Safety Integrated: Normen machineveiligheid

Transcriptie

1 EN ISO EN Safety Integrated: Normen machineveiligheid Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO (PL) en EN (SIL) Safety Integrated Normen Functionele Veiligheid 1

2 Het nut van veiligheidstechnologie Veiligheid vraagt om bescherming tegen gevaar voor Mens Milieu Machine Proces Wettelijk verplichte bescherming Economisch verantwoorde veiligheid Gevaarlijke situaties die ontstaan door functiefouten moeten worden voorkomen vóór dat ze optreden! Safety Integrated Normen Functionele Veiligheid 2

3 Functionele veiligheid heeft betrekking op dat deel van de machine of productie-installatie waarbij de veiligheid afhangt van het correct functioneren van besturingen en afschermingen Dit voorkomt: Mens Machine Letsel (of dood) van mensen Vernietiging of beschadiging van - productie-faciliteiten (machines) en - productie-kwaliteit (productieverlies en uitval) Functionele veiligheid moet een integraal onderdeel zijn van elke machine! Safety Integrated Normen Functionele Veiligheid 3

4 Toenemend belang veiligheidstechniek In veel productie-installaties schuilen gevaren voor mens en machine. Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken: 1 e Wettelijke richtlijnen voor machinebouwers en installatiebeheerders (Machinerichtlijn, CE-markering) 2 e Economische gegronde redenen: - b.v. het voorkomen van ongelukken en productiestilstand - of het verhogen van de beschikbaarheid van de installatie - machine en materiaal tegen schade behoeden (investering!) Uw marktkansen worden verbetert dankzij de toenemende vraag naar veilige machines! Safety Integrated Normen Functionele Veiligheid 4

5 Veilige machines Wat maakt een machine veilig??? Veilig ontwerp Additionele veiligheidsmaatregelen id l Bescherming voor het bedieningspersoneel Safety Integrated Normen Functionele Veiligheid 5

6 Veiligheid begint met bewustwording Industriële automatisering Safety Integrated Normen Functionele Veiligheid 6

7 Belangrijke e wijzigingen ge van wetgeving g en normalisatie in de machinebouw Machinerichtlijn EN edruk Categorie, SIL en PL EN ISO EN ISO (PL) EN EN (SIL) Welke methode kiezen: SIL of PL? Safety Integrated Normen Functionele Veiligheid 7

8 Normen Functionele cto eeveiligheid ed Machinerichtlijn EN e druk Categorie, SIL en PL EN ISO EN Welke methode kiezen: SIL of PL? EN ISO (PL) in detail EN (SIL) in detail Safety Integrated Normen Functionele Veiligheid 8

9 Machinerichtlijn (2006/42/EG) De belangrijkste feiten op een rij: Ingangsdatum: 29 december 2009 Geen overgangstermijn Aangepaste eisen aan besturing Verdwijnen van IIC verklaring (IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten) Eisen niet-voltooide machines (IIB machines) aangescherpt Montagehandleiding IIB machines TCD niet-voltooide machines vereist Veiligheid wordt meetbaar Safety Integrated Normen Functionele Veiligheid 9

10 Overzicht belangrijkste normen Machinerichtlijn Geharmoniseerd onder de EU Machinerichtlijn: EN ISO (samenvoeging van EN ISO en EN ISO 14121, overgangstermijn 3 jaar) Leidraad voor risicobeoordeling Basisbegrippen en algemene ontwerpbeginselen EN Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen EN ISO (voorheen EN 418) Veiligheid van machines - Noodstop - Ontwerpbeginselen EN ISO /-2 (EN 954-1/-2) Veiligheid van machines - Veiligheidgerelateerde g gedeelten van besturingssystemen (SRP-CS) EN Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 1: algemene eisen en beproevingen EN Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen (SRECS) Safety Integrated Normen Functionele Veiligheid 10

11 Overzicht belangrijkste normen Machinerichtlijn Niet geharmoniseerd onder de EU Machinerichtlijn: IEC Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/- programmeerbare elektronische systemen IEC , -3, -4 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 2, -3, -4 - Meer informatie: Safety Integrated Normen Functionele Veiligheid 11

12 Overzicht Relevante machineveiligheid-normen voor functionele veiligheid Machinerichtlijn 98/37/EG 2006/42/EG EN 954-1: 1996 (Cat) Overgangsfase tot EN ISO (PL) PL EN (SIL) SIL Vanaf Januari 2012 mag EN (Cat.) niet meer toegepast worden! Het uitfaseren van de EN naar EN en EN ISO heeft tot gevolg dat u nu moet overstappen naar SIL of PL Safety Integrated Normen Functionele Veiligheid 12

13 Hiërarchische structuur EN - Normen EN IEC Basisveiligheidsnormen Veiligheidsaspect id normen Specifieke normen B1 Normen Behandeling van gemeenschappelijke gevaarzettende aspecten A-TYPE normen Basisontwerprichtlijnen en basisbegrippen voor machines B-TYPE normen C-TYPE normen B2 Normen Algemeen toepasbare veiligheidsvoorzieningen Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten EN ISO (EN ISO EN ISO 14121) EN ISO (EN 954) EN b.v. EN ISO (EN 418) (Noodstops) b.v. EN 692 (machinegereedschappen lasmachines) Safety Integrated Normen Functionele Veiligheid 13

14 Richtlijnen, wetten en normen Artikel 95 EG-verdrag (machineveiligheid) Machineveiligheid Artikel 137 EG-verdrag (sociale veiligheid) Kaderrichtlijn veiligheid werknemers (89/391/EG) Laagspannings richtlijn (2014/35/EU) Machine- richtlijn (2006/42/EG) Richtlijn arbeidsmiddelen (2009/104/EG) Eventueel andere richtlijnen Geharmoniseerde EN Europese normen ISO Nationale wetsvoorschriften Fabrikant Gebruiker Scope vandaag: functionele veiligheid volgens EN en EN ISO Safety Integrated Normen Functionele Veiligheid 14

15 Geharmoniseerde normen vermoeden van overeenstemming Basisnormen voor veiligheidgerelateerde besturingsfuncties Ontwerp- en risicobeoordeling van de machine EN ISO (EN ISO EN ISO 14121, overgangsperiode tot eind 2013) Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject Functionele- en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen Ontwikkeling en realisatie van veiligheidgerelateerde besturingssystemen EN 62061: 2005 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen Willekeurige opbouwstructuren (architecturen) Safety Integrity Level (SIL), SIL 1, SIL 2 SIL 3 EN ISO : 2015 Veiligheid van machines Veiligheidgerelateerde gedeelten van besturingssystemen, deel 1: algemene principes - Opvolger van EN 954-1: Overgangsperiode tot dec Bepaald architectuur (categorie) Perfomance Level (PL) PL a, PL b, PL c, PL d, PL e Elektrische veiligheid EN Veiligheid van machines Elektrische onderdelen van machines, deel 1: algemene eisen Safety Integrated Normen Functionele Veiligheid 15

16 Bijlagen Machinerichtlijn 2006/42/EG Nieuwe eisen aan de besturing - Defecten, bedieningsfouten, - Operationele- en noodstop Noodstop is geen vervanger van veiligheidsmaatregelen (is voor beperken van letsel/schade na incident, of aanvullende beveiliging) Lijst van veiligheidscomponenten Safety Integrated Normen Functionele Veiligheid 16

17 Bijlage V Machinerichtlijn 2006/42/EG Veiligheidscomponenten Eenheden voor veiligheidsfuncties Afschermingen Persoonsdetectie Noodstopvoorzieningen Tweehandenbediening Kleppen met storingsdetectie t ti. (momenteel zo n 17 items) Safety Integrated Normen Functionele Veiligheid 17

