissioning Customer Machine In accordance with the Machinery directive 2006/42/EC Article 2, Pct. a Installation site Project code Formuleer alle relevante informatie in eenvoudig en duidelijk te begrijpen Limits of the machine, intended use Description kernpunten Associated documents Intended purpose Operating limits Spatial limits Time limit Also foreseeable not intended purpose of use (misuse/improper use) Environmental conditions; EMC; type of electrical system; installation altitude; temperature range; humidity; installation location (indoors or outdoors); etc. Vermeld de documenten waarin deze informatie terug te vinden is Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 89

90 Beschrijf de machine Gebruiksomgeving - gebruikersgroepen - gevaarlijke materialen Risico-analyse Environment of use Description Formuleer alle relevante informatie in eenvoudig en duidelijk te begrijpen Associated documents Private No kernpunten Comnmercial Yes Vermeld de documenten User groups Task Qualification Associated documents waarin deze informatie Qualified personnel terug te vinden is Laypersons Apprentices Children (specify age group) Older persons (no longer working) Disabled (persons with limited mental and physical abilities) Materials Material Use Associated documents Hazardous substances Hazardous materials Hazardous processed materials Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 90

91 Risico-analyse - Identificeer de gevaren Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 91

92 Identificeer de gevaren Mogelijke gevaren volgens EN ISO Risico-analyse Snijden/slijpen Vallen Bewegen Zwaartekracht Toenaderen Draaien Snijden Afsnijden Pletten Stoten Pletten Stoten Beknellen Pletten Stoten Beknellen Pletten Stoten Beknellen Meetrekken Schaven Grijpen Stoten Indentificeer systematisch alle voor de hand liggende gevaren in alle levensfasen van de machine en in alle gebruiksmodi. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 92

93 Identificeer de gevaren Levensfasen machine Risico-analyse Overzicht van verschillende levensfasen van een machine: Phase of life Description Associated documents Transport, assembly and installation Commissioning Operation Maintenance Decommissioning, dismantling, disposal Additional phase of life Transportation of machine or machine components to internal or external relocation Installation, set up, testing, teaching, programming, start-up, all operating modes, machine loading, removing the product from the machine, shutdown the machine, shutdown the machine in case of emergency, restart after shutdown, troubleshooting and error elimination Set up, testing, retrofit, start-up, all operating modes, machine loading, removing the product from the machine, shutdown the machine, shutdown the machine in case of emergency, return to operation after blockage, restart after shutdown, troubleshooting and error elimination (intervention by operating person) Cleaning and housekeeping, maintenance, troubleshooting and error elimination (intervention by operating person) At the manufacturer s works At customer s installation location by customer personnel None Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 93

94 Identificeer de gevaren Bedrijfsmodi machine Risico-analyse Overzicht van de verschillende bedrijfsmodi van een machine: Operating mode (Name) Description Abbreviations Automatic mode Auto Manual mode Set-up mode... All Affects all operating modes described here All Independent This phase of life has no operating mode None Man Set-up Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 94

95 Identificeer de gevaren Gevarenzones van de zaagmachine Risico-analyse Zaagblad > snijden / afsnijden Metaalsplinters > Snijden, schaven Klemplaten > Beknellen Transportrollen > Beknellen en meetrekken Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 95

96 Identificeer de gevaren Evalueer de gevaren Risico-analyse Wanneer kunnen welke gevaren optreden: - Voor elke gevarenzone zijn in de norm overdenkingen gegeven welk gevaar er in zou kunnen schuilen. - Elke levensfase van de machine dient hierbij beschouwd te worden. Phase of life/ Operating mode Transport Assembly Installation Operation Commissioning Mode 1 Mode 2 Maintenance Mode 3 Mode 4 Dismantling Hazards according to EN ISO 12100:2010 Mechanical Electrical Thermal Noise Vibrations Radiation Substances Ergonomics Environment Evalueer waar van toepassing, afhankelijk van de bedrijfsmodus Combination Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 96

97 Risico-analyse Evalueer de risico s Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 97

98 Evalueer de risico s Wat is risico-evaluatie? Risico-analyse Risico-evaluatie is een uitgebreide beoordeling van de waarschijnlijkheid aan- en omvang/duur van blootstelling aan gevaarlijke situaties. Voor elk gevaar dient het risico afzonderlijk beoordeeld te worden. De machine wordt bekeken in originele uitvoering, zonder rekening te houden met enige beveiligingsmaatregelen. Het resultaat van de eerste evaluatie van een gevaar is het oorspronkelijk risico. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 98

99 Evalueer de risico s Risico-componenten Risico-analyse RISICO is de combinatie van Ernst van schade/letsel Waarschijnlijkheid van optreden schade/letsel Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 99

100 Evalueer de risico s De ernst van het letsel Risico-analyse De ernst van de schade of het letsel dat veroorzaakt kan worden door het gevaar: Herstelbaar, alleen eerste hulp nodig Ernst van schade/letsel Herstelbaar, medische behandeling noodzakelijk Gebroken ledematen, verlies van vinger(s) Dood, verlies van een oog of arm Aantal betroffen personen/slachtoffers Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 100

101 Evalueer de risico s Waarschijnlijkheid van optreden van het letsel Risico-analyse Waarschijnlijkheid van optreden schade/letsel Frequentie en duur van blootstelling aan het gevaar: De noodzaak van toegang tot het gevaarlijke gebied Soort toegang (bij elke handeling / alleen bij service) Duur van de blootstelling Aantal personen, frequentie van toegang Waarschijnlijkheid van optreden van de gevaarlijke situatie: Klein Gemiddeld Groot Mogelijkheid tot voorkomen of beperken van het gevaar: Soort beweging: langzaam, snel of onvoorspelbaar Kwalificatie van de personen Risicobewustzijn Reflexen, praktische ervaring Bewegingsvrijheid, ontsnappingsmogelijkheden Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 101

102 Evalueer de risico s De risico s van de zaagmachine Risico-analyse Voorbeeld: het gevaar van het draaiende zaagblad Waarschijnlijkheid Is er mogelijk van optreden verwonding? Zaagblad > snijden / afsnijden Ernst / omvang Onherstelbaar letsel, verlies van vinger of am. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 102

103 Evalueer de risico s Risicograaf hoe hoog is het risico? Risico-analyse Het team beoordeelt het risico van individuele gevaren volgens een gedefineerde risicograaf. Gevaar van het zaagblad Ernst van het letsel Onherstelbaar: 4 - dood - verlies van een oog - verlies van een arm 3 Onherstelbaar: - gebroken ledematen - verlies van vingers 2 Herstelbaar: Medische zorg noodzakelijk 1 Herstelbaar: Eerste Hulp nodig A Zeer waarschijnlijk 4A Risicobeoordeling uitgevoerd door het team Waarschijnlijkheid van optreden B Mogelijk C Onwaarschijnlijk D Zeer onwaarschijnlijk (Bron: Cursus Risicobeoordelingtraject ST-FASAFN Siemens-TÜV) Met geschikte maatregelen zou het risico in de meest optimale situatie gereduceerd moeten worden van het gevaarlijke rode gedeelte naar een acceptabel restrisico in het groene gedeelte van de risicograaf. Alle individuele gevaren zullen door het team afzonderlijk beoordeeld moeten worden! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 103

104 Evalueer de risico s De volgende stap: risicoreductie Risico-analyse Als het oorspronkelijke risico hoog is, zullen maatregelen getroffen moeten worden om dit terug te brengen tot een acceptabel rest-risico. Oorspronkelijk risico Risicoreductie Acceptabel restrisico Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 104

105 Risico-analyse Samenvatting Risico-analyse Beschrijf de machine Identificeer de gevaren Evalueer de risico s De machine en de risico s die deze met zich voorbrengt worden beschreven en geëvalueerd. Het risico van de risicobeoordeling is de basis voor het veiligheidsconcept voor risicoreductie (= volgende stap in het risicobeoordelingtraject). Met een correct uitgevoerde risicobeoordeling kan in geval van een claim beschuldiging van nalatigheid verworpen worden. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 105

107 Het risicoreductie proces Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf Het doel van de risicoreductie is het verkrijgen van een acceptabel rest-risico. Om dit te bereiken definieert het CE team passende veiligheidsmaatregelen met behulp van de 3-stapsmethode. In vervolgstappen worden de veiligheidsfuncties ontworpen (architectuur) en het algehele veiligheidsconcept geïmplementeerd en in bedrijf genomen. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 107

108 Risicoreductie Definieer en evalueer de veiligheidsmaatregelen Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf 1. Inherent veilig ontwerp 2. Technische beveiligingsmaatregelen 3. Gebruiksinformatie De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 108

109 Definieer en evalueer de veiligheidsmaatregelen De 3-stapsmethode volgens EN ISO hoofdstuk 6 Risicoreductie Als eerste Algemene ontwerpbeginselen: Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is aan het gevaar. Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 109

110 Ontwerpproces voor veiligheidsfuncties Risicoreductie Vervolgens Basis-ontwerpproces voor veiligheidsfuncties: 1. Specificeer de veiligheidsfuncties (functionele beschrijving, benodigde reactietijd, gebruiks-cycli, foutreactie, ) 2. Bepaal het benodigd veiligheidsniveau (SIL / PL) 3. Ontwerp de veiligheidsfuncties (detecting-/evaluating-/reacting-deel, architectuur, enkel-/dubbelpolig, HW-/SW-ontwerp) 4. Verifieer behaalde veiligheidsniveau van de veiligheidsfuncties (Safety Evaluation Tool) 5. Realiseer en test de veiligheidsfuncties (validatie) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 110

111 Definieer en evalueer de veiligheidsmaatregelen Stap 1: maak een veilig ontwerp Risicoreductie Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 111

112 Definieer en evalueer de veiligheidsmaatregelen Aspecten voor veilig machine-ontwerp Risicoreductie Een veilig basisontwerp van de machine heeft de hoogste prioriteit in de risicoreductie! (stap 1 binnen EN ISO 12100) Integratie van veiligheid in het ontwerp van de machine Veilige bediening en onderhoud van de machine door constructieve maatregelen De eenvoudigste manier om de omvang van de schade te beperken Richtlijnen voor een veilig ontwerp worden gegeven in EN ISO Sectie 6.2 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 112

113 Definieer en evalueer de veiligheidsmaatregelen Mechanische constructie/opbouw van de machine Risicoreductie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 113

114 Definieer en evalueer de veiligheidsmaatregelen Mechanische constructie/opbouw van de machine Risicoreductie Omkasting Een behuizing voorkomt direct contact met de gevaren-zone. Veiligheidsdeur Glazen deur geeft zicht op het proces en toegang tot de machine en werkstuk. Is de machine nu veilig? Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 114

115 Definieer en evalueer de veiligheidsmaatregelen Risicoreductie door mechanische constructie/opbouw-maatregelen Risicoreductie Beoordeel en evalueer het gevaar na de genomen ontwerpmaatregelen. Hoe hoog is het risico nu? Gevaar van het zaagblad 4 Ernst van het letsel Waarschijnlijkheid van optreden A B C D Zeer waarschijnlijk Waarschijnlijk Onwaarschijnlijk Onherstelbaar: - dood - verlies van een oog - verlies van een arm 4A 4C Zeer onwaarschijnlijk Ondanks de ontwerpmaatregelen is het volgende restrisico nog aanwezig: De deur kan geopend worden als het zaagblad nog draait. 3 Onherstelbaar: - gebroken ledematen - verlies van vingers Opnieuw uitgevoerde risicobeoordeling door het team 2 Herstelbaar: Medische zorg noodzakelijk 1 Herstelbaar: Eerste Hulp nodig Huidig risico: verdere technische maatregelen zijn wel noodzakelijk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 115

116 Definieer en evalueer de veiligheidsmaatregelen Huidig risico na genomen mechanische constructie/opbouw-maatregelen Risicoreductie De machine is veiliger maar nog niet veilig genoeg! Huidig risico Oorspronkelijk risico Gereduceerd Reduceer verder Acceptabel restrisico Huidig risico: Deur kan geopend worden als het zaagblad nog draait. Verdere technische maatregelen zijn noodzakelijk. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 116

117 Definieer en evalueer de veiligheidsmaatregelen Stap 2: Technische beveiligingsmaatregelen Risicoreductie Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 117

118 Definieer en evalueer de veiligheidsmaatregelen Eisen aan de machine Risicoreductie De machine moet direct uitgeschakeld worden zodra de deur geopend wordt er een noodsituatie is. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 118

119 Definieer en evalueer de veiligheidsmaatregelen Technische beveiligingsmaatregelen voor de machine Risicoreductie Hekbewakings-schakelaars De deur wordt bewaakt en met een vergrendelbare hekschakelaar. Zodra het zaagblad stilstaat (aanvraag), zal de deur ontgrendeld- en geopend kunnen worden. Als de deur geopend is moet voorkomen worden dat de machine gestart kan worden. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 119

