EN ISO 13849 EN 62061 Safety Integrated: Normen machineveiligheid Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL) www.siemens.nl/industry/machineveiligheid Safety Integrated Normen Functionele Veiligheid 1
Het nut van veiligheidstechnologie Veiligheid vraagt om bescherming tegen gevaar voor Mens Milieu Machine Proces Wettelijk verplichte bescherming Economisch verantwoorde veiligheid Gevaarlijke situaties die ontstaan door functiefouten moeten worden voorkomen vóór dat ze optreden! Safety Integrated Normen Functionele Veiligheid 2
Functionele veiligheid heeft betrekking op dat deel van de machine of productie-installatie waarbij de veiligheid afhangt van het correct functioneren van besturingen en afschermingen Dit voorkomt: Mens Machine Letsel (of dood) van mensen Vernietiging of beschadiging van - productie-faciliteiten (machines) en - productie-kwaliteit (productieverlies en uitval) Functionele veiligheid moet een integraal onderdeel zijn van elke machine! Safety Integrated Normen Functionele Veiligheid 3
Toenemend belang veiligheidstechniek In veel productie-installaties schuilen gevaren voor mens en machine. Er zijn twee goede redenen om deze gevaren te herkennen en gevaarlijke situaties zo veel mogelijk te beperken, dit betekent uw machine veilig maken: 1 e Wettelijke richtlijnen voor machinebouwers en installatiebeheerders (Machinerichtlijn, CE-markering) 2 e Economische gegronde redenen: - b.v. het voorkomen van ongelukken en productiestilstand - of het verhogen van de beschikbaarheid van de installatie - machine en materiaal tegen schade behoeden (investering!) Uw marktkansen worden verbetert dankzij de toenemende vraag naar veilige machines! Safety Integrated Normen Functionele Veiligheid 4
Veilige machines Wat maakt een machine veilig??? Veilig ontwerp Additionele veiligheidsmaatregelen id l Bescherming voor het bedieningspersoneel Safety Integrated Normen Functionele Veiligheid 5
Veiligheid begint met bewustwording Industriële automatisering Safety Integrated Normen Functionele Veiligheid 6
Belangrijke e wijzigingen ge van wetgeving g en normalisatie in de machinebouw Machinerichtlijn EN 60204-1 5edruk Categorie, SIL en PL EN ISO 13849 EN ISO 13849-1 (PL) EN 62061 EN 62061 (SIL) Welke methode kiezen: SIL of PL? Safety Integrated Normen Functionele Veiligheid 7
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 8
Machinerichtlijn (2006/42/EG) De belangrijkste feiten op een rij: Ingangsdatum: 29 december 2009 Geen overgangstermijn Aangepaste eisen aan besturing Verdwijnen van IIC verklaring (IIA-verklaring voor zelfstandig werkende machines en veiligheidscomponenten) Eisen niet-voltooide machines (IIB machines) aangescherpt Montagehandleiding IIB machines TCD niet-voltooide machines vereist Veiligheid wordt meetbaar Safety Integrated Normen Functionele Veiligheid 9
Overzicht belangrijkste normen Machinerichtlijn Geharmoniseerd onder de EU Machinerichtlijn: EN ISO 12100-2010 (samenvoeging van EN ISO 12100 en EN ISO 14121, overgangstermijn 3 jaar) Leidraad voor risicobeoordeling Basisbegrippen en algemene ontwerpbeginselen EN 60204-1 Veiligheid van machines - Elektrische onderdelen - Deel 1: algemene eisen EN ISO 13850 (voorheen EN 418) Veiligheid van machines - Noodstop - Ontwerpbeginselen EN ISO 13849-1/-2 (EN 954-1/-2) Veiligheid van machines - Veiligheidgerelateerde g gedeelten van besturingssystemen (SRP-CS) EN 61496-1 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 1: algemene eisen en beproevingen EN 62061 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen (SRECS) Safety Integrated Normen Functionele Veiligheid 10
Overzicht belangrijkste normen Machinerichtlijn Niet geharmoniseerd onder de EU Machinerichtlijn: IEC 61508 Functionele veiligheid van veiligheidgerelateerde elektrische/-elektronische/- programmeerbare elektronische systemen IEC 61496-2, -3, -4 Veiligheid van machines - Aanrakingsvrije elektrische beveiligingsinrichtingen - Deel 2, -3, -4 - Meer informatie: www.newapproach.org www.iso.org Safety Integrated Normen Functionele Veiligheid 11
Overzicht Relevante machineveiligheid-normen voor functionele veiligheid Machinerichtlijn 98/37/EG 2006/42/EG EN 954-1: 1996 (Cat) Overgangsfase tot 31-12-201112 2011 EN ISO 13849-1 (PL) PL EN 62061 (SIL) SIL 2006 2007 2008 2009 2010 2011 2012 Vanaf Januari 2012 mag EN 954-1 (Cat.) niet meer toegepast worden! Het uitfaseren van de EN 954-1 naar EN 62061 en EN ISO 13849-11 heeft tot gevolg dat u nu moet overstappen naar SIL of PL Safety Integrated Normen Functionele Veiligheid 12