18 Hoe maak je een machine veilig? Voorkomen van gevaarlijke situaties RIE (Risico Inventarisatie en Evaluatie) Stappenplan: 1. Identificeren van het gevaar (analyse) 2. Risicobeoordeling van het gevaar (schatting / -evaluatie) 3. Bepaling maatregelen voor risicoreductie i i (reductie: d i definities i i / maatregelen) ) 1 e Ontwerp / mechanische oplossingen (b.v. afscherming met hek of beschermkap) 2 e Elektronische en elektrische oplossingen 3 e Organisatorische maatregelen (b.v. gebruikershandleiding, training machine-operators) De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 18

19 Risicobeoordeling begint met gebruiksgrenzen g aangeven van de machine! Waarvoor te gebruiken Onder welke omstandigheden Door wie te bedienen. Safety Integrated Normen Functionele Veiligheid 19

20 Risicobeoordeling Ernst van de verwonding Hoe ernstig Zwaar licht Frequentie en duur van verblijf in de gevaarlijke zone Hoe vaak Vaak Zelden Mogelijkheid om schadelijk effect te beperken of uit te sluiten Hoe waarschijnlijk Bijna onmogelijk Mogelijk Safety Integrated Normen Functionele Veiligheid 20

21 Basisbegrippen en leidraad voor risicobeoordeling: EN ISO (EN ISO en EN ISO 14121) De 3-stapsmethode : algemene ontwerpbeginselen Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is n aan het gevaar: inherent ontwerp, technische beveiligingsmaatregelen en gebruiksinformatie. Start Stap 1: Risicoreductie door een veilige constructie/opbouw JA Is het risico voldoende verminderd? NEE Stap 2: Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Stap 3: Risicoreductie door gebruikersinformatie over de restrisico s Is het risico voldoende verminderd? NEE Risicobeoordeling opnieuw uitvoeren JA Einde Safety Integrated Normen Functionele Veiligheid 21

22 Basisbegrippen en leidraad voor risicobeoordeling: EN ISO (EN ISO en EN ISO 14121) Principe voor risicobeoordeling: Start Risicoanalyse Risicobeoordeling Risicoreductie, door het kiezen van de juiste beveiliging(en) g( Bepaling van de grenzen van de machine/installatie Identificatie van de gevaren van de machine/installatie Voor elk gevaar: risicoschatting en risico-evaluatie NEE Is het risico voldoende d gereduceerd? JA Einde De machine is veilig, het gevaar is teruggebracht tot een aanvaardbaar restrisico Safety Integrated Normen Functionele Veiligheid 22

23 Essentieel onderdeel bij het ontwerpen van machines: Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model) Risicobeoordeling Machinevalidatie Start t vd machine Einde vlgs EN ISO Gevalideerde machine Veiligheidsspecificaties SRS* Test van specificaties SRS Ontw werp en engin neering turingstechni ische iligheidsfunct ties Best ve Architectuur HW** en SW*** HW-ontwerp SW-ontwerp SW-test Integratie test HW en SW HW-test Verific catiie en Vali datie Realisatie * SRS = Safety Requirement Specification Verificatie / Validatie ** HW = Hardware Resultaat *** SW = Software Safety Integrated Normen Functionele Veiligheid 23

25 Belangrijkste wijzigingen EN e druk Veiligheid van machines Elektrische onderdelen Betere aansluiting op de IEC reeks (NEN 1010) Betere aansluiting op de IEC reeks (schakelen verdeelinrichtingen) Verdwijnen hoofdstuk 11 elektronische uitrusting Verwijzing naar EN en EN ISO Safety Integrated Normen Functionele Veiligheid 25

26 EN 60204: Hoofdnorm elektrische veiligheid van machines EN elektrische veiligheid van machines Elektrische installaties Besturingen Testen, keuren/valideren, documenteren NEN 1010 voor specifiek de Machinebouw m.b.t. de elektrische aspecten van machines Afstemming tussen normen voor besturingen met een veiligheidsfunctie EN ISO (EN 954) en EN Procedures, markeringen / waarschuwingen en Specifieke elektrische invulling van het Technisch Dossier van de machine Safety Integrated Normen Functionele Veiligheid 26

27 Samenhang besturingsnormen EN Veiligheids georiënteerde onderdelen van een besturing EN elektrische veiligheid van machines EN ISO (EN 954) Besturingssysteem met veiligheidsfunctie EN ISO Noodstop (EN 418) EN ISO handenbediening (EN 574) EN ISO 14120: 2015 Afschermingen (EN 953) EN ISO onbedoeld starten (EN 1037) EN ISO blokkeerinrichting afscherming (EN1088) Safety Integrated Normen Functionele Veiligheid 27

29 Indien de C-Norm geen klasse aangeeft Bepaling betrouwbaarheidscategorie volgens EN Methode volgens EN S1 B Methode voor de inschatting van de betrouwbaarheid van een specifiek veiligheidsbesturingscircuit. S2 Ernst van de verwondin ng F1 F2 gevaarlijke zone Freque entie en/of tijd in P1 P2 P1 P2 r te voorkomen jkheid om gevaar Mogelij Ernst van de verwonding S1: Licht, herstelbaar S2: Zwaar, onomkeerbare tot en met dodelijke afloop Frequentie en/of tijdsduur in gevaarlijke zone F1: Zelden tot vaak F2: Frequent tot continue Mogelijkheid om het gevaar te voorkomen P1: Mogelijk onder bepaalde omstandigheden P2: nauwelijks mogelijk Safety Integrated Normen Functionele Veiligheid 29

30 Systeemgedrag EN Categorie Samenvatting van de eisen Systeemgedrag Principe B 1 Veiligheidsgerelateerde onderdelen van de besturingen moeten zodanig zijn ontworpen, gebouwd, samengesteld, volgens de relevante normen, zodat deze de te verwachten invloeden kunnen weerstaan Eisen van categorie B; Er moeten beproefde componenten en veiligheidsprincipes worden gebruikt en in acht worden genomen. Een fout kan tot verlies van de veiligheidsfunctie leiden Zoals beschreven in categorie B, maar met een hogere mate van betrouwbaarheid van de veiligheidsfunctie Overwegend gekenmerkt door de kwaliteit van de componenten Eisen van categorieën B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd Eisen van categorieën B en 1; Een afzonderlijke fout in de b esturing kan niet leiden tot verlies van de veiligheidsfunctie Eisen van categorieën B en 1; Een afzonderlijke fout mag niet leiden tot verlies van de veiligheidsfunctie. De enkele fout moet gedetecteerd voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot verlies v.d. veiligheidsfunctie Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden, echter de fouten worden niet allemaal gedetecteerd Wanneer een samenloop van fouten optreedt, blijft de veiligheidsfunctie behouden en worden fouten tijdig herkend Overwegend gekenmerkt door de structuur van de besturing Safety Integrated Normen Functionele Veiligheid 30

31 Betrouwbaarheidscategorieën volgens EN Categorie 2 Eisen Eisen van categorie B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd (vb. het sporadisch openen van veiligheidsdeuren /-hekken) Voorbeeld voor categorie 2 Systeemgedrag Principe Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Veiligheid nog steeds voornamelijk afhankelijk van de kwaliteit van de componenten Dicht Open Hekbewaking 3TK 28 K1 Start M K1 K1 Systeem : v.b. volgens EN 418 Actuatoren : beproefde componenten (v.b. magneetschakelaars) Foutherkenning : v.b. door gebruik van veiligheidsrelais Safety Integrated Normen Functionele Veiligheid 31