120 Definieer en evalueer de veiligheidsmaatregelen Risicoreductie door technische beveiligingsmaatregelen Risicoreductie Beoordeel en evalueer het gevaar opnieuw na de genomen technische beveiligingsmaatregelen Gevaar van het zaagblad Severity of harm Waarschijnlijkheid van optreden A B C D Zeer waarschijnlijk Waarschijnlijk Onwaarschijnlijk Zeer onwaarschijnlijk Door de technische beveiligingsmaatregel (deurbewaking) is het verlies van een vinger of arm onwaarschijnlijk geworden. 4 Onherstelbaar: - dood - verlies van een oog - verlies van een arm 4C 3 Onherstelbaar: - gebroken ledematen - verlies van vingers 2 Herstelbaar: Medische zorg noodzakelijk 1 Herstelbaar: Eerste Hulp nodig 2D Opnieuw uitgevoerde risicobeoordeling door het team Huidig risico: zijn nog aanvullende technische maatregelen noodzakelijk? Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 120

121 Definieer en evalueer de veiligheidsmaatregelen Technische aanvullende maatregelen voor de machine Risicoreductie Noodstopbediening De bedieningsconsole wordt voorzien van een noodstopknop. Zodra deze ingedrukt wordt moet het zaagblad direct stilgezet worden. Let op: een noodstop is slechts een aanvullende maatregel en geen vervanging voor noodzakelijke beveiligingsmaatregelen! (dient als laatste redmiddel ) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 121

122 Definieer en evalueer de veiligheidsmaatregelen Technische aanvullende maatregelen voor de machine Risicoreductie De deur is gesloten: - de machine mag draaien. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 122

123 Definieer en evalueer de veiligheidsmaatregelen Technische aanvullende maatregelen voor de machine Risicoreductie De deur is geopend: - de machine stopt. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 123

124 Definieer en evalueer de veiligheidsmaatregelen Huidig risico na genomen technische maatregelen Risicoreductie Oorspronkelijk risico Risicoreductie Acceptabel restrisico De technische maatregelen reduceren het risico nu zodanig dat geen verdere technische maatregelen noodzakelijk zijn. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 124

125 Definieer en evalueer de veiligheidsmaatregelen Acceptabel restrisico Risicoreductie Door een veilig ontwerp en technische beveiligingsmaatregelen is een acceptabel restrisico bereikt Gevaar van het zaagblad Waarschijnlijkheid van optreden Severity of harm A Zeer waarschijnlijk B Waarschijnlijk C Onwaarschijnlijk D Zeer onwaarschijnlijk 4 Onherstelbaar: - dood - verlies van een oog - verlies van een arm Oorspronkelijk risico 3 Onherstelbaar: - gebroken ledematen - verlies van vingers 2 Herstelbaar: Medische zorg noodzakelijk Restrisico 1 Herstelbaar: Eerste Hulp nodig Huidig risico: acceptabel restrisico. Er zijn geen verdere technische maatregelen meer noodzakelijk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 125

126 Definieer en evalueer de veiligheidsmaatregelen Documenteer alle genomen maatregelen Risicoreductie De genomen beveiligingsmaatregelen kunnen met behulp van standaard sjablonen gedocumenteerd worden Hazardous area Zaagblad Mode acc. to Section 1.2 Auto-mode Mechanisch Afsnijden vinger of arm aan draaiend zaagblad Snijden, afsnijden 4A 1 Omkasting aan 3 zijden van de machine monteren en een veiligheidsdeur aan de voorzijde machine voor onderhoud/service 4C 2 Bewaken van de veiligheidsdeur. Zaagblad mag alleen draaien als deur dicht is CM 4C Correcte mechanische montage van alle schroefbevestigingen controleren FS 2D Veiligheidsdeur functioneel testen Restrisico is acceptabel Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 126

127 Definieer en evalueer de veiligheidsmaatregelen Stap 3: Gebruikersinformatie over restrisico s Risicoreductie Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 127

128 Definieer en evalueer de veiligheidsmaatregelen Gebruikersinformatie over restrisico s Risicoreductie Uittreksel uit de praktijkgids van de Machinerichtlijn Het vervaardigen van gebruikersinformatie is een integraal onderdeel van het ontwerp van een machine. Als er, ondanks een inherent veilig ontwerp en implementatie van aanvullende beveiligingsmaatregelen, toch nog risico s aanwezig blijven, dan moet in de gebruikersinformatie op deze restrisico s gewezen worden. Het restrisico is alleen acceptabel met voldoende gebruikersinformatie. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 128

129 Definieer en evalueer de veiligheidsmaatregelen Gebruikersinformatie over restrisico s Risicoreductie Breng waarschuwingen aan voor de gebruiker Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 129

130 Definieer en evalueer de veiligheidsmaatregelen Succesvol voltooien van de risico-analyse Risicoreductie Start Stap 1: Stap 2: Stap 3: Risicoreductie door veilige mechanische constructie/opbouw JA Is het risico voldoende verminderd? NEE Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Risicoreductie door gebruikersinformatie over restrisico s Is het risico voldoende verminderd? NEE Risico-analyse opnieuw uitvoeren JA Einde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 130

131 Risicoreductie Ontwerp de achitectuur van de veiligheidsfuncties Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 131

132 Ontwerp de achitectuur van de veiligheidsfuncties Opbouw en technische implementatie Risicoreductie Voor de kwaliteit en betrouwbaarheid van de technische beveiligingsmaatregelen worden verschillende veiligheidsniveau s gedefineerd Afhankelijk van het risico-niveau is een bepaald veiligheidsniveau vereist. Bepaling van het risico en het resulterende veiligheidsniveau s wordt uitgevoerd volgens specifiek hiervoor bestemde normen voor functionele veiligheid. De manier van bepaling van het risico en het resulterende veiligheidsniveau verschilt echter per norm. De fabrikant zal een keuze moeten maken welke norm te hanteren. Voor functionele veiligheid zijn onder de Machinerichtlijn twee geharmoniseerde normen beschikbaar met elk hun eigen methodiek en veiligheidsniveau s EN ISO : Performance Level PL a t/m PL e EN 62061: Safety Integrity Level SIL 1 t/m SIL 3 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 132

133 Ontwerp de achitectuur van de veiligheidsfuncties Vergelijking veiligheidsniveau s normen functionele veiligheid Risicoreductie Vereenvoudigde weergave van... groot risico... gemiddeld risico Zeer zware verwonding of dood... kleinste risico Te voorkomen, minimale verwonding... klein risico Herstelbaar, minimale verwondeing (EHBO) Kleine kans van optreden Geringe tot ernstige verwonding Blijvend letsel (verlies van vinger) Redelijke kans van optreden Blijvend letsel (verlies van oog / ledemaat / ) Grote kans van optreden Kleinste kans van optreden PL a (grootste faalkans) SIL 1 PL b PL c SIL 2 PL d SIL 3 PL e (kleinste faalkans) Let op: Het daadwerkelijk benodigd veiligheidsniveau kan uitsluitend bepaald worden door normspecifieke criteria (risiograaf) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 133

134 Risicoreductie Riscograaf voor bepaling van het vereiste Performance Level (PL) Risicoreductie Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie F1 P1 P2 S1 P1 F2 F1 P2 P1 S2 P2 F2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 134

135 Risicoreductie Bepaling van het vereiste veiligheidsniveau: Safety Integrity Level (SIL) Risicoreductie Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 > 1 jaar 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Se Ernst van letsel Se Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av 3 tot 4 5 tot 7 8 tot tot tot 15 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 SIL 1 SIL 2 SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 135

136 Risicoreductie Standaard sjablonen (EN ISO ) Risicoreductie Veiligheidsfuncties vastleggen/documenteren De veiligheidsfuncties kunnen in detail worden beschreven De normen hebben hiervoor sjablonen beschikbaar, zoals zoals b.v. hieronder in hoofdstuk 4 (EN ISO ). Dit hoofdstuk omvat de specificatie van veiligheidvereisten voor de automatisering (SRS, Safety Requirement Specification for automation) Operation and commissioning: Safety functions according to Chapter Hazardous area Slijpschijf Mode acc. to Section 1.2 Auto-mode No Name of safety function Risk classification S Severity F Frequency P Avoidance PL a, b, c, d, e Description of safety function Measures/Screening criteria 1 Veiligheidsdeur, toegang tot werkgebied machine De aandrijving van het zaagblad moet stilgezet worden zodra de deur geopend wordt. S2 F2 P1 d De deur wordt bewaakt en met een vergrendelbare hekschakelaar. Zodra de aandrijving stilstaat (aanvraag), zal de deur ontgrendeld- en geopend kunnen worden. Als de deur geopend is moet voorkomen worden dat de aandrijving gestart kan worden. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 136

137 Risicoreductie Standaard sjablonen (EN 62061) Risicoreductie Veiligheidsfuncties vastleggen/documenteren: Annex A van norm EN Sjabloon voor SIL-bepaling Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 137

138 Ontwerp de achitectuur van de veiligheidsfuncties Selecteer benodigde componenten voor de veiligheidsfuncties Risicoreductie Selecteer de benodigde componenten in overeenkomstig de vereisten van de toegepaste norm: Veiligheidsfuncties Detecting Evaluating Reacting 1 e : hekbewaking + + SIRIUS Contactloze schakelaar + hekvergrendelingsschakelaar SIMATIC Failsafe controller SIRIUS Magneetschakelaar SINAMICS Failsafe Drive 2 e : noodstop SIRIUS Noodstopknop SIMATIC Failsafe controller + SIRIUS Magneetschakelaar SINAMICS Failsafe Drive Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 138

139 Ontwerp de achitectuur van de veiligheidsfuncties Realiseer het hardware-ontwerp van de veiligheidsfuncties Risicoreductie SIRIUS-ACT 3SU1 noodstop Noodstop Detecting 2 SIRIUS 3SE5 hekschakelaars Stop Reset Start L1 L2 L3 + SIMATIC F-PLC S7-1500F SIRIUS magneetschakelaar 3RT20 Schuifdeur Detecting 1 Evaluating SINAMICS F-Drive G120 Praktische opbouw van de componenten in de machine Reacting Motor zaagblad Aansluitschema s, stuklijst, EPLAN-data Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 139

140 Ontwerp de achitectuur van de veiligheidsfuncties Realiseer het software-ontwerp van de veiligheidsfuncties Risicoreductie Functionele beschrijving en structuur F-programma Veilig ontwerp van het F-programma Configuratiesettings F-DI / F-DQ Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 140

141 Ontwerp de achitectuur van de veiligheidsfuncties Test en verifieer de veiligheidsfuncties Risicoreductie Verificatie van de veiligheidsfuncties is een MUST! Hoe kunt u controleren dat het veiligheidsniveau van uw veiligheidsfuncties voldoet aan dat wat in de risicobeoordeling vereist is? Verificatie van veiligheidsfunctie met de Safety Evaluation Tool (SET) Vereist door de normen EN ISO en EN Het veiligheidsconcept moet geëvalueerd- en gedocumenteerd worden door middel van faalkansberekeningen Gebruik van deze online tool is kosteloos: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 141

142 Risicoreductie Implementeer het veiligheidsconcept en neem in bedrijf Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 142

143 Implementeer het veiligheidsconcept en neem in bedrijf Opbouw en technische implementatie Risicoreductie Implementatie van het ontwerp en constructie Zet een omkasting om de zaagmachine Monteer de veiligheidscomponenten Technische implementatie Bedraad de veiligheidscomponenten Programmeer en wijs parameters toe aan de veiligheidscomponenten Inbedrijfname (t.b.v. testdoeleinden) Neem de veiligheidscomponenten in bedrijf Test de veiligheidsfuncties Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 143

144 Risicoreductie Samenvatting Risicoreductie Definieer en evalueer de veiligheidsmaatregelen (3-stapsmethode) Ontwerp de architectuur van de veiligheidsfuncties Implementeer het veiligheidsconcept en neem in bedrijf Het ontwerp en technische maatregelen hebben het risico zodanig geminimaliseerd dat geen verdere technische maatregelen noodzakelijk zijn. De gebruike actuele stand der techniek technologie garandeert juridische zekerheid. Gebruikersinformatie, waarschuwingen en training, moeten de nog overgebleven rest-risico s duidelijk maken. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 144

146 Het proces van bewijslast en validatie Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen De validatie is slechts één van de onderdelen van de algehele veiligheids bewijslast. Daarnaast zal naleving van de relevante richtlijnen aangetoond moeten worden aan de hand van een normconforme procedure. Vervolgens kan de conformiteitsverklaring worden opgesteld en de CE-markering aangebracht worden op de machine. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 146