Hiërarchische structuur EN - Normen EN IEC 61508 Basisveiligheidsnormen Veiligheidsaspect id normen Specifieke normen B1 Normen Behandeling van gemeenschappelijke gevaarzettende aspecten A-TYPE normen Basisontwerprichtlijnen en basisbegrippen voor machines B-TYPE normen C-TYPE normen B2 Normen Algemeen toepasbare veiligheidsvoorzieningen Specifieke gedetailleerde veiligheidsaspecten voor individuele machinesoorten EN ISO 12100-2010 (EN ISO 12100 + EN ISO 14121) EN ISO 13849 (EN 954) EN 62061 b.v. EN ISO 13850 (EN 418) (Noodstops) b.v. EN 692 (machinegereedschappen lasmachines) Safety Integrated Normen Functionele Veiligheid 13
Richtlijnen, wetten en normen Artikel 95 EG-verdrag (machineveiligheid) Machineveiligheid Artikel 137 EG-verdrag (sociale veiligheid) Kaderrichtlijn veiligheid werknemers (89/391/EG) Laagspannings richtlijn (2014/35/EU) Machine- richtlijn (2006/42/EG) Richtlijn arbeidsmiddelen (2009/104/EG) Eventueel andere richtlijnen Geharmoniseerde EN 62061 Europese normen ISO 13849 Nationale wetsvoorschriften Fabrikant Gebruiker Scope vandaag: functionele veiligheid volgens EN 62061 en EN ISO 13849 Safety Integrated Normen Functionele Veiligheid 14
Geharmoniseerde normen vermoeden van overeenstemming Basisnormen voor veiligheidgerelateerde besturingsfuncties Ontwerp- en risicobeoordeling van de machine EN ISO 12100-2010 (EN ISO 12100 + EN ISO 14121, overgangsperiode tot eind 2013) Veiligheid van machines: Basisbegrippen, algemene principes, risicobeoordelingtraject Functionele- en veiligheidsrelevante eisen voor veiligheidgerelateerde besturingssystemen Ontwikkeling en realisatie van veiligheidgerelateerde besturingssystemen EN 62061: 2005 Veiligheid van machines Functionele veiligheid van veiligheidgerelateerde elektrische-, elektronische- en programmeerbare elektronische besturingssystemen Willekeurige opbouwstructuren (architecturen) Safety Integrity Level (SIL), SIL 1, SIL 2 SIL 3 EN ISO 13849-1: 2015 Veiligheid van machines Veiligheidgerelateerde gedeelten van besturingssystemen, deel 1: algemene principes - Opvolger van EN 954-1: 1996 - Overgangsperiode tot dec. 2011 Bepaald architectuur (categorie) Perfomance Level (PL) PL a, PL b, PL c, PL d, PL e Elektrische veiligheid EN 60204-1 Veiligheid van machines Elektrische onderdelen van machines, deel 1: algemene eisen Safety Integrated Normen Functionele Veiligheid 15
Bijlagen Machinerichtlijn 2006/42/EG Nieuwe eisen aan de besturing - Defecten, bedieningsfouten, - Operationele- en noodstop Noodstop is geen vervanger van veiligheidsmaatregelen (is voor beperken van letsel/schade na incident, of aanvullende beveiliging) Lijst van veiligheidscomponenten Safety Integrated Normen Functionele Veiligheid 16
Bijlage V Machinerichtlijn 2006/42/EG Veiligheidscomponenten Eenheden voor veiligheidsfuncties Afschermingen Persoonsdetectie Noodstopvoorzieningen Tweehandenbediening Kleppen met storingsdetectie t ti. (momenteel zo n 17 items) Safety Integrated Normen Functionele Veiligheid 17
Hoe maak je een machine veilig? Voorkomen van gevaarlijke situaties RIE (Risico Inventarisatie en Evaluatie) Stappenplan: 1. Identificeren van het gevaar (analyse) 2. Risicobeoordeling van het gevaar (schatting / -evaluatie) 3. Bepaling maatregelen voor risicoreductie i i (reductie: d i definities i i / maatregelen) ) 1 e Ontwerp / mechanische oplossingen (b.v. afscherming met hek of beschermkap) 2 e Elektronische en elektrische oplossingen 3 e Organisatorische maatregelen (b.v. gebruikershandleiding, training machine-operators) De volgorde van uitvoering is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 18
Risicobeoordeling begint met gebruiksgrenzen g aangeven van de machine! Waarvoor te gebruiken Onder welke omstandigheden Door wie te bedienen. Safety Integrated Normen Functionele Veiligheid 19
Risicobeoordeling Ernst van de verwonding Hoe ernstig Zwaar licht Frequentie en duur van verblijf in de gevaarlijke zone Hoe vaak Vaak Zelden Mogelijkheid om schadelijk effect te beperken of uit te sluiten Hoe waarschijnlijk Bijna onmogelijk Mogelijk Safety Integrated Normen Functionele Veiligheid 20