32 Betrouwbaarheidscategorieën volgens EN Categorie 4 Eisen Systeemgedrag Principe Eisen van categorieën Ben1; Een enkele fout mag niet leiden tot verlies van de veiligheidsfunctie De enkele fout moet worden gedetecteerd tijdens of voordat een beroep op de veiligheidsfunctie wordt gedaan Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot een verlies van de veiligheidsfunctie Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden en de fouten worden tijdig herkend Veiligheid gewaarborgd door structuur van de besturing Voorbeeld voor categorie 4 K1 S1 Start K1 K2 K2 3TK28 S2 M Dicht K1 K2 Open Hekbewaking Systeem Actuatoren Foutherkenning : Redundant ontwerp : Redundant ontwerp : v.b. door gebruik van veiligheidsrelais Aanvullende controle op onderlinge kruissluiting, kortsluitdetectie en bewaakte start. Safety Integrated Normen Functionele Veiligheid 32

33 Methode volgens EN en EN ISO Er is een berekenbare methode geintroduceerd voor veiligheidgerelateerde g aspecten: de Safety Performance - EN 62061: Safety Integrity Level (SIL) - EN ISO : Performance Level (PL) EN en EN ISO definiëren beiden veiligheid: - Een gevaarlijke situatie van een machine kan beschreven worden in gedefinieerde veiligheidsfuncties. - Voor de gedefinieerde veiligheidsfuncties kan de vereiste Safety Performance bepaald worden. - De hoogte van de Safety Performance is afhankelijk van de kwaliteit van de gebruikte componenten, de gebruikscyclus èn de mate van diagnosemogelijkheden binnen de veiligheidsfuncties. Met SIL en PL is veiligheid meetbaar geworden! Safety Integrated Normen Functionele Veiligheid 33

34 Methode volgens EN en EN ISO de vereiste Safety Performance is afhankelijk van de risico s. Voorheen: Categorie (EN 954-1) Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur) Geen referentie voor de meetbaarheid van de risico s Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level) Onafhankelijke oplossing (kwantitatieve waardebepaling) Systeemgedrag/architectuur wordt gecombineerd met betrouwbaarheid (uitvalkans) van gebruikte componenten Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL! Safety Integrated Normen Functionele Veiligheid 34

35 Uitgangspunten voor SIL en PL met betrekking tot uitval/falen Hoe lang bent u verantwoordelijk als fabrikant? Hoe vaak mag een veiligheidsvoorziening weigeren per jaar? Idem maar bij een zeer gering effect. Hoeveel uren zitten er in een jaar? Wat mag de kans op falen per uur zijn? Risk Assessment Management Safety Integrated Normen Functionele Veiligheid 35

36 Wat is nieuw aan EN en EN ISO 13849? Berekening en bepaling van veiligheidsfuncties (over de hele veiligheidsketen: Detecting Evaluating Reacting) Eisen aan de uitvalwaarschijnlijkheid (PFH D / B10 D / MTTF / DC / SFF / CCF / λ / ) Naast bepaling van het vereiste veiligheidsniveau (beoordeling) ook bepaling van het behaalde veiligheidsniveau: de toetsing Eisen aan de handelwijze (projectmanagement, testconcept, technische documentatie,.) Safety Integrated Normen Functionele Veiligheid 36

37 Normen EN en EN ISO gebruiken veiligheidsfuncties/-systemen systemen Technische beveiligingsmaatregelen worden in normen EN en EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (-systeem) Voert veiligheidsfunctie uit (b.v. hekbewaking) Moet voor elk afzonderlijk gevaar beschreven worden Is opgebouwd uit subsystemen Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden (wat is de uitvalkans) Proces/routine voor elke veiligheidsfunctie (-systeem) Beschrijving/specificatie van de veiligheidsfunctie Bepaling van het vereiste veiligheidsniveau (beoordeling) Ontwerp/opbouw van de veiligheidsfunctie e e Bepaling van het behaalde veiligheidsniveau (toetsing) Realisatie en testen van de veiligheidsfunctie Safety Integrated Normen Functionele Veiligheid 37

38 Opbouw van veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN en EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 38

39 Veiligheidsfuncties/-systemen systemen in de praktijk De subsystemen van de veiligheidsfunctie Detecting Input / detecting Logic / evaluating Output / reacting (sensor, eindschakelaar, lichtscherm,. ) (veiligheidsrelais, veiligheidsbesturing, ) (contactor, frequentieregelaar, ) Evaluating Veiligheidsfunctie (-systeem) Veiligheidsdeur Subsysteem 1: input / detecting (sensoren) Subsysteem 2: logic / evaluating (besturing) Subsysteem 3: output / reacting (schakelen) Motor Reacting of Voor elke veiligheidsfunctie moet een veiligheidsniveau bepaald worden (hoe groot is de uitvalkans) Safety Integrated Normen Functionele Veiligheid 39

40 Voorbeeld: veiligheidsfunctie/-systeem systeem Doel van het ontwerp Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde veiligheidsniveau vervullen (SIL, PLr). Voorbeeld Veiligheidsfunctie: Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden. Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e Veiligheidsfunctie (-systeem) Veiligheids- id deur input / detecting ti logic / evaluating output t / reacting (sensoren) (besturing) (schakelen) Motor Ontworpen of voor SIL 3, resp. PL e Safety Integrated Normen Functionele Veiligheid 40

41 Voorbeeld: veiligheidsfunctie/-systeem systeem Toetsing van het ontwerp Kan het vereiste veiligheidsniveau (SIL, PL) gerealiseerd worden? Handelwijze Berekening van de afzonderlijke subsystemen (Detecting, Evaluating, Reacting) Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid j (PFH D D) ) Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie id (-systeem) Subsysteem 2: evaluating of Subsysteem 3: reacting Motor Berekening van het veiligheidssysteem Behaald veiligheidsniveau (SILCL, PL): In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare maximaal veiligheidsniveau van het veiligheidssysteem. Uitvalwaarschijnlijkheid j PFH D: som van alle PFH D-waarden van de subsystemen Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste (SIL, PL) van de veiligheidsfunctie? Safety Integrated Normen Functionele Veiligheid 41

42 Voorbeeld: veiligheidsfunctie/-systeem systeem Berekening van een subsysteem Veiligheidsrelevante kengetallen voor een subsysteem: Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid PFH D Subsysteem 2 Kant en klaar subsysteem Gegevens en certificaten van leverancier logic / evaluating (besturing) of Ontworpen subsysteem Gegevens moeten berekend worden Norm EN ISO en EN beschrijven hoe. (diagnosedekking, uitvalwaarschijnlijkheid van componenten) Subsysteem 1 input / detecting (sensoren) Subsysteem 3 output / reacting (schakelen) Safety Integrated Normen Functionele Veiligheid 42

43 Waarschijnlijkheid j van een gevaarlijke uitval per jaar (PFYD) / per uur (PFHD) EN ISO : PL EN : SIL PL Gemiddeld gevaarlijk falen per jaar (PFY D )* Gemiddeld gevaarlijk falen per uur (PFH D )** SIL a 0,1 PFYd < PFHd < b 0,03 PFYd < 0,1 3 x 10-6 PFHd < c 0,01 PFYd < 0, PFHd < 3 x 10-6 d 0,001 PFYd < 0, PFHd < e 0,0001 PFYd < 0, PFHd < * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar uur In Amendment EN ISO : PFHD waarde wordt nu ook binnen PL-norm geïntroduceerd! Safety Integrated Normen Functionele Veiligheid 43

44 Vergelijk parameters EN ISO versus EN EN SIL - Safety Integrity Level EN ISO PL - Performance Level Structuur HFT Cat. (architectuur) Betrouwbaarheid PFH D / λ MTTF D / PFY D / λ Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 44

45 Bepaling van het Performance Level (PL) St t Structuur Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: e e/ systee Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Normen Functionele Veiligheid 45

46 Riscograaf voor bepaling van het Performance Level (PL) St t Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein. In Amendment EN ISO : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid j van optreden gevaarlijke situatie Safety Integrated Normen Functionele Veiligheid 46