147 Wat is validatie? Volgens EN ISO (2012) en EN62061 (hoofdstuk 8) is validatie bevestiging door middel van onderzoek van een veiligheid-gerelateerd systeem voor de volgende aspecten: Zijn de vereisten van de Safety Requirements Specifications (SRS) correct en op juiste wijze geïmplementeerd? Zijn de veiligheidsfuncties voor de machine op juiste wijze geïmplementeerd? Voldoet de implementatie aan de vereiste kwaliteit van veiligheid? Doel van validatie Het doel van validatie is te verifiëren dat geïmplementeerde veiligheidsfuncties de vereiste bijdrage leveren aan de risicoreductie, zodanig dat de machine veilig wordt èn veilig blijft. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 147

148 Wat moet gevalideerd worden en hoe dient dit te worden uitgevoerd? De scope van analyse en procedure is volgens EN ISO (2012) en EN62061 als volgt gedefiniëerd: Scope van validatie - Veiligheidsfuncties, inclusief het behaalde Safety Integrity Level (SIL) of Performance Level (PL) en categoriën. Overeenstemming met het ontwerp-proces Validatie-procedure - Analyses en tests uitvoeren, gebaseerd op een validatieplan. Afwijkingen In geval van afwijkingen ten opzichte van de verwachte resultaten, zullen aanpassingen moeten worden gemaakt in het ontwerp en relevante tests dienen opnieuw te worden uitgevoerd. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 148

149 Validatie Documenteer de maatregelen Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 149

150 Documenteer de maatregelen Validatie De fabrikant maakt het Technisch Dossier (TCD) als bewijs van overeenstemming met de Machinerichtlijn. Welke informatie het Technisch Dossie moet bevatten is beschreven in Annex VII van de richtlijn. Het Technisch Dossier moet, naast ook andere zaken, bevatten: Risicobeoordeling Projectdocumentatie inclusief specificaties, veiligheidsplan, verificatieplan, validatieplan Ontwikkeldocumentatie inclusief testplannen, testrapporten Instructies, gebruikershandleiding Documentatie is in geval van een ongeval met letsel essentieel voor verduidelinking van de jurische aansprakelijkheid! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 150

151 Documenteer de maatregelen Externe en interne documentatie Validatie Externe technische documentatie Voor de (eind)klant Bedieningsinstructies met beschrijving van het bedoeld gebruik Noodzakelijke schakelschema s Veiligheidsvoorschriften Waar van toepassing een onderhoudshandleiding EG-certificaat van overeenstemming Uittreksel van de Machinerichtlijn (2006/42/EC) Interne technische documentatie Blijft bij de fabrikant Beschrijving van de machine Overall tekening Gedetailleerde tekningen en schema s Documenten van de risicobeoordeling Van toepassing zijnde normen en andere technische specificaties Technische rapporten met uitgevoerde inspecties en tests Bedieningsinstructies Kopie van het EG-certificaat van overeenstemming Inbouw-/samenbouwinstructies voor niet voltooide machines Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 151

152 Documenteer de maatregelen Veiligheidsplan: vastleggen van procedures en verantwoordelijke personen Validatie Procedures helpen bij de te nemen acties in een Safety Team. Zie onderstaand voorbeeld van een inhoudsopgave: Met de handtekeningkaart kan diegene die betrokken is bij het proces van CEmarkering, onderbouwen dat elk afzonderlijk deel volledig geïmplementeerd is. De kaart is een verplicht onderdeel voor elk van de projectverantwoordelijke van de afzonderlijke projectdelen. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 152

153 Validatie Voer de validatie uit Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen! Het doel van de valadatie is te kunnen garanderen dat de machine in geval van een fout een veilige toestand bereikt! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 153

154 Voer de validatie uit Verificatie en validatie Validatie Verificatie Controle en zekerstellen dat installatie, bedrading, parameter-toewijzing, programmering en veiligheidsfuncties in zijn totaliteit correct geïmplementeerd zijn volgens de vereisten Uittreksel van het validatieproces volgens EN ISO Validatie Overall vrijgeven van een machine, met in achtneming van alle verificatiepunten Doelstelling Verplicht bewijs dat eisen voor machineveiligheid in acht zijn genomen en zijn voldaan, tot en met de inbedrijfname (de veiligheidsspecificaties: Safety Requirement Specification / SRS). Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 154

155 Voer de validatie uit Noodzakelijke stappen Validatie Plannen Analyseren Testen Documenteren Maak een validatieplan waarmee de validatie uitgevoerd kan worden Theoretische check van alle veiligheidsfuncties Praktijktest van alle veiligheidsfuncties Maak de documentatie zoals gespecificeerd in de Machinerichtlijn Na een succesvol validatieproces is overeenstemming met betrekking tot de Machinerichtlijn bereikt. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 155

156 Validatie Logische volgorde voor de validatie Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Basis stappen Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Voorbereiden validatierapport Veiligheidsfuncties Omgevingscondities Bedieningsinstructies De uiteindelijke validatie wordt uitgevoerd tijdens de verificatiefase van het overall-proces! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 156

157 Validatie Het validatieplan Validatie De validatie begint met het voorbereiden van een validatieplan Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Voorbereiden validatierapport Veiligheidsfuncties Omgevingscondities Bedieningsinstructies Het validatieplan moet de eisen definiëren en beschrijven voor het implementeren van de validatieprocedure... voor de gedefiniëerde veiligheidsfuncties,... hun categorieën,... hun performance Level of... Safety Integrity Level. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 157

158 Validatie Het validatieplan Validatie Validatie begint met het voorbereiden van een validatieplan Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Voorbereiden validatierapport Veiligheidsfuncties Omgevingscondities Bedieningsinstructies Inhoud van het validatieplan: Eisen waarmee de SRECS* gevalideerd dienen te worden Beschrijving van of verwijzing naar componenten die al gecertificeerd zijn Alle documenten die gerelateerd zijn aan het validatieproces: Over het engineeringsproces Inplannen van de individuele validatiestappen Verantwoordelijke personen voor elk van de stappen van het validatieproces Verwijzing naar bedienings-modi en omgevingscondities waaronder de validatie plaats dient te vinden Ontwikkel-, verificatie- en validatie-omgeving Testplan Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 158 *Safety Related Electronic Control Systems

159 Validatie Het testplan Validatie Het testplan is onderdeel van het validatieplan. Het dient voor aanvang van het testen al voorbereid te zijn. Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Voorbereiden validatierapport Veiligheidsfuncties Omgevingscondities Bedieningsinstructies Inhoud van het testplan: Testspecificaties: Gedetailleerde beschrijving van de uit te voeren tests Setup Testomgeving Testprogramma en volgorde Hoe om te gaan met storingsmeldingen Verwachte testresultaten om een vergelijking te kunnen maken Volgorde van de individueel uit te voeren tests Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 159

160 Validatie Documenteer de resultaten van de verificatie en validatie! Validatie Gedurende het uitvoeren van de tests moeten de testresultaten worden vergeleken met het vooraf opgestelde testplan en worden gedocumenteerd. Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Omgevingscondities Voorbereiden validatierapport Veiligheidsfuncties Bedieningsinstructies Namen van de testers Testresultaten Omgevingscondities (mechanische stress, klimatologische omstandigheden, EMC,..etc...) Testvolgorde en gebruikte test-apparatuur Datum van de tests Testresultaten Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 160

161 Voer de validatie uit Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model) Validatie Start Risicobeoordeling vd machine vlgs EN ISO Machinevalidatie Einde Machine gevalideerd Veiligheidsspecificaties SRS* Test van specificaties SRS Ontwerp en engineering Besturingstechnische veiligheidsfuncties Architectuur HW** en SW*** HW-ontwerp SW-ontwerp SW-test Integratie test HW en SW HW-test Verificatie / Test Resultaat Evaluatie / Review Verificatiie en Validatie Realisatie * SRS = Safety Requirement Specification ** HW = Hardware Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid *** SW = Software 161

162 Voer de validatie uit Verificatie versus validatie Validatie Afgeleid van normen IEC en EN ISO Interpretatie van de terminologie Verifica atie Bewijzen door middel van analyses en/of tests voor elke levensfase van de machine, dat het resultaat voldoet aan de vereisten van elke fase. Controle en bevestiging dat de structuur/opbouw, bedrading, parametrering, programmering en alle veiligheidsfuncties correct en in overeenstemming met de specificaties Validatie Bewijzen door middel van analyses en/of tests dat het veiligheidssysteem zowel vóór- als na installatie voldoet aan alle vereisten van de veiligheidsspecificaties (Safety Requirement Specification, SRS). Volledige vrijgave van een machine, met in achtneming van alle gespecificeerde punten van de verificatie. Controle en bevestiging dat aan alle veiligheidssystemen van de veiligheidsspecificaties (SRS) zijn voldaan. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 162

163 Voer de validatie uit Tests en verificatie van veiligheidsfuncties documenteren Validatie Zorg ervoor dat de tests en verificatie van de veiligheidsfuncties goed gedocumenteerd wordt. Dit is een verplichting! Het is een vereiste van normen EN ISO en EN Het veiligheidsconcept moet geëvalueerd- en gedocumenteerd worden door middel van faalkansberekeningen Verificatie van veiligheidsfunctie met de Safety Evaluation Tool (SET) Gebruik van deze online tool is kosteloos: De Safety Evaluation Tool genereert een TÜV-geteste, norm-conforme rapportage! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 163

164 Validatie Voorbereiden validatierapport Validatie Een volledig, eenvoudig te begrijpen en gelegaliseerd validatierapport moet voorbereid worden voor elk van de verificatie- en validatiestappen. Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Software Voorbereiden validatierapport Veiligheids- functies Omgevings- condities Bedienings- instructies Gevaren analyse Gevaren evaluatie Specificatie van de veiligheidfuncties Hardware componenten, certificaten, etc. Schakelschema s / aansluitschema s Testresultaten Documenteren van de software Dit rapport indiceert dat de documenten die in de bijlage van de Machinerichtlijn bedongen zijn (Annex VII) ook daadwerkelijk aanwezig zijn. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 164

165 Validatie Voorbereiden validatierapport Validatie! BELANGRIJK: Wat niet vastgelegd en gedocumenteerd is, wordt geïntrepeteerd als niet uitgevoerd! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 165

166 Samenvatting: validatie van de overall-toepassing Validatie Typische validatie-activiteiten met betrekking tot de overall toepassing: Functionele tests van de veiligheidsfuncties Black-box test van de (applicatie) software Fout-simulatie uitvoeren (bewust veroorzaken van fouten en syteemreacties testen) Review van gebruikersinformatie, inclusief onderhoudsvereisten Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 166

167 Voer de validatie uit Belangrijk aandachtspunt Validatie De uiteindelijke validatie is geen vervanging van de noodzakelijk te volgen stappenplan van bewijs en documenteren, zoals b.v. dat van de ontwerpfase van de machine.! Begin in een zo vroeg mogelijke fase met de validatie zodat eventuele fouten al in een zo vroeg mogelijk stadium opgespoord en verholpen kunnen worden. Het heeft geen zin om het validatieproces pas op te starten als de machine al klaar is en niets meer gewijzigd/ aangepast kan worden. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 167

168 Validatie Naleving van de Machinerichtlijn en CE-markering Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 168

169 Validatie Naleving van de Machinerichtlijn en CE-markering Validatie EG Certificaat van Overeenstemming Om aan te kunnen tonen dat de machine in overeenstemming is met alle vereisten van de relevante richtlijnen, dient de fabrikant een conformiteitsprocedure uitvoeren. Deze bestaat uit één van de volgende maatregelen: Interne productie controle Type goedkeuring en productiecontrole Kwaliteitswaarborgingssysteem Met het Certificaat van Overeenstemming bevestigt de fabrikant dat hij de eisen van de Machinerichtlijn nakomt. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 169

170 Validatie Naleving van de Machinerichtlijn en CE-markering Bewijs CE markering De CE-markering dient te worden uitgevoerd in overeenstemming met de Machinerichtlijn: Alleen in voorgedefinieerde vorm Duidelijk zichtbaar en permanent aangebracht Naast het naam-/typeplaatje Met de CE-markering bevestigt de fabrikant dat hij aan alle relevante richtlijnen heeft voldaan. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 170

171 Validatie Samenvatting Validatie Documenteer de maatregelen Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen In het geval van een claim kan de fabrikant bewijzen dat hij de machine gebouwd heeft in overeenstemming met de Machinerichtlijn. Daarmee is hij ingedekt voor eventuele aansprakelijkheid en het verwijt van nalatigheid, welke zouden kunnen leiden tot hoge schadeclaims. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 171