Basisbegrippen en leidraad voor risicobeoordeling: EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121) De 3-stapsmethode : algemene ontwerpbeginselen Het wegnemen van gevaren of minimaliseren van het risico dat verbonden is n aan het gevaar: inherent ontwerp, technische beveiligingsmaatregelen en gebruiksinformatie. Start Stap 1: Risicoreductie door een veilige constructie/opbouw JA Is het risico voldoende verminderd? NEE Stap 2: Risicoreductie door technische beveiligingsmaatregelen JA Is het risico voldoende verminderd? NEE Stap 3: Risicoreductie door gebruikersinformatie over de restrisico s Is het risico voldoende verminderd? NEE Risicobeoordeling opnieuw uitvoeren JA Einde Safety Integrated Normen Functionele Veiligheid 21
Basisbegrippen en leidraad voor risicobeoordeling: EN ISO 12100-2010 (EN ISO 12100 en EN ISO 14121) Principe voor risicobeoordeling: Start Risicoanalyse Risicobeoordeling Risicoreductie, door het kiezen van de juiste beveiliging(en) g( Bepaling van de grenzen van de machine/installatie Identificatie van de gevaren van de machine/installatie Voor elk gevaar: risicoschatting en risico-evaluatie NEE Is het risico voldoende d gereduceerd? JA Einde De machine is veilig, het gevaar is teruggebracht tot een aanvaardbaar restrisico Safety Integrated Normen Functionele Veiligheid 22
Essentieel onderdeel bij het ontwerpen van machines: Verificatie- en validatieproces van besturingstechnische veiligheidsfuncties (V-model) Risicobeoordeling Machinevalidatie Start t vd machine Einde vlgs EN ISO 12100 Gevalideerde machine Veiligheidsspecificaties SRS* Test van specificaties SRS Ontw werp en engin neering turingstechni ische iligheidsfunct ties Best ve Architectuur HW** en SW*** HW-ontwerp SW-ontwerp SW-test Integratie test HW en SW HW-test Verific catiie en Vali datie Realisatie * SRS = Safety Requirement Specification Verificatie / Validatie ** HW = Hardware Resultaat *** SW = Software Safety Integrated Normen Functionele Veiligheid 23
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 24
Belangrijkste wijzigingen EN 60204 5e druk Veiligheid van machines Elektrische onderdelen Betere aansluiting op de IEC 60364 reeks (NEN 1010) Betere aansluiting op de IEC 61439 reeks (schakel- en verdeelinrichtingen) Verdwijnen hoofdstuk 11 elektronische uitrusting Verwijzing naar EN 62061 en EN ISO 13849 Safety Integrated Normen Functionele Veiligheid 25
EN 60204: Hoofdnorm elektrische veiligheid van machines EN 60204 elektrische veiligheid van machines Elektrische installaties Besturingen Testen, keuren/valideren, documenteren NEN 1010 voor specifiek de Machinebouw m.b.t. de elektrische aspecten van machines Afstemming tussen normen voor besturingen met een veiligheidsfunctie EN ISO 13849-1 (EN 954) en EN 62061 Procedures, markeringen / waarschuwingen en Specifieke elektrische invulling van het Technisch Dossier van de machine Safety Integrated Normen Functionele Veiligheid 26
Samenhang besturingsnormen EN 62061 Veiligheids georiënteerde onderdelen van een besturing EN 60204 elektrische veiligheid van machines EN ISO 13849-1 (EN 954) Besturingssysteem met veiligheidsfunctie EN ISO 13850 Noodstop (EN 418) EN ISO 13851 2 handenbediening (EN 574) EN ISO 14120: 2015 Afschermingen (EN 953) EN ISO 14118 onbedoeld starten (EN 1037) EN ISO 14119 blokkeerinrichting afscherming (EN1088) Safety Integrated Normen Functionele Veiligheid 27
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 28
Indien de C-Norm geen klasse aangeeft Bepaling betrouwbaarheidscategorie volgens EN 954-1 Methode volgens EN 954-1 S1 B 1 2 3 4 Methode voor de inschatting van de betrouwbaarheid van een specifiek veiligheidsbesturingscircuit. S2 Ernst van de verwondin ng F1 F2 gevaarlijke zone Freque entie en/of tijd in P1 P2 P1 P2 r te voorkomen jkheid om gevaar Mogelij Ernst van de verwonding S1: Licht, herstelbaar S2: Zwaar, onomkeerbare tot en met dodelijke afloop Frequentie en/of tijdsduur in gevaarlijke zone F1: Zelden tot vaak F2: Frequent tot continue Mogelijkheid om het gevaar te voorkomen P1: Mogelijk onder bepaalde omstandigheden P2: nauwelijks mogelijk Safety Integrated Normen Functionele Veiligheid 29