47 Scope van EN ISO Structuurt Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN is opgedeeld in: - EN ISO deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO deel 2:2003, Validatie Safety Integrated Normen Functionele Veiligheid 47

48 Scope van EN St t Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Structuur Bepaling van het vereiste veiligheidsniveau id i (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Normen Functionele Veiligheid 48

49 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Het vereiste veiligheidsniveau (risico) wordt bepaald door: Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Normen Functionele Veiligheid 49

50 Factoren voor het vaststellen van de SIL-Claim Structuurt Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Safety Integrated Normen Functionele Veiligheid 50

51 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 >1j 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 l b 1 > 1 jaar 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Se Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3tot4 5tot7 8 tot tot tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 Safety Integrated Normen Functionele Veiligheid SIL 1 51

52 Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem Structuurt Annex A van norm EN 62061: Template voor SIL-bepaling Safety Integrated Normen Functionele Veiligheid 52

53 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Normen Functionele Veiligheid 53

54 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Normen Functionele Veiligheid 54

55 Invloed van diagnose-mogelijkheden: g Diagnostic Coverage (DC) Diagnose De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 < DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % < DC ( 99,9 %) In Amendment EN ISO : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Normen Functionele Veiligheid 55

56 Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO Diagnose De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Safety Integrated Normen Functionele Veiligheid 56

57 Systeemgedrag g volgens categorieën in relatie met diagnosedekking g (DC) Diagnose Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (0) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (99 %) (optimale diagnose mogelijk door dubbelpolig li circuit) it) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2 e hek) Safety Integrated Normen Functionele Veiligheid 57

58 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 58

59 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse Waarden bij elkaar optellen voor totaalscore - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF: Score 65 Voldoet aan de eisen Score < 65 Proces mislukt, kies additionele maatregelen Safety Integrated Normen Functionele Veiligheid 59

60 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 60

61 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore TblF2 Tabel - ß-factor: Totaalscore omrekenen naar percentage - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Normen Functionele Veiligheid 61

62 Praktijkvoorbeelden van veiligheidsfuncties (1) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Noodstopcircuit Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting (2NC) Veiligheidsfunctie noodstop (dubbelpolig) Subsysteem 2: evaluating Subsysteem 3: reacting (2x) (vb: 2NC-noodstop - veiligheidsrelais - 2 magneetschak.) of PL e / SIL 3 Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten Hoog ( 99 %)* 65 pt** (PL) 1%-10%** (SIL) Subsysteem 1: detecting (1NC) Veiligheidsfunctie noodstop (enkelpolig) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld) Subsysteem 1a: detecting 1a Subsysteem PL e / Dubbelpolig Hoog 65 pt** (PL) Subsysteem 2: Subsysteem 3: 1b: evaluating reacting detecting 1b SIL 3 (redundant) ( 99 %)* 1%-10%** (SIL) (2NC) (2NC) of - Cat.4 (PL) (2x) - 2 channels/kanalen Noodstop 1 Noodstop 2-2 componenten/contacten (vb: 2 noodstoppen in serie Safety veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 62

63 Praktijkvoorbeelden van veiligheidsfuncties (2) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-hekschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 hekschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL d / SIL 2 Dubbelpolig - max.cat.3 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Gemiddeld (90 - < 99 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 schak.met 1-/2NC Safety - veiligheidsrelais Integrated - 2 Normen magneetschak.) Functionele Veiligheid 63

64 Praktijkvoorbeelden van veiligheidsfuncties (3) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole met twee hekken (beide hekken worden niet frequent (< 1/uur) geopend/gebruikt) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1a: detecting 1a Veiligheidsfunctie hekbewaking (hekken in serie geschakeld) Subsysteem 1b: detecting 1b Subsysteem 2: evaluating + + of (hek 1) (hek 2) Subsysteem 3: reacting (vb: 1-/2 schak.p/hek met 1-/2NC veiligheidsrelais - 2 magneetschak.) (2x) PL d / SIL 2 Dubbelpolig (redundant/divers) - Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 of 2 componenten/schak. Laag (60 - < 90 %)* 65 pt** (PL) 1%-10%** (SIL) Serieschakeling van hekken is niet aan te bevelen, er kan een gevaarlijke situatie ontstaan! Een persoon kan ingesloten raken in het gevaarlijke gebied! - als na openen van het 1 e hek een persoon ongemerkt door het 2 e hek naar binnen gaat en dit hek achter zich sluit, - kan de machine gestart worden zodra iemand het 1 e hek sluit en het veiligheidscircuit reset! Let op: bij andere opbouw en gebruiksfrequentie van veiligheidsfuncties met hekken gelden afwijkende voorwaarden! Voorbeelden: - 2 hekken in serie geschakeld, welke beiden frequent ( 1/uur) geopend/gebruikt worden: DC = geen (0) / Cat. 2 / max. PL c / SIL 1-5 hekken in serie geschakeld, waarvan er 1 frequent en 4 sporadisch geopend/gebruikt worden: DC = laag (60 - < 90 %) / Cat. 3 / max. PL d / SIL 2-5 of meer hekken in serie geschakeld, ongeacht gebruik: altijd DC = geen (0) / Cat. 2 / max. PL c / SIL 1 - per situatie zal de DC/CCF-waarde bepaald moeten worden voor een correcte invulling van het veiligheidsniveau van de toepassing Safety Integrated Normen Functionele Veiligheid 64

65 Praktijkvoorbeelden van veiligheidsfuncties (4) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - eindschakelaars (met mechanisch gedwongen verbreekcontacten! ) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-eindschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 eindschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL c / SIL 1 Dubbelpolig - Cat.1 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Geen (< 60 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 eindschak.met 1-/2NC Safety - veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 65

66 Vergelijking van de verschillende normen: uitgangspunt EN954-1 Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Omschrijving / architectuur Cat. B PL a < 10-4 Standaard d besturingen Cat. 1 PL b SIL 1 3x10-6 < 10-5 Veiligheidscomponenten en -pricipes; p testprocedures PL c Cat. 2 SIL < 3x10-6 Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, snelle foutherkenning, additionele zelftests in diverse cycli Cat. 4 PL e SIL < 10-7 Verschillende hardware en software Safety Integrated Normen Functionele Veiligheid 66

67 Vergelijking van de verschillende normen: uitgangspunt EN / EN ISO Risicocategorie v.d. besturing EN Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval Omschrijving van de veiligheidsfunctie / architectuur Cat. B PL a < Standaard (geen overeenstemming) d besturingen Cat. 1 PL b SIL 1 PL c Cat. 2 SIL 1 3x10-6 < < 3x10-6 Veiligheidscomponenten en -pricipes; p testprocedures Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL < 10-6 Redundantie, Niet meer dan snelle 1 gevaarlijke foutherkenning, uitval additionele v.d. veiligheidsfunctie zelftests in per diverse 100 cycli jaar Cat. 4 PL e SIL < 10-7 Verschillende Niet meer dan hardware 1 gevaarlijke en software uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Normen Functionele Veiligheid 67

68 Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 1 PFH D = PFH D = PFH 10 D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 68

69 Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = PFH D = PFH D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 69

71 Welke methode kiezen: SIL of PL? Beide normen beschrijven eisen aan de veiligheidsniveaus van veiligheidsfuncties / veiligheidssystemen EN (SIL) en EN ISO (PL) beschrijven de vereisten voor de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen: PL a SIL 1 SIL 2 SIL 3 PL b PL c PL d PL e Toenemende eisen aan de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen Alle fasen van de machine life-cycle moeten hierbij in acht genomen worden: Vanaf het ontwerp en engineering Tot en met buitenbedrijfstelling Safety Integrated Normen Functionele Veiligheid 71