172 Samenvatting Risicobeoordelingstraject Risico-analyse Risicoreductie Validatie De Machinerichtlijn heeft dezelfde eigenschappen als een wet! De Machinerichtlijn is bindend voor alle machinefabrikanten en is van toepassing op alle gebruikte veiligheidsoplossingen. Het gebruik van geharmoniseerde normen, reduceert het risico van aansprakelijkheid door het vermoeden van overeenstemming. Het gebruik van gecertificeerde producten voor toepassingen volgens EN en EN ISO vergemakkelijken de implementatie van veiligheidsfuncties. Zorg dat u aan de veilige kant zit: veilige machine, kostenbesparing, juridische zekerheid! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 172

174 De daadwerkelijke risicobeoordeling - uitvoering Ernst van de verwonding Hoe ernstig Zwaar licht Frequentie en duur van verblijf in de gevaarlijke zone Hoe vaak Vaak Zelden Mogelijkheid om schadelijk effect te beperken of uit te sluiten Hoe waarschijnlijk Bijna onmogelijk Mogelijk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 174

175 Indien de C-Norm geen voorgeschreven veiligheidsniveau aangeeft Voorheen Bepaling betrouwbaarheidscategorie volgens EN Methode volgens EN S1 B Methode voor de inschatting van de betrouwbaarheid van een specifiek veiligheidsbesturingscircuit. P1 S2 Ernst van de verwonding F1 F2 Frequentie en/of tijd in gevaarlijke zone P2 P1 P2 Mogelijkheid om gevaar te voorkomen Ernst van de verwonding S1: Licht, herstelbaar S2: Zwaar, onomkeerbare tot en met dodelijke afloop Frequentie en/of tijdsduur in gevaarlijke zone F1: Zelden tot vaak F2: Frequent tot continue Mogelijkheid om het gevaar te voorkomen P1: Mogelijk onder bepaalde omstandigheden P2: nauwelijks mogelijk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 175

176 Voorheen: Systeemgedrag volgens EN Categorie Samenvatting van de eisen Systeemgedrag Principe Veiligheidsgerelateerde onderdelen van de besturingen moeten zodanig zijn ont- Overwegend Een fout kan tot verlies van B worpen, gebouwd, samengesteld, volgens de veiligheidsfunctie leiden de relevante normen, zodat deze de te gekenmerkt verwachten invloeden kunnen weerstaan door de kwaliteit van de 1 componenten Eisen van categorie B; Er moeten beproefde componenten en Zoals beschreven in categorie B, maar met een hogere veiligheidsprincipes worden gebruikt en mate van betrouwbaarheid in acht worden genomen. van de veiligheidsfunctie Eisen van categorieën B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd Eisen van categorieën B en 1; Een afzonderlijke fout in de besturing kan niet leiden tot verlies van de veiligheidsfunctie Eisen van categorieën B en 1; Een afzonderlijke fout mag niet leiden tot verlies van de veiligheidsfunctie. De enkele fout moet gedetecteerd voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot verlies v.d. veiligheidsfunctie Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden, echter de fouten worden niet allemaal gedetecteerd Wanneer een samenloop van fouten optreedt, blijft de veiligheidsfunctie behouden en worden fouten tijdig herkend Overwegend gekenmerkt door de structuur van de besturing Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 176

177 Vandaag de dag: Methode volgens EN en EN ISO Er is een berekenbare methode geintroduceerd voor veiligheidgerelateerde aspecten: de Safety Performance - EN 62061: Safety Integrity Level (SIL) - EN ISO : Performance Level (PL) EN en EN ISO definiëren beiden veiligheid: - Een gevaarlijke situatie van een machine kan beschreven worden in gedefinieerde veiligheidsfuncties. - Voor de gedefinieerde veiligheidsfuncties kan de vereiste Safety Performance bepaald worden. - De hoogte van de Safety Performance is afhankelijk van de kwaliteit van de gebruikte componenten, de gebruikscyclus èn de mate van diagnosemogelijkheden binnen de veiligheidsfuncties. Met SIL en PL is veiligheid meetbaar geworden! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 177

178 Methode volgens EN en EN ISO de vereiste Safety Performance is afhankelijk van de risico s. Voorheen: Categorie (EN 954-1) Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur) Geen referentie voor de meetbaarheid van de risico s Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level) Onafhankelijke oplossing (kwantitatieve waardebepaling) Systeemgedrag/architectuur wordt gecombineerd met betrouwbaarheid (uitvalkans) van gebruikte componenten Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 178

179 Uitgangspunten voor SIL en PL met betrekking tot uitval/falen Hoe lang bent u verantwoordelijk als fabrikant? Hoe vaak mag een veiligheidsvoorziening weigeren per jaar? Risk Assessment Management Idem maar bij een zeer gering effect. Hoeveel uren zitten er in een jaar? Wat mag de kans op falen per uur zijn? Dit vraagt om gestructureerd management van de risico s en de functionele veiligheid: het risicobeoordelingtraject (Risk Assessment Management / Functional Safety management) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 179

180 Structuur van normen EN en EN ISO Berekening en bepaling van veiligheidsfuncties (over de hele veiligheidsketen: Detecting Evaluating Reacting) Eisen aan de uitvalwaarschijnlijkheid (PFH D / B10 D / MTTF / DC / SFF / CCF / λ / ) Naast bepaling van het vereiste veiligheidsniveau (beoordeling) ook bepaling van het behaalde veiligheidsniveau: de toetsing (verificatie) Eisen aan de handelwijze (projectmanagement, testconcept, technische documentatie,.) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 180

181 Normen EN en EN ISO gebruiken veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie Voert veiligheidsfunctie uit (b.v. hekbewaking) Moet voor elk afzonderlijk gevaar beschreven worden Is opgebouwd uit subsystemen Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden (wat is de uitvalkans) Proces/routine voor elke veiligheidsfunctie 1) Beschrijving/specificatie van de veiligheidsfunctie 2) Bepaling van het vereiste veiligheidsniveau (beoordeling) 3) Ontwerp/opbouw van de veiligheidsfunctie 4) Bepaling van het behaalde veiligheidsniveau (toetsing) 5) Realisatie en testen van de veiligheidsfunctie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 181

182 Opbouw van veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN ISO en EN gedefinieerd in veiligheidsfuncties (-systemen) Er zijn een aantal verschillende basisuitvoeringen veiligheidsfuncties realiseerbaar. In de basis zijn deze te herleiden tot: Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een veiligheidsfunctie is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 182

183 Veiligheidsfuncties/-systemen in de praktijk De subsystemen van de veiligheidsfunctie Detecting Input / detecting (sensor, eindschakelaar, lichtscherm,. ) Logic / evaluating (veiligheidsrelais, veiligheidsbesturing, ) Evaluating Output / reacting (contactor, frequentieregelaar, ) Veiligheidsfunctie (-systeem) Reacting Veiligheidsdeur Subsysteem 1: input / detecting (sensoren) Subsysteem 2: logic / evaluating (besturing) Subsysteem 3: output / reacting (schakelen) Motor of Voor elke veiligheidsfunctie moet een veiligheidsniveau bepaald worden (hoe groot is de uitvalkans) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 183

184 Voorbeeld: veiligheidsfunctie/-systeem Doel van het ontwerp Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde veiligheidsniveau vervullen (SIL, PLr). Voorbeeld Veiligheidsfunctie: Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden. Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e Veiligheidsfunctie (-systeem) Veiligheidsdeur input / detecting (sensoren) logic / evaluating (besturing) output / reacting (schakelen) Motor of Ontworpen voor SIL 3, resp. PL e Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 184

185 Voorbeeld: veiligheidsfunctie/-systeem Toetsing van het ontwerp Kan het vereiste veiligheidsniveau (SIL, PL) gerealiseerd worden? Handelwijze: 1: Berekening van de afzonderlijke subsystemen (Detecting, Evaluating, Reacting) Behaald veiligheidsniveau (SILCL, PL) Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie (-systeem) Subsysteem 2: evaluating of Subsysteem 3: reacting Motor Uitvalwaarschijnlijkheid (PFH D ) 2: Berekening van het veiligheidssysteem Behaald veiligheidsniveau (SILCL, PL): In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare maximaal veiligheidsniveau van het veiligheidssysteem. Uitvalwaarschijnlijkheid PFH D : som van alle PFH D -waarden van de subsystemen Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste (SIL, PL) van de veiligheids-functie? Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 185

186 Voorbeeld: veiligheidsfunctie/-systeem Berekening van een subsysteem Veiligheidsrelevante kengetallen voor een subsysteem: Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid PFH D Subsysteem 2 logic / evaluating (besturing) Kant en klaar subsysteem Gegevens en certificaten van leverancier of Ontworpen subsysteem Gegevens moeten berekend worden Norm EN ISO en EN beschrijven hoe (diagnosedekking, uitvalwaarschijnlijkheid van componenten). Subsysteem 1 input / detecting (sensoren) Subsysteem 3 output / reacting (schakelen) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 186

187 Scope van EN ISO Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN is opgedeeld in: - EN ISO deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO deel 2:2012, Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 187

188 Scope van EN Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Bepaling van het vereiste veiligheidsniveau (SIL - Safety Integrity Level) voor elke veiligheidfunctie Ontwerpstructuur van subsystemen (SRECS) Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 188

189 Parametervergelijk veiligheidsfuncties SIL versus PL EN SIL - Safety Integrity Level EN ISO PL - Performance Level Structuur HFT Cat. (architectuur) Betrouwbaarheid PFH D / λ MTTF D / PFY D / λ Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 189

190 Waarschijnlijkheid van gevaarlijke uitval per jaar (PFYD *) / per uur (PFHD**) EN ISO : PL EN : SIL PL Gemiddeld gevaarlijk falen per jaar (PFY D )* Gemiddeld gevaarlijk falen per uur (PFH D )** SIL a 0,1 PFYd < PFHd < b 0,03 PFYd < 0,1 3 x 10-6 PFHd < c 0,01 PFYd < 0, PFHd < 3 x 10-6 d 0,001 PFYd < 0, PFHd < e 0,0001 PFYd < 0, PFHd < * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar uur In Amendment EN ISO : PFHD waarde wordt nu ook binnen PL-norm geïntroduceerd! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 190

191 Riscograaf voor bepaling van het vereiste Performance Level (PL) Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie F1 P1 P2 S1 P1 F2 F1 P2 P1 S2 P2 F2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 191

192 Bepaling van het vereiste veiligheidsniveau: Safety Integrity Level (SIL) Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 > 1 jaar 2 Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 verwaarloosbaar 1 Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk = Waarschijnlijkheidsklasse Ernst van letsel (Severity) Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Se Ernst van letsel Se Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av 3 tot 4 5 tot 7 8 tot tot tot 15 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 SIL 1 SIL 2 SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 192

193 Electromechanische componenten: MTTF D op basis van B10 D B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 193

194 Electromechanische componenten: MTTF D op basis van B10 D B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 194

195 Invloed van diagnose-mogelijkheden: Diagnostic Coverage (DC) De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 % DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % DC - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 195

196 Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak Common Cause Failure (CCF) Bepaling van het effect van een CCF met Annex F van de norm: Aan de hand van tabellen in de norm geeft een lijst met maatregelen/voorwaarden bijbehorende puntenwaarden gebaseerd op technisch inzicht. Per maatregel wordt aangegeven wat de bijdrage ervan is in het verminderen van de voorkomende fout. CCF geeft de mate van bestendigheid tegen falen aan (resistentie). CCF is een rekenkundige proces dat voor de gehele veiligheidsfunctie moet worden doorlopen. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden (voor elk van de subsystemen Detecting Evaluating Reacting). CCF is van toepassing wanneer de veiligheidsfunctie uit meerdere kanalen is opgebouwd (dubbelpolig / redundant, common cause - er is een mogelijkheid dat één fout beide kanalen negatief beïnvloedt). CCF is van toepassing wanneer voor bepaalde opbouw (architectuur) van de veiligheidsfunctie een testfunctie en/of diagnosedekking vereist is (vanaf Cat.2, Designated Architecture : CCF en DC voor schakelkanaal / testkanaal). Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 196

197 Criteria voor de bepaling van CCF Criteria voor CCF-bepaling: Fysieke scheiding / isolatie van de signaallijnen (aparte kabels) Diversiteit / redundantie (verschillende technieken) Complexiteit / ontwerp / toepassing Beoordeling / analyse (resultaten uit de Cause & Effect analyse) Competentie / training Beheersing van de omgeving (omgevingsfactoren, EMC invloeden) De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 197

198 Praktijkvoorbeelden van veiligheidsfuncties - noodstopcircuit Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Noodstopcircuit Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal realiseerbaar veiligheidsniveau) (*Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) (**Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) Veiligheidsfunctie noodstop (dubbelpolig) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (2NC) of (2x) (vb: 2NC-noodstop - veiligheidsrelais - 2 magneetschak.) PL e / SIL 3 Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten Hoog (99 %)* 65 pt** (PL) 1%-10%** (SIL) Veiligheidsfunctie noodstop (enkelpolig) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (1NC) of (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (0)* n.v.t. (vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld) Subsysteem Subsysteem 1a: Subsysteem 2: Subsysteem 3: 1b: detecting 1a evaluating reacting detecting 1b PL e / Dubbelpolig Hoog 65 pt** (PL) SIL 3 (redundant) (99 %)* 1%-10%** (SIL) (2NC) (2NC) of - Cat.4 (PL) (2x) - 2 channels/kanalen Noodstop 1 Noodstop 2-2 componenten/contacten (vb: 2 noodstoppen in serie veiligheidsrelais - 2 magneetschak.) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 198