Systeemgedrag EN 954-1 Categorie Samenvatting van de eisen Systeemgedrag Principe B 1 Veiligheidsgerelateerde onderdelen van de besturingen moeten zodanig zijn ontworpen, gebouwd, samengesteld, volgens de relevante normen, zodat deze de te verwachten invloeden kunnen weerstaan Eisen van categorie B; Er moeten beproefde componenten en veiligheidsprincipes worden gebruikt en in acht worden genomen. Een fout kan tot verlies van de veiligheidsfunctie leiden Zoals beschreven in categorie B, maar met een hogere mate van betrouwbaarheid van de veiligheidsfunctie Overwegend gekenmerkt door de kwaliteit van de componenten 2 3 4 Eisen van categorieën B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd Eisen van categorieën B en 1; Een afzonderlijke fout in de b esturing kan niet leiden tot verlies van de veiligheidsfunctie Eisen van categorieën B en 1; Een afzonderlijke fout mag niet leiden tot verlies van de veiligheidsfunctie. De enkele fout moet gedetecteerd voordat een beroep op de veiligheidsfunctie wordt gedaan. Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot verlies v.d. veiligheidsfunctie Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Wanneer een afzonderlijke fout optreedt, blijft de veiligheidsfunctie altijd behouden, echter de fouten worden niet allemaal gedetecteerd Wanneer een samenloop van fouten optreedt, blijft de veiligheidsfunctie behouden en worden fouten tijdig herkend Overwegend gekenmerkt door de structuur van de besturing Safety Integrated Normen Functionele Veiligheid 30
Betrouwbaarheidscategorieën volgens EN 954-1 Categorie 2 Eisen Eisen van categorie B en 1; De veiligheidsfunctie moet in, voor de machine geschikte tijdsintervallen, door de machinebesturing worden gecontroleerd (vb. het sporadisch openen van veiligheidsdeuren /-hekken) Voorbeeld voor categorie 2 Systeemgedrag Principe Wanneer een fout optreedt, wordt het verlies van de veiligheidsfunctie tijdens de controletijdsinterval herkend Veiligheid nog steeds voornamelijk afhankelijk van de kwaliteit van de componenten Dicht Open Hekbewaking 3TK 28 K1 Start M K1 K1 Systeem : v.b. volgens EN 418 Actuatoren : beproefde componenten (v.b. magneetschakelaars) Foutherkenning : v.b. door gebruik van veiligheidsrelais Safety Integrated Normen Functionele Veiligheid 31
Betrouwbaarheidscategorieën volgens EN 954-1 Categorie 4 Eisen Systeemgedrag Principe Eisen van categorieën Ben1; Een enkele fout mag niet leiden tot verlies van de veiligheidsfunctie De enkele fout moet worden gedetecteerd tijdens of voordat een beroep op de veiligheidsfunctie wordt gedaan Is dit niet mogelijk, dan mag een opeenstapeling van fouten niet leiden tot een verlies van de veiligheidsfunctie Wanneer een afzonderlijke fout optreedt, blijft de veilig- heidsfunctie altijd behouden en de fouten worden tijdig herkend Veiligheid gewaarborgd door structuur van de besturing Voorbeeld voor categorie 4 K1 S1 Start K1 K2 K2 3TK28 S2 M Dicht K1 K2 Open Hekbewaking Systeem Actuatoren Foutherkenning : Redundant ontwerp : Redundant ontwerp : v.b. door gebruik van veiligheidsrelais Aanvullende controle op onderlinge kruissluiting, kortsluitdetectie en bewaakte start. Safety Integrated Normen Functionele Veiligheid 32
Methode volgens EN 62061 en EN ISO 13849-1 1 Er is een berekenbare methode geintroduceerd voor veiligheidgerelateerde g aspecten: de Safety Performance - EN 62061: Safety Integrity Level (SIL) - EN ISO 13849-1: Performance Level (PL) EN 62061 en EN ISO 13849-1 definiëren beiden veiligheid: - Een gevaarlijke situatie van een machine kan beschreven worden in gedefinieerde veiligheidsfuncties. - Voor de gedefinieerde veiligheidsfuncties kan de vereiste Safety Performance bepaald worden. - De hoogte van de Safety Performance is afhankelijk van de kwaliteit van de gebruikte componenten, de gebruikscyclus èn de mate van diagnosemogelijkheden binnen de veiligheidsfuncties. Met SIL en PL is veiligheid meetbaar geworden! Safety Integrated Normen Functionele Veiligheid 33
Methode volgens EN 62061 en EN ISO 13849-1 1. de vereiste Safety Performance is afhankelijk van de risico s. Voorheen: Categorie (EN 954-1) Uitsluitend gebaseerd op de uitvoering (systeemgedrag/architectuur) Geen referentie voor de meetbaarheid van de risico s Vanaf heden: SIL (Safety Integrity Level) en PL (Performance Level) Onafhankelijke oplossing (kwantitatieve waardebepaling) Systeemgedrag/architectuur wordt gecombineerd met betrouwbaarheid (uitvalkans) van gebruikte componenten Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL! Safety Integrated Normen Functionele Veiligheid 34
Uitgangspunten voor SIL en PL met betrekking tot uitval/falen Hoe lang bent u verantwoordelijk als fabrikant? Hoe vaak mag een veiligheidsvoorziening weigeren per jaar? Idem maar bij een zeer gering effect. Hoeveel uren zitten er in een jaar? Wat mag de kans op falen per uur zijn? Risk Assessment Management Safety Integrated Normen Functionele Veiligheid 35