72 Welke methode kiezen: SIL of PL? De eisen omvatten: Techniek (sterk afhankelijk van vereist veiligheidsniveau) Handelwijze Eisen ten aanzien van techniek: Structuur van de hardware Mogelijkheid van foutherkenning Betrouwbaarheid van de onderdelen (laag hoog veiligheidsniveau) (éénkanalig tweekanalig) (geen omvangrijke diagnose) (toenemend) Structuur Betrouwbaarheid Eisen ten aanzien van de handelwijze: Projectmanagement Testconcept Technische documentatie,. Diagnose Resistentie Proof-Test-Interval Processen Safety Integrated Normen Functionele Veiligheid 72

73 Toepassingsgebieden g EN EN ISO : Performance Level (PL) Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen. Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische systemen zonder beperkingen worden toegepast. Gebruik van programmeerbare veilige elektronica kan, echter met beperkingen: Voor bepaalde opbouwstructuren (architectuur) Tot en met PL d resp. SIL 2. Programmeerbare veiligheidsbesturingen (F-PLC, etc.) moeten voor PL e voldoen aan IEC Berekeningsconcept van EN ISO is gebaseerd op (beperkt aantal) vast gedefinieerde opbouwstructuren (architecturen). Minder uitgebreide berekeningen dan EN maar daardoor wel eenvoudiger. PL kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen.. Safety Integrated Normen Functionele Veiligheid 73

74 Toepassingsgebieden EN EN 62061: Safety Integrity Level (SIL) Toepasbaar voor alle elektrische-, elektronische bestuingssystemen met elk mogelijke opbouwstructuur (architectuur is minder gedefinieerd): van SIL 1 tot n met SIL 3. Programmeerbare veiligheidsbesturingen g (F-PLC) moeten voldoen aan IEC Is nauwkeuriger dan EN ISO maar vraagt meer rekenwerk. Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines. Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd. Alle fasen van de life-cycle van de machine worden beschreven: ontwerp inbedrijfstelling gebruik upgrades - uitbedrijfname. SIL kan alleen voor een gehele veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor afzonderlijke onderdelen geldt SIL CL. Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de berekeningen van EN worden meegenomen.. Safety Integrated Normen Functionele Veiligheid 74

75 Verschillen in toepassingsgebieden EN en EN ISO Safety Integrated Normen Functionele Veiligheid 75

76 Mate van gevaarlijke uitval is leidraad bij beide normen Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL PerformanceLevel EN ISO (PL) Waarschijnlijkheid gevaarlijke uitval per uur (PFHD) Safety Integrity Level EN (SIL) PL a 10-5 < PL b 3x10-6 < 10-5 SIL 1 PL c 10-6 < 3x10-6 SIL 1 PL d 10-7 < 10-6 SIL 2 PL e 10-8 < 10-7 SIL 3 Safety Integrated Normen Functionele Veiligheid 76

77 Valkuilen Minder voorspelbaar en daarmee functioneel gedrag Bij een ontwerp kan men zich rijk rekenen op basis van faalkansen Nog prille ervaring in faalkans-cijfers en faalkans-berekeningen met betrekking tot machinebesturingen (verificatie-tools zijn niet heilig) Engineeringfouten Vergt vooral in het begin de nodige studie en extra werk Safety Integrated Normen Functionele Veiligheid 77

78 Belangrijkste termen en definities op een rij PFH D PL PL r SIL SIL CL Probability of dangerous Failure per Hour: De waarschijnlijkheid van een gevaarlijk falen per uur Performance Level: Prestatieniveau / veiligheidsniveau Required Performance Level: Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL PL r ) Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau Safety Integrity Level - Claim Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten MTTF D Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout λ D Lambda: Kans van gevaarlijke uitval van een subsysteem(element), steem(element) (λ D = 1/ MTTF D ) CCF DC Common Cause Failure: (ook wel ß-factor genoemd), foutbestendigheid bij meerdere kanalen / resistentie tegen falen Diagnostic Coverage: ( SFF), diagnosegraad of dekkinggraad tegen fouten/falen SFF Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen DC), het percentage van falen wat leidt tot niet-gevaarlijk falen Safety Integrated Normen Functionele Veiligheid 78

79 Beschikbare documentatie Praktische uitvoering nieuwe machinerichtlijn - Nederlandstalige normen overzichtsbrochure EN en EN ISO / EN Overzichtsposter normen (A0-formaat) - Relatie SIL versus PL Safety Integrated Normen Functionele Veiligheid 79

80 Trainingsaanbod Machineveiligheid: nl/training/safety Trainingsmogelijkheden voor machineveiligheid: Cursus Functionele veiligheid voor ontwerpers in de praktijk - Ontwerpen van besturingstechnische veiligheidsfuncties volgens EN en EN ISO Vanaf het opstellen van de Safety Requirements Specifications tot en met de verificatie en validatie van veiligheidsfuncties - Oefening en uitwerking aan de hand van praktijkcases - Templates en checklist die direct in de dagelijkse praktijk kunnen worden toegepast Risicobeoordelingstraject-Management - Het risicobeoordelingstraject (Risk Assessment Management): normconforme methodiek voor het uitvoeren van de risicobeoordeling volgens EN ISO , resp. EN ISO 12100:2010 Normen cursussen - De Machinerichtlijn (EN2006/42/EC) en CE-markering: actuele Europese richtlijnen voor machineveiligheid en CE-markeringstraject. - Functionele veiligheid: Europese normen voor functionele veiligheid van machines en productieinstallaties volgens EN en EN ISO Product-/systeemtrainingen - PROFIsafe / F-PLC / FH-PLC - Modulair Safety Systeem / ASIsafe / Drives Technische Workshops Safety Integrated Normen Functionele Veiligheid 80

81 Machineveiligheid-workshops: Safety Integrated Normen Functionele Veiligheid 81

82 Normen informatie op site Machineveiligheid: nl/industry/machineveiligheid Safety Integrated Normen Functionele Veiligheid 82

83 Ondersteuning en ontwerpgemak: Functional Examples : Compleet uitgewerkte applicatievoorbeelden met veiligheidsfuncties - inclusief softwareprogramma s Functiebeschrijving van de veiligheidsfunctie Hardware opbouw Uitgewerkte softwareprogramma van de beschreven veiligheidsfunctie (indien van toepassing; beschrijvend, te downloaden en op DVD) SIL en PL-berekeningen Aansluitschema s Safety Integrated Normen Functionele Veiligheid 83

84 Meer informatie: Safety Integrated Normen Functionele Veiligheid 84

86 Performance Level PL - EN ISO Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met architectuur-eigenschappen Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico i Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Safety Integrated Normen Functionele Veiligheid 86

87 Parameters binnen EN ISO Overzicht EN ISO PL - Performance Level Structuur Cat. (architectuur) Betrouwbaarheid MTTF D / PFY D / λ Diagnose DC Resistentie CCF Proof-Test-Interval Processen T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 87

88 Scope van EN ISO Structuurt Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN is opgedeeld in: - EN ISO deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO deel 2:2003, Validatie Safety Integrated Normen Functionele Veiligheid 88

89 Toepassingsgebieden EN ISO St t Veiligheidgerelateerde onderdelen van besturingssystemen (SRP/CS): Bedienings- i en signaleringsapaaratuur i (b.v. tweehanden-bedieningsunit, di i it hekvergrendelingen) Elektrische beveiligingsapparatuur (b.v. lichtscherm), drukgevoelige schakelmatten Besturingscomponenten (b.v. verwerkingsunit voor het verwerken van veiligheidssignalen, dataverwerking, bewaking, etc.) Schakelapparatuur (b.v. relais, kleppen, etc.) Elektrische- en niet elektrische apparatuur (b.v. onderdelen van besturingssystemen opgebouwd met pneumatiek, hydrauliek) Structuur Veiligheidsfuncties in machines: - Van eenvoudig (b.v. koffie automaat t of automatische ti deur) - Tot een productieproces (b.v. verpakkings-, drukpers-, spuitgietmachines) Safety Integrated Normen Functionele Veiligheid 89