199 Praktijkvoorbeelden van veiligheidsfuncties - toegangscontrole Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal realiseerbaar veiligheidsniveau) (*Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) (**Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) Veiligheidsfunctie hekbewaking (enkelpolig) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (1x) (1NC) of (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (0)* n.v.t. (vb: 1NC-hekschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (1x) (2NC) of (2x) (vb: 1 hekschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL d / SIL 2 Dubbelpolig - max.cat.3 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Gemiddeld (90 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting PL e / Dubbelpolig Hoog 65 pt** (PL) SIL 3 (redundant+divers) (99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 schak.met 1-/2NC - veiligheidsrelais - 2 magneetschak.) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 199

200 Aandachtspunt: serieschakeling van hekken Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole met twee hekken (beide hekken worden niet frequent (< 1/uur) geopend/gebruikt) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal realiseerbaar veiligheidsniveau) (*Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) (**Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) Veiligheidsfunctie hekbewaking (hekken in serie geschakeld) Subsysteem 1a: detecting 1a Subsysteem 1b: detecting 1b Subsysteem 2: evaluating Subsysteem 3: reacting + + of (2x) (hek 1) (hek 2) (vb: 1-/2 schak.p/hek met 1-/2NC veiligheidsrelais - 2 magneetschak.) PL d / SIL 2 Dubbelpolig (redundant/divers) - Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 of 2 componenten/schak. Laag (60 %)* 65 pt** (PL) 1%-10%** (SIL) Serieschakeling van meerdere hekken op één veiligheidszone is niet aan te bevelen, Er kan een gevaarlijke situatie ontstaan: een persoon kan ingesloten raken in het gevaarlijke gebied! - als na openen van het 1 e hek een persoon ongemerkt door het 2 e hek naar binnen gaat en dit hek achter zich sluit, - kan de machine gestart worden zodra iemand het 1 e hek sluit en het veiligheidscircuit reset! Let op: bij andere opbouw en gebruiksfrequentie van veiligheidsfuncties met hekken gelden afwijkende voorwaarden! Voorbeelden: - 2 hekken in serie geschakeld, welke beiden frequent ( 1/uur) geopend/gebruikt worden: DC = geen (0) / Cat. 2 / max. PL c / SIL 1-5 hekken in serie geschakeld, waarvan er 1 frequent en 4 sporadisch geopend/gebruikt worden: DC = laag (60 - < 90 %) / Cat. 3 / max. PL d / SIL 2-5 of meer hekken in serie geschakeld, ongeacht gebruik: altijd DC = geen (0) / Cat. 2 / max. PL c / SIL 1 - per situatie zal de DC/CCF-waarde bepaald moeten worden voor een correcte invulling van het veiligheidsniveau van de toepassing Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 200

201 Aandachtspunt: veiligheidsfuncties met gewone eindschakelaars Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - eindschakelaars (met mechanisch gedwongen verbreekcontacten! ) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal realiseerbaar veiligheidsniveau) (*Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) (**Indicatieve waarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) Veiligheidsfunctie hekbewaking (enkelpolig) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (1x) (1NC) of (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (0)* n.v.t. (vb: 1NC-eindschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting (1x) (2NC) of (2x) (vb: 1 eindschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL c / SIL 1 Dubbelpolig - Cat.1 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Geen (0)* n.v.t. (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting PL e / Dubbelpolig Hoog 65 pt** (PL) SIL 3 (redundant+divers) (99 %)* 1%-10%** (SIL) (2x) of - Cat.4 (PL) + (2x) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 eindschak.met 1-/2NC - veiligheidsrelais - 2 magneetschak.) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 201

202 Aandachtspunt: terugkoppeling actuator (feedback-circuit) en maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden Het terugkoppelcircuit (feedback) van de magneetschakelaars heeft directe invloed op het max.realiseerbare PL/SIL-niveau Indien geen terugkoppeling: - Max. Cat.1 / PLc / SIL1 - DC-waarde / SFF = 0 (geen) - CCF-waarde: < 65 % (geen) Indien wel terugkoppeling: Voor Cat.2 / PL c / SIL 1: - Enkelpolige opbouw (1-channel) - Terugkoppeling: 1 x magneetschakelaar - Benodigde DC-waarde / SFF: 60 % (laag) - Te realiseren CCF-waarde: 65 % (PL) / 1%-10%(SIL) Voor Cat.3 / PL d / SIL 2: - Dubbelpolige opbouw (2-channels) - Terugkoppeling: 2 x magneetschakelaars - Benodigde DC-waarde / SFF: 90% DC< 99% (gemiddeld) - Te realiseren CCF-waarde: 65 % (PL) / 1%-10%(SIL) Voor Cat.4 / PL e / SIL 3: - Dubbelpolige opbouw (2-channels) - Terugkoppeling: 2 x magneetschakelaars - Benodigde DC-waarde / SFF: 99 % (hoog) - Te realiseren CCF-waarde: 65 % (PL) / 1%-10%(SIL) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 202

203 Aandachtspunt: actuator-aansluiting in relatie tot maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden Actuator-aansluiting PLc (ISO ) of SIL1 (EN 62061): Actuator-aansluiting PLe (ISO ) of SIL3 (EN 62061): Relaisuitgang Transistoruitgang Actuator-aansluiting PLe (ISO ) of SIL3 (EN 62061): (in praktijk realiseerbaar mits actuators in dezelfde schakelkast gemonteerd zijn! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 203

204 Aandachtspunt: aansluiting sensor-ingangen SIL2 / PLd versus SIL3 / Ple Voorbeeld hekbewaking SIL2 / PLd SIL2 / PLd 2NC: redundantie 1 x dubbelpolige veiligheids-hekschakelaar (2NC) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 204

205 Aandachtspunt: aansluiting sensor-ingangen SIL2 / PLd versus SIL3 / Ple Voorbeeld hekbewaking SIL3 / PLe SIL3 / PLe 2 x 1NC: redundantie 2 x schakelaars: diversiteit 2 x schakelaars (enkel- of dubbelpolig 1NC of 2NC) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 205

206 Maximaal realiseerbaar SIL- / PL-niveau voor veiligheidsfuncties met SIRIUS 3SE veiligheids-/eindschakelaars Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 206

207 Maximaal realiseerbaar SIL- / PL-niveau voor veiligheidsfuncties met SIRIUS 3SE veiligheids-/eindschakelaars Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 207

208 Vergelijking van de verschillende normen: uitgangspunt EN954-1 Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Omschrijving / architectuur Cat. B PL a < 10-4 Standaard besturingen Cat. 1 PL b SIL 1 3x10-6 < 10-5 Veiligheidscomponenten en -pricipes; testprocedures Cat. 2 PL c SIL < 3x10-6 Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, snelle foutherkenning, additionele zelftests in diverse cycli Cat. 4 PL e SIL < 10-7 Verschillende hardware en software Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 208

209 Vergelijking van de verschillende normen: uitgangspunt EN / EN ISO Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval Omschrijving / architectuur van de veiligheidsfunctie Cat. B PL a < Standaard (geen overeenstemming) besturingen Cat. 1 Cat. 2 PL b PL c SIL 1 SIL 1 3x10-6 < < 3x10-6 Veiligheidscomponenten en -pricipes; testprocedures Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, Niet meer dan snelle 1 gevaarlijke foutherkenning, uitval additionele v.d. veiligheidsfunctie zelftests in per diverse 100 cycli jaar Cat. 4 PL e SIL < 10-7 Verschillende Niet meer dan hardware 1 gevaarlijke en software uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 209

210 Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 PFH D = SIL-CL 3 SIL-CL 1 PFH D = PFH D = PFH DT = = PFH DT = = 1, ~ SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 210

211 Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = PFH D = PFH D = PFH DT = = PFH DT = = 1, ~ SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 211

213 Performance Level PL - EN ISO Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met architectuur-eigenschappen Oorspronkelijk risico Risicoreductie Acceptabel restrisico - Risicoreductie met technische maatregelen: elektronische en elektrische veiligheidsfuncties (-systemen) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 213

214 Parameters binnen EN ISO Overzicht EN ISO PL - Performance Level Structuur Cat. (architectuur) Betrouwbaarheid MTTF D / PFY D / λ Diagnose DC Resistentie CCF Proof-Test-Interval Processen T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 214

215 Scope van EN ISO Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN is opgedeeld in: - EN ISO deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO deel 2:2012, Validatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 215

216 Toepassingsgebieden EN ISO Veiligheidgerelateerde onderdelen van besturingssystemen (SRP/CS): Bedienings- en signaleringsapaaratuur (b.v. tweehanden-bedieningsunit, hekvergrendelingen) Elektrische beveiligingsapparatuur (b.v. lichtscherm), drukgevoelige schakelmatten Besturingscomponenten (b.v. verwerkingsunit voor het verwerken van veiligheidssignalen, dataverwerking, bewaking, etc.) Schakelapparatuur (b.v. relais, kleppen, etc.) Elektrische- en niet elektrische apparatuur (b.v. onderdelen van besturingssystemen opgebouwd met pneumatiek, hydrauliek) Veiligheidsfuncties in machines: - Van eenvoudig (b.v. koffie automaat of automatische deur) - Tot een productieproces (b.v. verpakkings-, drukpers-, spuitgietmachines) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 216

217 Opbouw van veiligheidsfuncties/-systemen binnen EN ISO Technische beveiligingsmaatregelen worden in normen EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Er zijn een aantal verschillende basisuitvoeringen veiligheidsfuncties realiseerbaar. In de basis zijn deze te herleiden tot: Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een veiligheidsfunctie is opgebouwd uit subsystemen (SRP/CS) Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 217

218 Parameters binnen EN ISO (1) Definities en gebruikte termen: Structuur PL: Performance Level - Prestatieniveau voor de veiligheid van veiligheidsfuncties (Safety Performance) - Mate voor risicoreductie (PL a = laagste,, PL e = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur (Categorie) en resistentie tegen toevallige- en systematische fouten Betrouwbaarheid PLr: Required Performance Level - Minimaal vereist veiligheidsniveau van een veiligheidsfuncties (met PL PLr) Betrouwbaarheid PFY : Probability of Failure per Year PFYD: Probability of dangerous Failure per Year - De waarschijnlijkheid van een gevaarlijk falen per jaar - Rekenwaarde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 218

219 Parameters binnen EN ISO (2) Definities en gebruikte termen: Betrouwbaarheid MTTF : Mean Time To Failure MFFTD : Mean Time To Dangerous Failure - MTTF : Tijd tot het optreden van een fout (eerste fout!) - MTTFD : Tijd tot het optreden van een gevaarlijke fout - MTBF : Mean Time Between Failure Tijd tussen het optreden van twee fouten - MTTR : Mean Time To Repair Tijd tot reparatie (onderhoud/service) - MTBF = MTTF + MTTR - MTBF>>MTTR, MTTR kan verwaarloosd worden, dus MFBF MTTF - MTBF waarden: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda -λ: Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Relatie met MTTF: MTTF = 1 / λ (en MTTFD = 1 / λd) - Rekenwaarde Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 219

220 Parameters binnen EN ISO (3) Definities en gebruikte termen: Diagnose DC: Diagnostic Coverage - Factor voor diagnosedekking in % - Is verhouding tussen aantal gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten - Bepaling DC: opgave van fabrikant Resistentie CCF (of ß-factor): Common Cause Failure - Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN ISO , Annex F - Bepaling CCF: door machinebouwer/gebruiker Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRP/CS (jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 220

221 Hoe werkt bij de EN ISO de bepaling van het Performance Level (PL) Processen Handelwijze EN ISO /-2: Stap 1: Bepaling van veiligheidsfuncties/-systemen Stap 2: Specificatie van het vereiste Performance Level PLr (PL-required) Stap 3: Ontwerp en technische realisatie van de veiligheidsfunctie Stap 4: Specificatie van het Performance Level en de architectuur/opbouwstructuur Stap 5: Validatie (EN ISO ) Toetsing / verificatie na elke stap! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 221

222 Bepaling van veiligheidsfuncties/-systemen Bepaling van veiligheidsfuncties/-systemen: Risicobeoordeling van de machine Zijn er vereiste veiligheidsfuncties die onder C-normen vallen Voorbeelden van veiligheidsfuncties (zie ook in norm EN ): - Stopfunctie - Start/herstartfunctie - Handmatige resetfunctie - Mutingfunctie - Noodstopfunctie (EN ISO 13850) -... Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 222