Wat is nieuw aan EN 62061 en EN ISO 13849? Berekening en bepaling van veiligheidsfuncties (over de hele veiligheidsketen: Detecting Evaluating Reacting) Eisen aan de uitvalwaarschijnlijkheid (PFH D / B10 D / MTTF / DC / SFF / CCF / λ / ) Naast bepaling van het vereiste veiligheidsniveau (beoordeling) ook bepaling van het behaalde veiligheidsniveau: de toetsing Eisen aan de handelwijze (projectmanagement, testconcept, technische documentatie,.) Safety Integrated Normen Functionele Veiligheid 36
Normen EN 62061 en EN ISO 13849-1 1 gebruiken veiligheidsfuncties/-systemen systemen Technische beveiligingsmaatregelen worden in normen EN 62061 en EN ISO 13849-11 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (-systeem) Voert veiligheidsfunctie uit (b.v. hekbewaking) Moet voor elk afzonderlijk gevaar beschreven worden Is opgebouwd uit subsystemen Voor de veiligheidsfunctie moet een veiligheidsniveau bepaald worden (wat is de uitvalkans) Proces/routine voor elke veiligheidsfunctie (-systeem) Beschrijving/specificatie van de veiligheidsfunctie Bepaling van het vereiste veiligheidsniveau (beoordeling) Ontwerp/opbouw van de veiligheidsfunctie e e Bepaling van het behaalde veiligheidsniveau (toetsing) Realisatie en testen van de veiligheidsfunctie Safety Integrated Normen Functionele Veiligheid 37
Opbouw van veiligheidsfuncties/-systemen Technische beveiligingsmaatregelen worden in normen EN 62061 en EN ISO 13849-1 1 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 38
Veiligheidsfuncties/-systemen systemen in de praktijk De subsystemen van de veiligheidsfunctie Detecting Input / detecting Logic / evaluating Output / reacting (sensor, eindschakelaar, lichtscherm,. ) (veiligheidsrelais, veiligheidsbesturing, ) (contactor, frequentieregelaar, ) Evaluating Veiligheidsfunctie (-systeem) Veiligheidsdeur Subsysteem 1: input / detecting (sensoren) Subsysteem 2: logic / evaluating (besturing) Subsysteem 3: output / reacting (schakelen) Motor Reacting of Voor elke veiligheidsfunctie moet een veiligheidsniveau bepaald worden (hoe groot is de uitvalkans) Safety Integrated Normen Functionele Veiligheid 39
Voorbeeld: veiligheidsfunctie/-systeem systeem Doel van het ontwerp Het veiligheidssysteem dat de veiligheidsfunctie uitvoert, moet de eisen van het benodigde veiligheidsniveau vervullen (SIL, PLr). Voorbeeld Veiligheidsfunctie: Als de veiligheidsdeur geopend wordt, moet de motor afgeschakeld worden. Vereist veiligheidsniveau (volgt uit risicobeoordeling): SIL 3, resp. PL e Veiligheidsfunctie (-systeem) Veiligheids- id deur input / detecting ti logic / evaluating output t / reacting (sensoren) (besturing) (schakelen) Motor Ontworpen of voor SIL 3, resp. PL e Safety Integrated Normen Functionele Veiligheid 40
Voorbeeld: veiligheidsfunctie/-systeem systeem Toetsing van het ontwerp Kan het vereiste veiligheidsniveau (SIL, PL) gerealiseerd worden? Handelwijze Berekening van de afzonderlijke subsystemen (Detecting, Evaluating, Reacting) Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid j (PFH D D) ) Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie id (-systeem) Subsysteem 2: evaluating of Subsysteem 3: reacting Motor Berekening van het veiligheidssysteem Behaald veiligheidsniveau (SILCL, PL): In de regel bepaalt het subsysteem met het laagste veiligheidsniveau de maximaal haalbare maximaal veiligheidsniveau van het veiligheidssysteem. Uitvalwaarschijnlijkheid j PFH D: som van alle PFH D-waarden van de subsystemen Is behaald veiligheidsniveau van het veiligheidssysteem (SILCL, PL) gelijk aan het vereiste (SIL, PL) van de veiligheidsfunctie? Safety Integrated Normen Functionele Veiligheid 41
Voorbeeld: veiligheidsfunctie/-systeem systeem Berekening van een subsysteem Veiligheidsrelevante kengetallen voor een subsysteem: Behaald veiligheidsniveau (SILCL, PL) Uitvalwaarschijnlijkheid PFH D Subsysteem 2 Kant en klaar subsysteem Gegevens en certificaten van leverancier logic / evaluating (besturing) of Ontworpen subsysteem Gegevens moeten berekend worden Norm EN ISO 13849 en EN 62061 beschrijven hoe. (diagnosedekking, uitvalwaarschijnlijkheid van componenten) Subsysteem 1 input / detecting (sensoren) Subsysteem 3 output / reacting (schakelen) Safety Integrated Normen Functionele Veiligheid 42