90 Opbouw van veiligheidsfuncties/-systemen (SRP/CS) binnen EN ISO Technische beveiligingsmaatregelen worden in normen EN ISO gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 90

91 Parameters binnen EN ISO (1) Definities en gebruikte termen: Structuur PL: Performance Level - Prestatieniveau voor de veiligheid van veiligheidsfuncties (Safety Performance) - Mate voor risicoreductie (PL a = laagste,, PL e = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten Betrouwbaarheid PLr: Required Performance Level - Minimaal vereist veiligheidsniveau van een veiligheidsfuncties (met PL PLr) Betrouwbaarheid PFY : Probability of Failure per Year PFYD: Probability of dangerous Failure per Year - De waarschijnlijkheid van een gevaarlijk falen per jaar - Rekenwaarde Safety Integrated Normen Functionele Veiligheid 91

92 Parameters binnen EN ISO (2) Definities en gebruikte termen: MTTF : Mean Time To Failure MFFTD : Mean Time To Dangerous Failure - MTTF : Tijd tot het optreden van een fout (eerste fout!) - MTTFD : Tijd tot het optreden van een gevaarlijke fout Betrouwbaarheid - MTBF : Mean Time Between Failure Tijd tussen het optreden van twee fouten - MTTR : Mean Time To Repair Tijd tot reparatie (onderhoud/service) - MTBF = MTTF + MTTR - MTBF>>MTTR, MTTR kan verwaarloosd worden, dus MFBF MTTF - MTBF waarden: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda - λ : Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Relatie met MTTF: MTTF = 1 / λ (en MTTFD = 1 / λd) - Rekenwaarde Safety Integrated Normen Functionele Veiligheid 92

93 Parameters binnen EN ISO (3) Definities en gebruikte termen: Diagnose DC: Diagnostic Coverage - Factor voor diagnosedekking in % - Is verhouding tussen aantal gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten -Bepaling DC: opgave van fabrikant Resistentie CCF (of ß-factor): Common Cause Failure - Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering i - Checklist van EN ISO , Annex F - Bepaling CCF: opgave van fabrikant Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRP/CS (jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem steem (schakelcycli) cli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Normen Functionele Veiligheid 93

94 Hoe werkt bij de EN ISO de bepaling van het Performance Level (PL) Processen Handelwijze EN ISO /-2: Stap 1: Bepaling van veiligheidsfuncties/-systemen Stap 2: Specificatie van het vereiste Performance Level PLr (PL-required) Stap 3: Ontwerp en technische realisatie van de veiligheidsfunctie Stap 4: Specificatie van het Performance Level en de architectuur/opbouwstructuur Stap 5: Validatie (EN ISO ) Toetsing/verificatie na elke stap! Safety Integrated Normen Functionele Veiligheid 94

95 Bepaling van veiligheidsfuncties/-systemensystemen Bepaling van veiligheidsfuncties/-systemen: Risicobeoordeling van de machine Zijn er vereiste veiligheidsfuncties die onder C-normen vallen Voorbeelden van veiligheidsfuncties id (zie ook in norm EN ): - Stopfunctie - Start/herstartfunctie - Handmatige resetfunctie - Mutingfunctie - Noodstopfunctie (EN ISO 13850) -... Safety Integrated Normen Functionele Veiligheid 95

96 Bepaling van het Performance Level (PL) St t Structuur Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: e e/ systee Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Normen Functionele Veiligheid 96

97 Riscograaf voor bepaling van het Performance Level (PL) St t Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein. In Amendment EN ISO : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid j van optreden gevaarlijke situatie Safety Integrated Normen Functionele Veiligheid 97

98 Definitie van gemiddelde tijd tot gevaarlijk falen van een enkel kanaal (MTTF D ) Betrouwbaarheid MTTFD : Tijdsaanduiding voor het gebruiksduur zonder dat een gevaarlijke fout in één enkel kanaal van het besturingssysteem optreedt MTTF D van elk kanaal Benaming Laag Gemiddeld Hoog Bereik 3 jaar MTTF D < 10 jaar 10 jaar MTTF D < 30 jaar 30 jaar MTTF D < 100 jaar In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar - Wordt hoofdzakelijk bepaald door de kwaliteit van de componenten. - Is een statistische gemiddelde waarde en geen gegarandeerde levensduur. Safety Integrated Normen Functionele Veiligheid 98

99 Betekenis van MTTF D Betrouwbaarheid Niet acceptabel Laag Gemiddeld Hoog Niet realistisch Safety Integrated Normen Functionele Veiligheid 99

100 Bepaling van MTTF D Betrouwbaarheid Hiërarchische procedure voor bepaling van MTTFD: 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik de methoden in Annex C en -D van de norm of 3 e : Kies 10 jaar Volgorde is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 100

101 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Normen Functionele Veiligheid 101

102 Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Normen Functionele Veiligheid 102

103 Architectuur gebaseerd op bestaande categorie B en 1 Betrouwbaarheid Systeem Veiligheidsdeur input / detecting logic / evaluating output / reacting (sensoren) (besturing) (schakelen) Motor 1/MTTF D Totaal = 1/MTTF D Detecting + 1/MTTF D Evaluating + 1/MTTF D Reacting (MTTF D in jaren) Safety Integrated Normen Functionele Veiligheid 103

104 Voorgeschreven architectuur categorie 2 Betrouwbaarheid Veiligheidsfunctie (-systeem) Veiligheids- input / detecting logic / evaluating output / reacting deur (sensoren) (besturing) (schakelen) Motor of Voor het bewaken en testen t van de veiligheidsfunctie id zijn gekwalificeerde componenten en systemen vereist gebruik veiligheidscomponenten, failsafe besturing / veiligheidsrelais! Safety Integrated Normen Functionele Veiligheid 104

105 Voorbeeld: MTTF D op basis van B10 D Betrouwbaarheid Op basis van 10 % uitval van een groep identieke componenten Bij contactoren en relais afhankelijk van het aantal keer schakelen en de daarbij optredende condities MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) -B10 D in aantal schakelingen -t cyclus in seconden - d : dagen per jaar - h : uren per dag - Als i.p.v. B10 D alleen B10 is gegeven neem 2 x B10 Safety Integrated Normen Functionele Veiligheid 105

106 Berekening Betrouwbaarheid PFH D B10 in aantal schakelingen ( ) t cyclus in seconden d : dagen per jaar h : uren per dag (circa 5 seconden) (365 dagen continu) (24 uur) B10 D = 2 x B 10 = 2 x = MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) MTTF = D x 95 : (0,1 x 365 x 24 x 3600) MTTF D 30 jaar Safety Integrated Normen Functionele Veiligheid 106

107 Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFY D )* / per uur (PFH D )** Betrouwbaarheid MTTF D uitgedrukt in de kans op een gevaalijke uitval per jaar PFY D en per uur PFH D in relatie tot het Performance Level (PL) EN ISO : PL PL Gemiddeld gevaarlijk falen per jaar (PFY D ) Gemiddeld gevaarlijk falen per uur (PFH D ) SIL a b c 0,1 PFYD < 1 0,03 PFYD < 0,1 0,01 PFYD < 0, PFHD < x 10-6 PFHD < PFHD < 3 x 10-6 In -Amendment EN ISO : PFHD waarde wordt nu ook binnen PL-norm 1 geïntroduceerd! d 0,001 PFYD < 0, PFHD < e 0,0001 PFYD < 0, PFHD < * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar uur Safety Integrated Normen Functionele Veiligheid 107