223 Bepaling van het Performance Level (PL) Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: Structuur Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 223

224 Riscograaf voor bepaling van het vereiste Performance Level (PL) Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. en < 5% v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein * In Amendment EN ISO : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid van optreden gevaarlijke situatie * Gebaseerd op betrouwbare data en ongevallenhistorie met vergelijkbare machines Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 224

225 Risicograaf Standaard sjablonen (EN ISO ) Veiligheidsfuncties vastleggen/documenteren Structuur De veiligheidsfuncties kunnen in detail worden beschreven De normen hebben hiervoor sjablonen beschikbaar, zoals zoals b.v. hieronder in hoofdstuk 4 (EN ISO ). Dit hoofdstuk omvat de specificatie van veiligheidvereisten voor de automatisering (SRS, Safety Requirement Specification for automation) Operation and commissioning: Safety functions according to Chapter Hazardous area Slijpschijf Mode acc. to Section 1.2 Auto-mode No Name of safety function Risk classification S Severity F Frequency P Avoidance PL a, b, c, d, e Description of safety function Measures/Screening criteria 1 Veiligheidsdeur, toegang tot werkgebied machine De aandrijving van de slijpschijf moet stilgezet worden zodra de deur geopend wordt. S2 F2 P1 d De deur wordt bewaakt en met een vergrendelbare hekschakelaar. Zodra de aandrijving stilstaat (aanvraag), zal de deur ontgrendeld- en geopend kunnen worden. Als de deur geopend is moet voorkomen worden dat de aandrijving gestart kan worden. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 225

226 Definitie van gemiddelde tijd tot gevaarlijk falen van een enkel kanaal (MTTF D ) MTTFD : Tijdsaanduiding voor het gebruiksduur zonder dat een gevaarlijke fout in één enkel kanaal van het besturingssysteem optreedt Betrouwbaarheid MTTF D van elk kanaal Benaming Bereik Laag Gemiddeld Hoog 3 jaar MTTF D < 10 jaar 10 jaar MTTF D < 30 jaar 30 jaar MTTF D < 100 jaar In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar - Wordt hoofdzakelijk bepaald door de kwaliteit van de componenten. - Is een statistische gemiddelde waarde en geen gegarandeerde levensduur. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 226

227 Betekenis van MTTF D Betrouwbaarheid Niet acceptabel Laag Gemiddeld Hoog Niet realistisch Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 227

228 Bepaling van MTTF D Hiërarchische procedure voor bepaling van MTTFD: Betrouwbaarheid 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik de methoden in Annex C en -D van de norm of 3 e : Kies 10 jaar Volgorde is dwingend voorgeschreven! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 228

229 Electromechanische componenten: MTTF D op basis van B10 D B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). Betrouwbaarheid - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 229

230 Electromechanische componenten: MTTF D op basis van B10 D B10-waarden van SIRIUS industrieel schakelmateriaal: Betrouwbaarheid 3 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 230

231 Architectuur gebaseerd op bestaande categorie B en 1 Betrouwbaarheid Systeem Veiligheidsdeur input / detecting (sensoren) logic / evaluating (besturing) output / reacting (schakelen) Motor 1/MTTF D Totaal = 1/MTTF D Detecting + 1/MTTF D Evaluating + 1/MTTF D Reacting (MTTF D in jaren) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 231

232 Voorgeschreven architectuur vanaf categorie 2 Designated Architecture Betrouwbaarheid Veiligheidsfunctie (-systeem) Veiligheidsdeur input / detecting (sensoren) logic / evaluating (besturing) output / reacting (schakelen) Motor of Voor het bewaken en testen van de veiligheidsfunctie zijn gekwalificeerde componenten en systemen vereist gebruik veiligheidscomponenten, failsafe besturing / veiligheidsrelais! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 232

233 Voorbeeld: MTTF D op basis van B10 D Op basis van 10 % uitval van een groep identieke componenten Betrouwbaarheid Bij contactoren en relais afhankelijk van het aantal keer schakelen en de daarbij optredende condities MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) - B10 D in aantal schakelingen - t cyclus in seconden - d : dagen per jaar - h : uren per dag - Als i.p.v. B10 D alleen B10 is gegeven neem 2 x B10 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 233

234 Berekening PFH D B10 in aantal schakelingen ( ) Betrouwbaarheid t cyclus in seconden (circa 5 seconden) d : dagen per jaar (365 dagen continu) h : uren per dag (24 uur) B10 D = 2 x B 10 = 2 x = MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) MTTF D = x 95 : (0,1 x 365 x 24 x 3600) MTTF D 30 jaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 234

235 Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFY D )* / per uur (PFH D )** MTTF D uitgedrukt in de kans op een gevaalijke uitval per jaar PFY D en per uur PFH D in relatie tot het Performance Level (PL) Betrouwbaarheid EN ISO : PL PL Gemiddeld gevaarlijk falen per jaar (PFY D )* Gemiddeld gevaarlijk falen per uur (PFH D )** a b c 0,1 PFYd < 1 0,03 PFYd < 0,1 0,01 PFYd < 0, PFHd < x 10-6 PFHd < PFHd < 3 x 10-6 In Amendment EN ISO : PFHD waarde wordt nu ook binnen PL-norm geïntroduceerd! d 0,001 PFYd < 0, PFHd < 10-6 e 0,0001 PFYd < 0, PFHd < 10-7 * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar uur Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 235

236 Performance Level in relatie met de kans op gevaarlijke uitval per uur (PFHD) PFHD = Probability of Dangerous Failure per Hour: Betrouwbaarheid EN ISO hanteert max. MTTFD = 100 jaar In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 236

237 Invloed van diagnose-mogelijkheden: Diagnostic Coverage (DC) De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnose Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 % DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % DC In Amendment EN ISO : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 237

238 Bepaling van Diagnosedekking (Diagnostic Coverage - DC) Hiërarchische procedure voor bepaling van DC: Diagnose 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik methode uit Annex E van de norm of 3 e : Kies DC = 0 Volgorde is dwingend voorgeschreven! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 238

239 Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Diagnose Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 239

240 Performance Level in relatie met DC, Categorie en MTTF D Kwaliteit MTTF D PL a Categorie (Architectuurkeuze) B Diagnose laag 3 tot 10 jaar gemiddeld 10 tot 30 jaar b c d P F H D e 10-8 hoog 30 tot 100 jaar geen geen laag gemid. laag DC inschatting gemid. hoog In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 240

241 Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak Common Cause Failure (CCF) - EN ISO Bepaling van het effect van een CCF met Annex F van de norm: Resistentie Aan de hand van tabellen in de norm geeft een lijst met maatregelen/voorwaarden bijbehorende puntenwaarden gebaseerd op technisch inzicht. Per maatregel wordt aangegeven wat de bijdrage ervan is in het verminderen van de voorkomende fout. CCF geeft de mate van bestendigheid tegen falen aan (resistentie). CCF is een rekenkundige proces dat voor de gehele veiligheidsfunctie moet worden doorlopen. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden (voor elk van de subsystemen Detecting Evaluating Reacting). CCF is van toepassing wanneer de veiligheidsfunctie uit meerdere kanalen is opgebouwd (dubbelpolig / redundant, common cause - er is een mogelijkheid dat één fout beide kanalen negatief beïnvloedt). CCF is van toepassing wanneer voor bepaalde opbouw (architectuur) van de veiligheidsfunctie een testfunctie en/of diagnosedekking vereist is (vanaf Cat.2, Designated Architecture : CCF en DC voor schakelkanaal / testkanaal). Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 241

242 Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak Common Cause Failure (CCF) - EN ISO Criteria voor CCF-bepaling: Resistentie Fysieke scheiding / isolatie van de signaallijnen (aparte kabels) Diversiteit / redundantie (verschillende technieken) Complexiteit / ontwerp / toepassing Beoordeling / analyse (resultaten uit de Cause & Effect analyse) Competentie / training Beheersing van de omgeving (omgevingsfactoren, EMC invloeden) Waarden bij elkaar optellen voor totaalscore De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Score 65 Score < 65 Voldoet aan de eisen Proces mislukt, kies additionele maatregelen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 242

243 Systeemgedrag volgens categorieën: in relatie met de Diagnosedekking (DC) en resistentie tegen Common Cause Failures (CCF) Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: Cat.1 / max.pl c (vb: 1 sensor + veiligheidsrelais + 1 magneetschakelaar ) DC: geen (0) CCF: n.v.t. (weinig tot geen diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: Cat.4 / PL e / SIL 3 (vb: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars ) DC: hoog* (99 %) CCF: 65 pt (PL)* / 1%-10% (SIL)* (optimale diagnose mogelijk door dubbelpolig circuit) 2-kanaals circuit: Cat.3 / max.pl d / SIL 2 (vb:1 schak.met separate actuator + veiligheidsrelais + 2 magneetschak.) DC: gemiddeld* (90 %) CCF: 65 pt (PL)* / 1%-10% (SIL)* (kans op mechanische fouten met bedieningssleutel van de hekschakelaar) 2-kanaals circuit: Cat.3 / max.pl d / SIL 2 (vb: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak.) DC: laag* (60 %) CCF: 65 pt (PL)* / 1%-10% (SIL)* (kans op diagnosefouten door openen 2 e hek) Safety Integrated Risicobeoordelingsttraject - Normen Functionele (* Indicatieve Veiligheidwaarden. Exacte waarde moet bepaald worden m.b.v. tabel in de norm) 243

244 Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing MTTFD van elk kanaal laag gemiddeld hoog Niet beschreven PL a PL a PL b PL b PL c Niet beschreven PL b PL b PL c PL c PL d Niet beschreven Niet beschreven Niet beschreven PL c PL c PL d PLd PL d PL e (Basis: Tabel 6, EN ISO ) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 244

245 Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing MTTFD van elk kanaal laag gemiddeld hoog Niet beschreven PL a PL a PL b PL b PL c Niet beschreven PL b PL b PL c PL c PL d Niet beschreven Niet beschreven Niet beschreven PL c PL c PL d PLd PL d PL e (Basis: Tabel 6, EN ISO ) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 245

246 Serieschakeling van afzonderlijk PL-gevalideerde subsystemen tot één overall-pl voor de gehele veiligheidsfunctie Serieschakeling van afzonderlijk PL-gevalideerde subsystemen in een veiligheidsfunctie is mogelijk, echter onder voorwaarden: PL kan zowel voor een gehele veiligheidsfunctie (SRP/CS) en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Als van afzonderlijke subsystemen van een veiligheidsfunctie zowel het PL-niveau en PFH D -waarden bekend zijn, is het maximaal haalbare veiligheidsniveau van de gehele veiligheidsfunctie, de som van de afzonderlijke PFH D -waarden, echter met als maximale PL-begrenzing, het subsysteem met het laagste PL-niveau (PLlow). Als van de afzonderlijke subsystemen (SRP/CS) alleen PL-niveau s bekend zijn (en geen PFH D -waarden), is het uiteindelijk maximaal haalbare PL-niveau van de gehele veiligheidsfunctie is echter afhankelijk van het subsysteem met het laagste PL-niveau (PLlow) binnen de veiligheidsfunctie èn het aantal subsystemen (n) met dit laagste PL-niveau. De EN definieert hiervoor voorwaarden in Tabel 11 van de norm Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 246

247 Serieschakeling van afzonderlijk PL-gevalideerde subsystemen: Tabel 11 van EN Tabel 11: PL-berekening voor serieschakeling van SRP/CS PLlow Nlow PL overall a > 3 3 Geen, niet toegestaan a b > 2 2 a b c > 2 2 b c d e > 3 3 > 3 3 c d d e Voorbeeld: PLlow = d Nlow = 2 PL overall = d Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 247

248 Serieschakeling van afzonderlijk PL-gevalideerde subsystemen: Voorbeelden Voorbeeld 1 (met bekende PFH D -waarden): PFHD-Totaal = PFHD-Detecting + PFHD-Evaluating + PFHD-Reacting Hier: PFHD-Tot. = 0,5.10 E E E -8 = 8,5.10 E -8 Rekenkundig zou dit overeen komen met veiligheidsniveau PL=e, echter begrenzing van max. realiseerbaar veiligheidsniveau tot het laagste PL-niveau in de veiligheidsfunctie: hier PLlow=d, dus overall-pl veiligheidsniveau is hier PL=d Veiligheidsfunctie 1 Detecting Laserscanner Evaluating F-PLC Reacting F-drive PL=d PFHD= 5.10 E -7 PL=e PFHD= 3.10 E -8 PL=d PFHD= 5.10 E -8 Voorbeeld 2 (alleen PL-niveau s bekend, m.b.v. Tabel 11): Veiligheidsfunctie 2 Laagste PL-niveau in de veiligheidsfunctie = PLlow : hier PLlow=d Aantal subsystemen binnen de veiligheidsfunctie met het laagste PL-niveau (PLlow ): hier N=2 (detecting- + reacting-deel) Detecting Laserscanner Evaluating F-PLC Reacting F-drive Bepaling van het overall-pl veiligheidsniveau van de veiligheidsfunctie conform tabel 11 uit de norm: hier PL=d (bepaling m.b.v. Tabel 11 op vorige pagina) PL=d PL=e PL=d Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 248