Waarschijnlijkheid j van een gevaarlijke uitval per jaar (PFYD) / per uur (PFHD) EN ISO 13849-1 : PL EN 62061 : SIL PL Gemiddeld gevaarlijk falen per jaar (PFY D )* Gemiddeld gevaarlijk falen per uur (PFH D )** SIL a 0,1 PFYd < 1 10-5 PFHd < 10-4 - b 0,03 PFYd < 0,1 3 x 10-6 PFHd < 10-5 1 c 0,01 PFYd < 0,03 10-6 PFHd < 3 x 10-6 d 0,001 PFYd < 0,01 10-7 PFHd < 10-6 2 e 0,0001 PFYd < 0,001 10-8 PFHd < 10-7 3 * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar 10000 uur In Amendment EN ISO 13849 2015 : PFHD waarde wordt nu ook binnen PL-norm geïntroduceerd! Safety Integrated Normen Functionele Veiligheid 43
Vergelijk parameters EN ISO13849-1 1 versus EN 62061 EN 62061 SIL - Safety Integrity Level EN ISO 13849-1 PL - Performance Level Structuur HFT Cat. (architectuur) Betrouwbaarheid PFH D / λ MTTF D / PFY D / λ Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 44
Bepaling van het Performance Level (PL) St t Structuur Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: e e/ systee Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Normen Functionele Veiligheid 45
Riscograaf voor bepaling van het Performance Level (PL) St t Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein. In Amendment EN ISO 13849 2015 : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid j van optreden gevaarlijke situatie Safety Integrated Normen Functionele Veiligheid 46
Scope van EN ISO 13849 Structuurt Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN 13849 is opgedeeld in: - EN ISO 13849 deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO 13849 deel 2:2003, Validatie Safety Integrated Normen Functionele Veiligheid 47
Scope van EN 62061 St t Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Structuur Bepaling van het vereiste veiligheidsniveau id i (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849 Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Normen Functionele Veiligheid 48
Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Het vereiste veiligheidsniveau (risico) wordt bepaald door: Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Normen Functionele Veiligheid 49
Factoren voor het vaststellen van de SIL-Claim Structuurt Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Safety Integrated Normen Functionele Veiligheid 50
Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 >1j 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 l b 1 > 1 jaar 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Se Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3tot4 5tot7 8 tot 10 11 tot 13 14 tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 Safety Integrated Normen Functionele Veiligheid SIL 1 51
Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem Structuurt Annex A van norm EN 62061: Template voor SIL-bepaling Safety Integrated Normen Functionele Veiligheid 52
Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Normen Functionele Veiligheid 53
Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Normen Functionele Veiligheid 54
Invloed van diagnose-mogelijkheden: g Diagnostic Coverage (DC) Diagnose De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 < DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % < DC ( 99,9 %) In Amendment EN ISO 13849 2015 : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Normen Functionele Veiligheid 55
Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO 13849 Diagnose De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Safety Integrated Normen Functionele Veiligheid 56
Systeemgedrag g volgens categorieën in relatie met diagnosedekking g (DC) Diagnose Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (0) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (99 %) (optimale diagnose mogelijk door dubbelpolig li circuit) it) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2 e hek) Safety Integrated Normen Functionele Veiligheid 57
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO 13849 Resistentie Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 58
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO 13849 Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse Waarden bij elkaar optellen voor totaalscore - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF: Score 65 Voldoet aan de eisen Score < 65 Proces mislukt, kies additionele maatregelen Safety Integrated Normen Functionele Veiligheid 59
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN 62061 Resistentie Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 60
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN 62061 Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore TblF2 Tabel - ß-factor: Totaalscore omrekenen naar percentage - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Normen Functionele Veiligheid 61