108 Performance Level in relatie met de kans op pgevaarlijke uitval per uur (PFHD) Betrouwbaarheid PFHD = Probability of Dangerous Failure per Hour: EN ISO hanteert max. MTTFD = 100 jaar In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Normen Functionele Veiligheid 108

109 Invloed van diagnose-mogelijkheden: g Diagnostic Coverage (DC) Diagnose De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 < DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % < DC ( 99,9 %) In Amendment EN ISO : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Normen Functionele Veiligheid 109

110 Bepaling van Diagnosedekking (Diagnostic Coverage - DC) Diagnose Hiërarchische procedure voor bepaling van DC: 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik methode uit Annex E van de norm of 3 e : Kies DC = 0 Volgorde is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 110

111 Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO Diagnose De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Safety Integrated Normen Functionele Veiligheid 111

112 Performance Level in relatie met DC, Categorie en MTTF D Diagnose Kwaliteit MTTF D laag 3 tot 10 jaar gemiddeld 10 tot 30 jaar PL a b c d Categorie (Architectuurkeuze) B P F H D e 10-8 hoog 30 tot 100 jaar geen geen laag gemid. laag DC inschatting gemid. hoog In Amendment EN ISO : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Normen Functionele Veiligheid 112

113 Systeemgedrag g volgens categorieën in relatie met diagnosedekking g (DC) Diagnose Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (0) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (99 %) (optimale diagnose mogelijk door dubbelpolig li circuit) it) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2 e hek) Safety Integrated Normen Functionele Veiligheid 113

114 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 114

115 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse Waarden bij elkaar optellen voor totaalscore - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF: Score 65 Voldoet aan de eisen Score < 65 Proces mislukt, kies additionele maatregelen Safety Integrated Normen Functionele Veiligheid 115

116 Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing Niet laag MTTFD PL a beschreven PL a PL b PL b PL c van elk kanaal gemiddeld PL b PL b PL c PL c PL d Niet Niet beschreven Niet beschreven Niet beschreven hoog beschreven PL c PL c PL d PLd PL d PL e Safety Integrated Normen Functionele Veiligheid 116

117 Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing MTTFD van elk kanaal Niet beschreven laag PL a PL a PL b PL b PL c gemiddeld PL b PL b PL c PL c PL d Niet Niet beschreven Niet beschreven Niet beschreven hoog beschreven PL c PL c PL d PLd PL d PL e Safety Integrated Normen Functionele Veiligheid 117

118 Validatie van SRP/CS binnen EN ISO Processen De validatie van SRP/CS moet uitgevoerd worden volgens het validatieplan: Prestatie-eisen eisen Gebruiks- en gebruiksomgeving voorwaarden Veiligheidsprincipes Beproefde componenten Foutinschatting en foutuitsluiting Analyses, tests, toetsing/verificatie Documenteren (vastleggen / bewijs ) De validatie moet onder vastgestelde omgevingscondities worden uitgevoerd. De validatie moet worden uitgevoerd met behulp van tests en analyses. Hoeveel hiervan uitgevoerd moeten worden is afhankelijk van: De veiligheidsgerelateerde onderdelen Systeemtype Gebruikte technologie Omgevingscondities (EMC / trillingen / klimaat / ) Safety Integrated Normen Functionele Veiligheid 118

119 Performance Level Calculator IFA: p p PL aflezen 2 e stap Legende MTTFd instellen 1 e stap Safety Integrated Normen Functionele Veiligheid 119

121 Safety Integrity ty Level e (SIL) -EN Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met hardware-fouttolerantie eigenschappen (in mindere mate: architectuur) Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico i Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Safety Integrated Normen Functionele Veiligheid 121

122 Parameters EN Overzicht EN SIL - Safety Integrity Level Structuur HFT Betrouwbaarheid PFH D / λ Diagnose SFF (DC) Resistentie CCF (ß-factor) Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 122

123 IEC de veiligheidsparaplu p voor software en elektronica Structuurt Safety Integrated Normen Functionele Veiligheid 123

124 Risicobeoordeling volgens IEC St t Structuur Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Failsafe (F-) Systeem: Eigenschap van een systeem dat gebruik maakt van een dusdanige opbouw en technische maatregelen, zodat het ontstaan van gevaarlijke situaties uitgesloten is of teruggebracht worden tot een aanvaardbaar risico Safety Integrated Normen Functionele Veiligheid 124

125 Overzicht van normen voor functionele veiligheid Structuurt Focus Produce ent/ Fabrikan nt IEC (700 pagina s) IEC Procesindustrie IEC (100 pagina s) ISO Focus Systee m integrator r/ Machin nebouwer IEC Nucleaire industrie IEC Medische sector etc.... Toepasbaar voor veiligheidsgerelateerde elektrische- en elektronische besturingssystemen (SRECS) EN 954 (tot ) Toepasbaar voor elektrische- / elektronische- én andere veiligheidsgerelateerde besturingssystemen (pneumatiek, hydrauliek, mechanisch, etc.) (SRP/CS) Proces- Industrie Productie-industrie (machinebouw) Safety Integrated Normen Functionele Veiligheid 125

126 Verschillen en overeenkomsten tussen IEC en EN St t IEC (Basisnormen) Voor fabrikanten van besturingen en eventueel gebruikers ervan Beschrijft gedetailleerde eisen voor het systeem, subsysteem en componenten Beschrijft algemene eisen zonder specifieke toepassingseisen Structuur EN (Applicatienorm) Beschrijft hoe een systeem opgebouwd kan worden met bestaande subsystemen en hoe zijn veiligheidseisen (SIL) bepaald kunnen worden Beschrijft de eisen voor het ontwerp van de subsystemen alleen voor niet complexe subsystemen (niet voor programmeerbare elektronica) Voor complexe systemen/subsystemen (b.v. veiligheids-plc) wordt aangenomen dat deze voldoen aan de eisen van IEC Een systeem dat ontworpen is volgens EN voldoet ook aan de relevante eisen volgens IEC Safety Integrated Normen Functionele Veiligheid 126

127 Scope van EN St t Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Structuur Bepaling van het vereiste veiligheidsniveau id i (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Normen Functionele Veiligheid 127

128 Structuur van EN (1) Structuurt Functional Safety Management (FSM) Managementactiviteiten en technische verantwoording ten aanzien van de functionele veiligheid: verantwoordelijkheden Opstellen van het veiligheidsplan Specificeren van de eisen aan veiligheidsfuncties (SRCF - Safety-Related Control Function) Methode en uitgangspunten voor het opstellen van de veiligheidsvereisten (SRS - Safety Requirements Specifications) Ontwerp en integratie van de veiligheidgerelateerde elektrische besturingssystemen (SRECS) Systeemarchitectuur/-opbouw Hardware en Software Toetsing/verificatie Gebruikersinformatie van de machine Bedieningshandleiding en service/onderhoudinstructies Safety Integrated Normen Functionele Veiligheid 128

129 Structuur van EN (2) Structuurt Validatie van de SRECS Proceseisen voor de validatie Inspectie en testen van SRECS in bedrijf Aanpassingen/wijzigingen ij i i aan de SRECS Proceseisen voor aanpassingen Analyseren van de impact van de wijziging Documentatie Algemene richtlijnen en eisen Risk Assessment Management Safety Integrated Normen Functionele Veiligheid 129

130 Opbouw van veiligheidsfuncties/-systemen (SRECS) binnen EN Structuurt Een veiligheidsfunctie (SRECS) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Data-overdracht tussen de subsystemen wordt meegenomen in berekening (kabel(s), bussysteem) Data-overdracht Veiligheidsfunctie (SRECS) (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 130