249 Validatie van SRP/CS binnen EN ISO De validatie van SRP/CS moet uitgevoerd worden volgens het validatieplan: Prestatie-eisen Gebruiks- en gebruiksomgeving voorwaarden Veiligheidsprincipes Beproefde componenten Foutinschatting en foutuitsluiting Analyses, tests, toetsing/verificatie Documenteren (vastleggen / bewijs ) Processen De validatie moet onder vastgestelde omgevingscondities worden uitgevoerd. De validatie moet worden uitgevoerd met behulp van tests en analyses. Hoeveel hiervan uitgevoerd moeten worden is afhankelijk van: De veiligheidsgerelateerde onderdelen Systeemtype Gebruikte technologie Omgevingscondities (EMC / trillingen / klimaat / ) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 249

250 Performance Level Calculator IFA: PL aflezen 2 e stap Legende MTTFd instellen 1 e stap Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 250

252 Safety Integrity Level (SIL) - EN Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met hardware-fouttolerantie eigenschappen (in mindere mate: architectuur) Oorspronkelijk risico Risicoreductie Acceptabel restrisico - Risicoreductie met technische maatregelen: elektronische en elektrische veiligheidsfuncties (-systemen) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 252

253 Parameters EN Overzicht EN SIL - Safety Integrity Level Structuur HFT Betrouwbaarheid PFH D / λ Diagnose SFF (DC) Resistentie CCF (ß-factor) Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 253

254 IEC de veiligheidsparaplu voor software en elektronica Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 254

255 Risicobeoordeling volgens IEC Eisen aan veiligheidsbesturingen: Oorspronkelijk risico Risicoreductie Acceptabel restrisico Risicoreductie met technische maatregelen: elektronische en elektrische veiligheidsfuncties (-systemen) Failsafe (F-) Systeem: Eigenschap : een systeem dat gebruik maakt van een dusdanige opbouw en technische maatregelen, zodat het ontstaan van gevaarlijke situaties uitgesloten is of teruggebracht worden tot een aanvaardbaar risico Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 255

256 Overzicht van normen voor functionele veiligheid Focus Producent/ Fabrikant IEC (700 pagina s) IEC Procesindustrie IEC (100 pagina s) ISO Focus Systeem integrator/ Machinebouwer IEC Nucleaire industrie IEC Medische sector etc.... Toepasbaar voor veiligheidsgerelateerde elektrische- en elektronische besturingssystemen (SRECS) EN 954 (tot ) Toepasbaar voor elektrische- / elektronische- én andere veiligheidsgerelateerde besturingssystemen (pneumatiek, hydrauliek, mechanisch, etc.) (SRP/CS) Proces- Industrie Productie-industrie (machinebouw) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 256

257 Verschillen en overeenkomsten tussen IEC en EN IEC (Basisnormen) Voor fabrikanten van besturingen en eventueel gebruikers ervan Beschrijft gedetailleerde eisen voor het systeem, subsysteem en componenten Beschrijft algemene eisen zonder specifieke toepassingseisen EN (Applicatienorm) Beschrijft hoe een systeem opgebouwd kan worden met bestaande subsystemen en hoe zijn veiligheidseisen (SIL) bepaald kunnen worden Beschrijft de eisen voor het ontwerp van de subsystemen alleen voor niet complexe subsystemen (niet voor programmeerbare elektronica) Voor complexe systemen/subsystemen (b.v. veiligheids-plc) wordt aangenomen dat deze voldoen aan de eisen van IEC Een systeem dat ontworpen is volgens EN voldoet ook aan de relevante eisen volgens IEC Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 257

258 Basis van EN Functionele veiligheid - in techniek en processen! Structuur Functionele veiligheid (Functional Safety) Beheersing van gevaarlijke fouten tijdens inbedrijf zijn van een systeem robuust ontwerp Voorkomen van systematische fouten in ontwerp, fabricage en inbedrijf zijn van een systeem robuust proces Veiligheidsvereisten gedurende gehele levenscyclus (Safety Lifecycle Requirements) Vereisten ten aanzien van technische Vereisten ten aanzien van planningsprocessen prestaties van veiligheidgerelateerde functies: en Systeemopbouw (architectuur) Functional Safety Management (FSM) Uitvalwaarschijnlijkheid Van risicobeoordeling t/m uitbedrijfname van een veiligheidgerelateerd systeem Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 258

259 Structuur van EN Opbouwstructuur van de norm: Structuur 1. Scope van de norm 2. Normatieve verwijzingen 3. Termen en definities 4. Ontwerpproces van een Safety-related Control System (SCS) en Functional Safety Management (FSM) 5. Specificatie van een veiligheidsfunctie 6. Ontwerp van een SCS die een veiligheidsfunctie kan uitvoeren 7. Ontwerp en ontwikkeling van subsystemen van een SCS voor een veiligheidsfunctie 8. Software 9. Validatie 10. Documentatie Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 259

260 Scope van EN Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Bepaling van het vereiste veiligheidsniveau (SIL - Safety Integrity Level) voor elke veiligheidfunctie (SCS) Ontwerpstructuur van subsystemen (SRECS) Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 260

261 Definities EN (1) Functional Safety Management (FSM) Managementactiviteiten en technische verantwoording ten aanzien van de functionele veiligheid: verantwoordelijkheden Opstellen van het veiligheidsplan Structuur Specificeren van de eisen aan veiligheidsfuncties (SCS - Safety-related Control System) Methode en uitgangspunten voor het opstellen van de veiligheidsvereisten (SRS - Safety Requirements Specifications) Ontwerp en integratie van de veiligheidgerelateerde elektrische besturings-systemen (SRECS) Systeemarchitectuur/-opbouw Hardware en Software Toetsing/verificatie Validatie van de SRECS Proceseisen voor de validatie Inspectie en testen van SRECS inbedrijf Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 261

262 Definities EN (2) Aanpassingen/wijzigingen aan de SRECS Proceseisen voor aanpassingen Analyseren van de impact van de wijziging Structuur Gebruikersinformatie van de machine Bedieningshandleiding en service/onderhoudinstructies Documentatie Algemene richtlijnen en eisen Risk Assessment Management Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 262

263 Opbouw van veiligheidsfuncties/-systemen binnen EN Een veiligheidsfunctie (SCS) wordt uitgevoerd als een veiligheidssysteem Structuur Een veiligheidsfunctie is opgebouwd uit subsystemen (SRECS) Een subsysteem bestaat uit subsysteem-elementen Data-overdracht tussen de subsystemen wordt meegenomen in berekening (kabel(s), bussysteem) Data-overdracht Veiligheidsfunctie (SCS) (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 263

264 Parameters binnen EN (1) Definities en gebruikte termen: Structuur SIL: Safety Integrity Level - Mate voor risicoreductie (SIL 1 = laagste,, SIL 3 = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevallige- en systematische fouten Structuur SIL CL: Safety Integrity Level Claim Limit - Maximaal haalbare SIL voor een subsysteem(element) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevallige- en systematische fouten - De laagste SIL CL bepaald het maximaal haalbare SIL - Bepaling SIL CL: opgave van fabrikant of door berekening Structuur HFT: Hardware Fault Tolerance - Hardware fouttolerantie De mogelijkheid van een hardware-unit om de vereiste veiligheidsfunctie uit te kunnen ` blijven voeren bij optreden van een fout - Opbouwstructuur (1-/2-kanaals, redundantie) - Toepasbaar op eenvoudige componenten/apparatuur en voor complexe (programmeerbare) apparatuur (redundante CPU) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 264

265 Parameters binnen EN (2) Definities en gebruikte termen: Betrouwbaarheid PFH : Probability of Failure per Hour PFHD: Probability of dangerous Failure per Hour - De waarschijnlijkheid van een gevaarlijk falen per uur - Bepaling PFHD: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda -λ: Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Rekenwaarde Diagnose SFF: Safe Failure Fraction - Percentage van falen wat leidt tot niet-gevaarlijk falen (%) - Is verhouding tussen veilig falen en niet-veilig falen - Komt overeen met DC (Diagnostic Coverage) waarde uit EN ISO Bepaling SFF (DC): opgave van fabrikant Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 265

266 Parameters binnen EN (3) Definities en gebruikte termen: Resistentie CCF (of ß-factor): Common Cause Failure - Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN 62061, tabel F1/F2 - Waarden ß-factor: 1%, 2%, 5% of 10% (0,01 / 0,02 / 0,05 of 0,1) - Bepaling CCF: door machinebouwer/gebruiker Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRECS (in jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 266

267 Ontwerpproces voor SRECS binnen EN Processen Ontwerpproces SRECS: 1: Vaststellen van SRECS voor elke veiligheidsfunctie (SRCF) 2: Opdelen van SRCF in functies: functieblokken (FB) 3: Gedetailleerde veiligheidseisen voor elk functieblok (FB) 4: FB s omzetten in subsystemen en kans op gevaarlijke uitval (PFHD) 5: Toetsing / verificatie (formules) 6: Component-selectie voor het subsysteem of ontwikkeling van een subsysteem 7: Opbouw van diagnosefuncties 8: SIL bepaling 9: Documenteren van SRECS architectuur/opbouw 10: Implementatie van SRECS Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 267

268 Ontwerpproces voor SRECS binnen EN Processen Ontwerpproces SRECS schematische voorstelling Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 268

269 Factoren voor het vaststellen van het Safety Integrity Level (SIL) Het vereiste veiligheidsniveau (risico) wordt bepaald door: Structuur Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 269

270 Bepaling van het vereiste veiligheidsniveau: Safety Integrity Level (SIL) Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Structuur Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 270

271 Bepaling van het vereiste veiligheidsniveau: Safety Integrity Level (SIL) Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Structuur Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 > 1 jaar 2 Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 verwaarloosbaar 1 Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk = Waarschijnlijkheidsklasse Ernst van letsel (Severity) Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Se Ernst van letsel Se Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av 3 tot 4 5 tot 7 8 tot tot tot 15 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 SIL 1 SIL 2 SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 271

272 Risicoreductie Standaard sjablonen (EN 62061) Veiligheidsfuncties vastleggen/documenteren: Annex A van norm EN Sjabloon voor SIL-bepaling Structuur Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 272

273 EN Hardware fouttolerantie architectuur: Safe Failure Fraction (SFF) Diagnose Verhouding tussen veilig en niet-veilig falen SFF * ( DC) 0 Hardware fouttolerantie 1 2 (1 uit 1) (2 uit 1) (3 uit 1) < 60 % (SIL 1) ** SIL 1 SIL 2 60 % SFF< 90% SIL 1 SIL 2 SIL 3 90 % SFF< 99% SIL 2 SIL 3 SIL 3*** (4) 99 % SIL 3 SIL 3*** (4) SIL 3*** (4) * SFF Safe Failure Fraction ** Slechts toegestaan onder bijzondere voorwaarden (o.a.: beproefde componenten zoals b.v. noodstop, Type-A apparatuur, mechanische componenten) *** SIL 4 is niet toegepast in de EN Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 273

274 Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak (CCF) Common Cause Failure (CCF) - EN Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: Resistentie Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van de voorkomende fout. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar een CCF-percentage. CCF / ß-factor geeft de mate van bestendigheid tegen falen aan (resistentie). CCF / ß-factor is een rekenkundige proces dat voor de gehele veiligheidsfunctie moet worden doorlopen. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden (voor elk van de subsystemen Detecting Evaluating Reacting). CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie uit meerdere kanalen is opgebouwd (dubbelpolig / redundant, common cause - er is een mogelijkheid dat één fout beide kanalen negatief beïnvloedt). CCF / ß-factor is van toepassing wanneer voor bepaalde opbouw (architectuur) van de veiligheidsfunctie een testfunctie en/of diagnosedekking vereist is (vanaf Cat.2, Designated Architecture : CCF en DC voor schakelkanaal / testkanaal). Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 274

275 Resistentie tegen fouten ontstaan door gemeenschappelijke oorzaak (CCF) Common Cause Failure (CCF) - EN Criteria voor CCF-bepaling: Resistentie Fysieke scheiding / isolatie van de signaallijnen (aparte kabels) Diversiteit / redundantie (verschillende technieken) Complexiteit / ontwerp / toepassing Beoordeling / analyse (resultaten uit de Cause & Effect analyse) Competentie / training Beheersing van de omgeving (omgevingsfactoren, EMC invloeden) Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore Tabel F2 - ß-factor: Totaalscore omrekenen naar percentage De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 275