Praktijkvoorbeelden van veiligheidsfuncties (1) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Noodstopcircuit Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting (2NC) Veiligheidsfunctie noodstop (dubbelpolig) Subsysteem 2: evaluating Subsysteem 3: reacting (2x) (vb: 2NC-noodstop - veiligheidsrelais - 2 magneetschak.) of PL e / SIL 3 Dubbelpolig (redundant) - Cat.4 (PL) - 2 channels/kanalen - 2 componenten/contacten Hoog ( 99 %)* 65 pt** (PL) 1%-10%** (SIL) Subsysteem 1: detecting (1NC) Veiligheidsfunctie noodstop (enkelpolig) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-noodstop - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie noodstop (noodstoppen, dubbelpolig, in serie geschakeld) Subsysteem 1a: detecting 1a Subsysteem PL e / Dubbelpolig Hoog 65 pt** (PL) Subsysteem 2: Subsysteem 3: 1b: evaluating reacting detecting 1b SIL 3 (redundant) ( 99 %)* 1%-10%** (SIL) (2NC) (2NC) of - Cat.4 (PL) (2x) - 2 channels/kanalen Noodstop 1 Noodstop 2-2 componenten/contacten (vb: 2 noodstoppen in serie Safety veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 62
Praktijkvoorbeelden van veiligheidsfuncties (2) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-hekschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 hekschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL d / SIL 2 Dubbelpolig - max.cat.3 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Gemiddeld (90 - < 99 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 schak.met 1-/2NC Safety - veiligheidsrelais Integrated - 2 Normen magneetschak.) Functionele Veiligheid 63
Praktijkvoorbeelden van veiligheidsfuncties (3) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - Toegangscontrole met twee hekken (beide hekken worden niet frequent (< 1/uur) geopend/gebruikt) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1a: detecting 1a Veiligheidsfunctie hekbewaking (hekken in serie geschakeld) Subsysteem 1b: detecting 1b Subsysteem 2: evaluating + + of (hek 1) (hek 2) Subsysteem 3: reacting (vb: 1-/2 schak.p/hek met 1-/2NC veiligheidsrelais - 2 magneetschak.) (2x) PL d / SIL 2 Dubbelpolig (redundant/divers) - Cat.3 (PL) - 2 channels/kanalen (SIL) - 1 of 2 componenten/schak. Laag (60 - < 90 %)* 65 pt** (PL) 1%-10%** (SIL) Serieschakeling van hekken is niet aan te bevelen, er kan een gevaarlijke situatie ontstaan! Een persoon kan ingesloten raken in het gevaarlijke gebied! - als na openen van het 1 e hek een persoon ongemerkt door het 2 e hek naar binnen gaat en dit hek achter zich sluit, - kan de machine gestart worden zodra iemand het 1 e hek sluit en het veiligheidscircuit reset! Let op: bij andere opbouw en gebruiksfrequentie van veiligheidsfuncties met hekken gelden afwijkende voorwaarden! Voorbeelden: - 2 hekken in serie geschakeld, welke beiden frequent ( 1/uur) geopend/gebruikt worden: DC = geen (0) / Cat. 2 / max. PL c / SIL 1-5 hekken in serie geschakeld, waarvan er 1 frequent en 4 sporadisch geopend/gebruikt worden: DC = laag (60 - < 90 %) / Cat. 3 / max. PL d / SIL 2-5 of meer hekken in serie geschakeld, ongeacht gebruik: altijd DC = geen (0) / Cat. 2 / max. PL c / SIL 1 - per situatie zal de DC/CCF-waarde bepaald moeten worden voor een correcte invulling van het veiligheidsniveau van de toepassing Safety Integrated Normen Functionele Veiligheid 64
Praktijkvoorbeelden van veiligheidsfuncties (4) Maximaal realiseerbare PL/SIL-niveau in relatie tot DC- / CCF-waarden: Veiligheidsfunctie: - eindschakelaars (met mechanisch gedwongen verbreekcontacten! ) Betrouwbaarheid Structuur Diagnose Resistentie PL/SIL: Opbouw: DC (SFF): CCF: (is maximaal (*Indicatieve waarden. (**Indicatieve waarden. realiseerbaar Exacte waarde moet Exacte waarde moet veiligheidsniveau) bepaald worden m.b.v. bepaald worden m.b.v. tabel in de norm) tabel in de norm) Subsysteem 1: detecting Veiligheidsfunctie hekbewaking (enkelpolig) (1x) (1NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (1x) PL c / SIL 1 Enkelpolig - Cat.1 (PL) - 1 channel/kanaal - 1 component/contact Geen (< 60 %)* n.v.t. (vb: 1NC-eindschak. - veiligheidsrelais - 1 magneetschak.) Veiligheidsfunctie hekbewaking (1-schakelaar per hek) Subsysteem 1: detecting (1x) (2NC) Subsysteem 2: evaluating of Subsysteem 3: reacting (2x) (vb: 1 eindschak.met 2NC - veiligheidsrelais - 2 magneetschak.) PL c / SIL 1 Dubbelpolig - Cat.1 (PL) - 2 channels/kanalen (SIL) - 1 component/schakelaar Geen (< 60 %)* 65 pt** (PL) 1%-10%** (SIL) - beperkingen in architectuur voor schakelaar (SIL) Veiligheidsfunctie hekbewaking (2-schakelaars per hek) Subsysteem 1: Subsysteem 2: Subsysteem 3: PL e / Dubbelpolig Hoog detecting evaluating reacting PL e / Dubbelpolig 65 pt** (PL) SIL 3 (redundant+divers) ( 99 %)* 1%-10%** (SIL) + (2x) of (2x) - Cat.4 (PL) - 2 channels/kanalen (SIL) - 2 componenten/schak (vb: 2 eindschak.met 1-/2NC Safety - veiligheidsrelais Integrated Normen - 2 magneetschak.) Functionele Veiligheid 65