131 Parameters binnen EN (1) Definities en gebruikte termen: Structuurt SIL: Safety Integrity Level - Mate voor risicoreductie (SIL 1 = laagste,, SIL 3 = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten Structuur SIL CL: Safety Integrity Level Claim Limit - Maximaal haalbare SIL voor een subsysteem(element) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten - De laagste SIL CL bepaald het maximaal haalbare SIL - Bepaling SIL CL: opgave van fabrikant of door berekening Structuur HFT: Hardware Fault Tolerance - Hardware fouttolerantie De mogelijkheid van een hardware-unit om de vereiste veiligheidsfunctie uit te kunnen blijven voeren bij optreden van een fout - Opbouwstructuur t (1-/2-kanaals, redundantie) d - Toepasbaar op eenvoudige componenten/apparatuur en voor complexe (pogrammeerbare) apparatuur (redundante CPU) Safety Integrated Normen Functionele Veiligheid 131

132 Parameters binnen EN (2) Definities en gebruikte termen: Betrouwbaarheid PFH : Probability of Failure per Hour PFHD: Probability of dangerous Failure per Hour - De waarschijnlijkheid van een gevaarlijk falen per uur - Bepaling PFHD: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda - λ : Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Rekenwaarde Diagnose SFF: Safe Failure Fraction - Percentage van falen wat leidt tot niet-gevaarlijk falen (%) - Is verhouding tussen veilig falen en niet-veilig falen - Komt overeen met DC (Diagnostic Coverage) waarde uit EN ISO Bepaling SFF (DC): opgave van fabrikant Safety Integrated Normen Functionele Veiligheid 132

133 Parameters binnen EN (3) Definities en gebruikte termen: Resistentie CCF (of ß-factor): Common Cause Failure - Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN 62061, tabel F1/F2 - Waarden ß-factor: 1%, 2%, 5% of 10% (0,01 / 0,02 / 0,05 of 0,1) - Bepaling CCF: opgave van fabrikant Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRECS (in jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) -Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Normen Functionele Veiligheid 133

134 Ontwerpproces voor SRECS binnen EN Processen Ontwerpproces SRECS: 1: Vaststellen van SRECS voor elke veiligheidsfunctie (SRCF) 2: Opdelen van SRCF in functies: functieblokken (FB) 3: Gedetailleerde veiligheidseisen voor elk functieblok (FB) 4: FB s omzetten in subsystemen en kans op gevaarlijke uitval (PFHD) 5: Toetsing / verificatie (formules) 6: Component-selectie voor het subsysteem of ontwikkeling van een subsysteem 7: Opbouw van diagnosefuncties 8: SIL bepaling 9: Documenteren van SRECS architectuur/opbouw 10: Implementatie van SRECS Safety Integrated Normen Functionele Veiligheid 134

135 Ontwerpproces voor SRECS binnen EN Processen Ontwerpproces SRECS schematische voorstelling Safety Integrated Normen Functionele Veiligheid 135

136 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Het vereiste veiligheidsniveau (risico) wordt bepaald door: Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Normen Functionele Veiligheid 136

137 Factoren voor het vaststellen van de SIL-Claim Structuurt Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Safety Integrated Normen Functionele Veiligheid 137

138 Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 >1j 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 l b 1 > 1 jaar 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Se Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3tot4 5tot7 8 tot tot tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 Safety Integrated Normen Functionele Veiligheid SIL 1 138

139 Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem Structuurt Annex A van norm EN 62061: Template voor SIL-bepaling Safety Integrated Normen Functionele Veiligheid 139

140 EN Hardware fouttolerantie architectuur: Safe Failure Fraction (SFF) Diagnose Verhouding tussen veilig en niet-veilig falen SFF * ( DC) 0 Hardware fouttolerantie ti 1 2 (1 uit 1) (2 uit 1) (3 uit 1) < 60 % X** SIL 1 SIL 2 60 % SFF< 90% SIL 1 SIL 2 SIL 3 90 % SFF< 99% SIL 2 SIL 3 SIL 3*** (4) 99 % SIL 3 SIL 3*** (4) SIL 3*** (4) * SFF Safe Failure Fraction ** Niet toegestaan behalve onder bijzondere voorwaarden (o.a.: beproefde componenten zoals b.v. noodstop, Type-A apparatuur, mechanische comp.) *** SIL 4 is niet toegepast in de EN Safety Integrated Normen Functionele Veiligheid 140

141 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 141

142 Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore TblF2 Tabel - ß-factor: Totaalscore omrekenen naar percentage - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Normen Functionele Veiligheid 142

143 Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D Betrouwbaarheid EN biedt de mogelijkheid om de kans op gevaarlijke uitval van een subsysteem(element) te berekenen op basis van B10D-waarden: - Dit wordt gebruikt voor (elektromechanische) componenten waarvan alleen een B10D-waarde bekend is. - Met behulp van de gebruikscyclus (aantal schakelingen) en het percentage gevaarlijke uitval is vervolgens λd te bepalen (kans op gevaarlijk falen per uur, PFHD). 3 Safety Integrated Normen Functionele Veiligheid 143

144 Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D Betrouwbaarheid Voorbeeld: - Veiligheidsfunctie hekbewaking met een hekschakelaar met aparte bedieningssleutel Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie (-systeem) Subsysteem 2: evaluating Subsysteem 3: reacting Motor - Beschouw nu alleen: subsysteem 1 Detecting : - Uit tabel SIRIUS B10-waarden: B10 = 1.10 E+ 6 schakelcycli, % gevaarlijke uitval = 20% Aantal schakelingen C = 10 per uur Omrekenformules: λ = 0,1 x C / B10 λd = gevaarlijke uitval % x λ (= PFHD) λ = 0,1 x C / B10 = 0,1 x 10 / 1.10 E+ 6 = 1.10 E- 6 λd = 20% x λ = 0,2 x 1.10 E- 6 = 2.10 E- 7 = PFHD Safety Integrated Normen Functionele Veiligheid 144

145 Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 1 PFH D = PFH D = PFH 10 D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 145

146 Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = PFH D = PFH D = PFH = DT = PFH DT = = 1, ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 146

147 Relatie tussen SIL-waarden en de kans op pgevaarlijke uitval Betrouwbaarheid Performance Level EN ISO Safety Integrity Level EN PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval van de veiligheidsfunctie PL a < (geen overeenstemming) PL b SIL 1 3x10-6 < 10-5 PL c SIL < 3x10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar PL d SIL < 10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 100 jaar PL e SIL < 10-7 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Normen Functionele Veiligheid 147

148 Validatie (1) Processen De validatie moet uitgevoerd worden volgens het validatieplan: Zowel voor hardware en software Functionele testen EMC test Fouttest met echte gesimuleerde fouten Test softwarebouwstenen (Siemens) Test eigen software Onafhankelijkheid Verantwoordelijkheden Wijzigingen / aanpasingen Documenteren (vastleggen / bewijs ) Doel is te toetsen of voldaan is aan alle vereiste veiligheidsaspecten die opgenomen zijn in de Safety Requirement Specifications (SRS) Safety Integrated Normen Functionele Veiligheid 148

149 Validatie (2) Processen De validatie moet uitvoerig worden gedocumenteerd: (in het TCD - Technisch Constructie Dossier) Aanpassing/updaten van het gemaakte validatieplan Updaten van gewijzigde hardware en software Geteste veiligheidsfuncties Gebruikte testapparatuur inclusief calibratiegegevens g Testresultaten Verschillen in waarden tussen verwachte- en daadwerkelijke resultaten Door wie is de validatie uitgevoerd en wanneer? Het up-to-date houden van het Technisch Constructie Dossier is een must! Safety Integrated Normen Functionele Veiligheid 149

150 EN ISO EN Safety Integrated: Normen machineveiligheid Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO (PL) en EN (SIL) Safety Integrated Normen Functionele Veiligheid 150

Nog meer weergeven