276 Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D EN biedt de mogelijkheid om de kans op gevaarlijke uitval van een subsysteem(element) te berekenen op basis van B10D-waarden: Betrouwbaarheid - Dit wordt gebruikt voor (elektromechanische) componenten waarvan alleen een B10D-waarde bekend is. - Met behulp van de gebruikscyclus (aantal schakelingen) en het percentage gevaarlijke uitval is vervolgens λd te bepalen (kans op gevaarlijk falen per uur, PFHD). 3 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 276

277 Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D Voorbeeld: Betrouwbaarheid - Veiligheidsfunctie hekbewaking met een hekschakelaar met aparte bedieningssleutel Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie (-systeem) Subsysteem 2: evaluating Subsysteem 3: reacting Motor - Beschouw nu alleen: subsysteem 1 Detecting : - Uit tabel SIRIUS B10-waarden: B10 = 1.10 E+ 6 schakelcycli, % gevaarlijke uitval = 20% Aantal schakelingen C = 10 per uur Omrekenformules: λ = 0,1 x C / B10 λd = gevaarlijke uitval % x λ (= PFHD) λ = 0,1 x C / B10 = 0,1 x 10 / 1.10 E+ 6 = 1.10 E- 6 λd = 20% x λ = 0,2 x 1.10 E- 6 = 2.10 E- 7 = PFHD Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 277

278 Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Veiligheidsfunctie Betrouwbaarheid (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 PFH D = SIL-CL 3 SIL-CL 1 PFH D = PFH D = PFH DT = = PFH DT = = 1, ~ SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 278

279 Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Veiligheidsfunctie Betrouwbaarheid (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = PFH D = PFH D = PFH DT = = PFH DT = = 1, ~ SIL 1 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 279

280 Relatie tussen SIL-waarden en de kans op gevaarlijke uitval Betrouwbaarheid Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval van de veiligheidsfunctie PL a < (geen overeenstemming) PL b PL c SIL 1 SIL 1 3x10-6 < < 3x10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar PL d SIL < 10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 100 jaar PL e SIL < 10-7 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 280

281 Validatie (1) De validatie moet uitgevoerd worden volgens het validatieplan: Processen Zowel voor hardware en software Functionele testen EMC test Fouttest met echte gesimuleerde fouten Test softwarebouwstenen (Siemens) Test eigen software Onafhankelijkheid Verantwoordelijkheden Wijzigingen / aanpasingen Documenteren (vastleggen / bewijs ) Doel is te toetsen of voldaan is aan alle vereiste veiligheidsaspecten die opgenomen zijn in de Safety Requirement Specifications (SRS) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 281

282 Validatie (2) De validatie moet uitvoerig worden gedocumenteerd: (in het TCD - Technisch Constructie Dossier) Processen Aanpassing/updaten van het gemaakte validatieplan Updaten van gewijzigde hardware en software Geteste veiligheidsfuncties Gebruikte testapparatuur inclusief calibratiegegevens Testresultaten Verschillen in waarden tussen verwachte- en daadwerkelijke resultaten Door wie is de validatie uitgevoerd en wanneer? Het up-to-date houden van het Technisch Constructie Dossier is een must! Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 282

284 Welke methode kiezen: SIL of PL? Beide normen beschrijven eisen aan de veiligheidsniveaus van veiligheidsfuncties / veiligheidssystemen EN (SIL) en EN ISO (PL) beschrijven de vereisten voor de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen: PL a SIL 1 SIL 2 SIL 3 PL b PL c PL d PL e Toenemende eisen aan de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen Alle fasen van de machine life-cycle moeten hierbij in acht genomen worden: Vanaf het ontwerp en engineering Tot en met buitenbedrijfstellen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 284

285 Welke methode kiezen: SIL of PL? De eisen omvatten: Techniek (sterk afhankelijk van vereist veiligheidsniveau) Handelwijze Eisen ten aanzien van techniek: Structuur van de hardware Mogelijkheid van foutherkenning Betrouwbaarheid van de onderdelen (laag hoog veiligheidsniveau) (éénkanalig tweekanalig) (geen omvangrijke diagnose) (toenemend) Structuur Betrouwbaarheid Eisen ten aanzien van de handelwijze: Projectmanagement Testconcept Technische documentatie,. Diagnose Resistentie Proof-Test-Interval Processen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 285

286 Toepassingsgebieden EN EN ISO : Performance Level (PL) Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen. Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische systemen zonder beperkingen worden toegepast. Gebruik van programmeerbare veilige elektronica kan, echter met beperkingen: Voor bepaalde opbouwstructuren (architectuur) Tot en met PL d resp. SIL 2. Programmeerbare veiligheidsbesturingen (F-PLC, etc.) moeten voor PL e voldoen aan IEC Berekeningsconcept van EN ISO is gebaseerd op (beperkt aantal) vast gedefinieerde opbouwstructuren (architecturen). Minder uitgebreide berekeningen dan EN maar daardoor wel eenvoudiger. PL kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Het uiteindelijk haalbare PL-niveau van de gehele veiligheidsfunctie is echter wel afhankelijk van het laagste PL-niveau èn het aantal subsystemen binnen de veiligheidsfunctie. Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen.. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 286

287 Toepassingsgebieden EN EN 62061: Safety Integrity Level (SIL) Toepasbaar voor alle elektrische-, elektronische bestuingssystemen met elk mogelijke opbouwstructuur (architectuur is minder gedefinieerd): van SIL 1 tot n met SIL 3. Programmeerbare veiligheidsbesturingen (F-PLC) moeten voldoen aan IEC Is nauwkeuriger dan EN ISO maar vraagt meer rekenwerk. Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines. Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd. Alle fasen van de life-cycle van de machine worden beschreven: ontwerp inbedrijfstelling gebruik upgrades - uitbedrijfname. SIL kan alleen voor een gehele veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor afzonderlijke onderdelen geldt SIL CL. Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de berekeningen van EN worden meegenomen.. Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 287

288 Verschillen in toepassingsgebieden EN en EN ISO Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 288

289 Mate van gevaarlijke uitval is leidraad bij beide normen Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL PerformanceLevel EN ISO (PL) Waarschijnlijkheid gevaarlijke uitval per uur (PFHD) Safety Integrity Level EN (SIL) PL a 10-5 < PL b 3x10-6 < 10-5 SIL 1 PL c 10-6 < 3x10-6 SIL 1 PL d 10-7 < 10-6 SIL 2 PL e 10-8 < 10-7 SIL 3 Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 289

290 Valkuilen Minder voorspelbaar en daarmee functioneel gedrag Bij een ontwerp kan men zich rijk rekenen op basis van faalkansen Nog prille ervaring in faalkans-cijfers en faalkans-berekeningen met betrekking tot machinebesturingen (verificatie-tools zijn niet heilig) Engineeringfouten Vergt vooral in het begin de nodige studie en extra werk Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 290

291 Belangrijkste termen en definities op een rij PFH D PL Probability of dangerous Failure per Hour: De waarschijnlijkheid van een gevaarlijk falen per uur Performance Level: Prestatieniveau / veiligheidsniveau PL r Required Performance Level: Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL PL r ) SIL SIL CL Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau Safety Integrity Level Claim: Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten MTTF D Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout λ D Lambda: Kans van gevaarlijke uitval van een subsysteem(element), (λ D = 1/ MTTF D ) CCF Common Cause Failure: (ook wel ß-factor genoemd), resistentie tegen (veel)voorkomende fouten DC Diagnostic Coverage: ( SFF), diagnosegraad of dekkinggraad tegen fouten/falen SFF Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen DC), het percentage van falen wat leidt tot niet-gevaarlijk falen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 291

293 Safety Integrated: stand-alone of geïntegreerde oplossing Stan nd-alone veiligheid Compacte machine: Flexibele stand-alone machine: Geïntegreerde veiligheid Machine met centrale besturing: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid Modulaire machine of complete productie-installatie 293

294 Safety Integrated - Stand-alone oplossingen Stand-alone veiligheid - separaat van de machinebesturing Compacte machine: Flexibele stand-alone machine: Veiligheidsrelais (SIRIUS 3SK1) Parametreerbare veiligheidsrelais (SIRIUS 3SK2 / 3RK3) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 294

295 Safety Integrated - Geïntegreerde oplossingen Veiligheid geïntegreerd - direct in de machinebesturing Machine met centrale besturing: Modulaire machine of complete productie-installatie Basic-controller (SIMATIC S7-1200F) Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 295

296 Oplossingen voor de gehele veiligheidsketen: Safety Integrated Vanaf de sensoren, besturingen tot en met een veilige (af)schakeling Detecting SIRIUS eindschakelaars SIRIUS signaalzuilen SIRIUS noodstopknoppen SIRIUS hekbewaking ASIsafe failsafe I/O-modules SIMATIC Mobile Panel Evaluating SIRIUS veiligheidsrelais SIRIUS Parametreerbaar veiligh.relais SIRIUS Toerental-/stilstandbewaking SIMATIC failsafe controllers SIMATIC failsafe Remote I/O ASIsafe / PROFIsafe Reacting SIRIUS magneetschakelars SIRIUS compact-motorstarter SIRIUS 3RM1-motorstarters SIMATIC ET200 motorstarters SINAMICS drives V90 / -G / -S SINUMERIK CNC-besturingen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 296

297 Safety workshops en cursussen Safety Workshops en -cursussen - Normen - Safety Evaluation Tool - Praktijkcursus Functionele Veiligheid voor ontwerpers Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 297

298 Machineveiligheid-workshops: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 298

299 Trainingsaanbod Machineveiligheid: Trainingsmogelijkheden voor machineveiligheid: Cursus Functionele veiligheid voor ontwerpers in de praktijk - Ontwerpen van besturingstechnische veiligheidsfuncties volgens EN en EN ISO Vanaf het opstellen van de Safety Requirements Specifications tot en met de verificatie en validatie van veiligheidsfuncties - Oefening en uitwerking aan de hand van praktijkcases - Templates en checklist die direct in de dagelijkse praktijk kunnen worden toegepast Risicobeoordelingstraject-Management - Het risicobeoordelingstraject (Risk Assessment Management): normconforme methodiek voor het uitvoeren van de risicobeoordeling volgens EN ISO 12100:2010 Normen cursussen - De Machinerichtlijn (EN2006/42/EC) en CE-markering: actuele Europese richtlijnen voor machineveiligheid en CE-markeringstraject. - Functionele veiligheid: Europese normen voor functionele veiligheid van machines en productie-installaties volgens EN en EN ISO Product-/systeemtrainingen - PROFIsafe / F-PLC / FH-PLC - Modulair Safety Systeem / ASIsafe / Drives Technische Workshops Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 299

300 Safety App - The way to a safe machine Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 300

301 Safety Evaluation Tool: Toetsing / verificatie van gerealiseerde veiligheidsfuncties Risico-analyse Risicoreductie Validatie Veiligheidsfunctie (-systeem) Veiligheidsdeur Subsysteem 1: detecting Subsysteem 2: evaluating Subsysteem 3: reacting Motor TÜV getest Online verificatie van veiligheidsfuncties volgens EN-ISO (PL) en EN (SIL) Gebruik ervan is kosteloos Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 301

302 Safety specialisten Projectbegeleiding door Safety Specialisten - Applicatiekennis - Normenkennis - TÜV-gecertificeerde specialisten Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 302

303 Functionele aansluitvoorbeelden Functional Examples - Aansluitvoorbeelden - CAx engineering productdata - Voorbeeld softwareprogramma s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 303

304 Ondersteuning en ontwerpgemak: Functional Examples : Compleet uitgewerkte applicatievoorbeelden met veiligheidsfuncties - inclusief softwareprogramma s Functiebeschrijving van de veiligheidsfunctie Hardware opbouw Uitgewerkte softwareprogramma van de beschreven veiligheidsfunctie (indien van toepassing; beschrijvend, te downloadenen op DVD) SIL en PL-berekeningen Aansluitschema s Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 304

305 Functionele aansluitvoorbeelden: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 305

306 Functionele aansluitvoorbeelden: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 306

307 Functionele aansluitvoorbeelden: Compleet uitgewerkte toepassingsvoorbeelden Beschrijving van de veiligheidsfunctie Benodigde hardwareopbouw + softwareproject zijn te downloaden CAx productdata van de componenten Inclusief veiligheidsberekeningen Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 307

308 Relevante documentatie en informatie Praktische uitvoering nieuwe machinerichtlijn - Nederlandstalige normen overzichtsbrochure EN en EN ISO / EN Overzichtsposter normen (A0-formaat) - Relatie SIL versus PL Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 308

309 Normen informatie op site Machineveiligheid: Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 309

310 Technische support en service Technical Support - On-Site ondersteuning - Online Support - Service Safety Integrated Risicobeoordelingsttraject - Normen Functionele Veiligheid 310

Nog meer weergeven