Vergelijking van de verschillende normen: uitgangspunt EN954-1 Risicocategorie v.d. besturing EN 954-1 Performance Level EN ISO 13849 Safety Integrity Level EN 62061 PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Omschrijving / architectuur Cat. B PL a -- 10-5 < 10-4 Standaard d besturingen Cat. 1 PL b SIL 1 3x10-6 < 10-5 Veiligheidscomponenten en -pricipes; p testprocedures PL c Cat. 2 SIL 1 10-6 < 3x10-6 Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL 2 10-7 < 10-6 Redundantie, snelle foutherkenning, additionele zelftests in diverse cycli Cat. 4 PL e SIL 3 10-8 < 10-7 Verschillende hardware en software Safety Integrated Normen Functionele Veiligheid 66
Vergelijking van de verschillende normen: uitgangspunt EN 62061 / EN ISO 13849 Risicocategorie v.d. besturing EN 954-1 Performance Level EN ISO 13849 Safety Integrity Level EN 62061 PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval Omschrijving van de veiligheidsfunctie / architectuur Cat. B PL a -- 10-5 < 10-4 -- Standaard (geen overeenstemming) d besturingen Cat. 1 PL b SIL 1 PL c Cat. 2 SIL 1 3x10-6 < 10-5 10-6 < 3x10-6 Veiligheidscomponenten en -pricipes; p testprocedures Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar Complete zelftest binnen één cyclus, redundantie niet vereist Cat. 3 PL d SIL 2 10-7 < 10-6 Redundantie, Niet meer dan snelle 1 gevaarlijke foutherkenning, uitval additionele v.d. veiligheidsfunctie zelftests in per diverse 100 cycli jaar Cat. 4 PL e SIL 3 10-8 < 10-7 Verschillende Niet meer dan hardware 1 gevaarlijke en software uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Normen Functionele Veiligheid 67
Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 1 PFH D = 2.10-7 PFH D = 3.10-8 PFH 10 D = 1.10-6 PFH =2010-8 +310-8 -8 DT 20.10 3.10 + 100.10 = PFH DT = 123. 10-8 = 1,23 10-6 ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 68
Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = 5.10-7 PFH D = 3.10-8 PFH D = 7.10-7 PFH =5010-8 +310-8 +7010-8 DT 50.10 3.10 70.10 = PFH DT = 123. 10-8 = 1,23 10-6 ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 69
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 70
Welke methode kiezen: SIL of PL? Beide normen beschrijven eisen aan de veiligheidsniveaus van veiligheidsfuncties / veiligheidssystemen EN 62061 (SIL) en EN ISO 13849 (PL) beschrijven de vereisten voor de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen: PL a SIL 1 SIL 2 SIL 3 PL b PL c PL d PL e Toenemende eisen aan de betrouwbaarheid van veiligheidsfuncties / veiligheidssystemen Alle fasen van de machine life-cycle moeten hierbij in acht genomen worden: Vanaf het ontwerp en engineering Tot en met buitenbedrijfstelling Safety Integrated Normen Functionele Veiligheid 71
Welke methode kiezen: SIL of PL? De eisen omvatten: Techniek (sterk afhankelijk van vereist veiligheidsniveau) Handelwijze Eisen ten aanzien van techniek: Structuur van de hardware Mogelijkheid van foutherkenning Betrouwbaarheid van de onderdelen (laag hoog veiligheidsniveau) (éénkanalig tweekanalig) (geen omvangrijke diagnose) (toenemend) Structuur Betrouwbaarheid Eisen ten aanzien van de handelwijze: Projectmanagement Testconcept Technische documentatie,. Diagnose Resistentie Proof-Test-Interval Processen Safety Integrated Normen Functionele Veiligheid 72
Toepassingsgebieden g EN 13849 EN ISO 13849-1: Performance Level (PL) Toepasbaar voor alle veiligheidgerelateerde onderdelen van besturingssystemen. Naast elektrische- kunnen ook hydraulische-, pneumatische- en elektromechanische systemen zonder beperkingen worden toegepast. Gebruik van programmeerbare veilige elektronica kan, echter met beperkingen: Voor bepaalde opbouwstructuren (architectuur) Tot en met PL d resp. SIL 2. Programmeerbare veiligheidsbesturingen (F-PLC, etc.) moeten voor PL e voldoen aan IEC 61508. Berekeningsconcept van EN ISO 13849-1 is gebaseerd op (beperkt aantal) vast gedefinieerde opbouwstructuren (architecturen). Minder uitgebreide berekeningen dan EN 62061 maar daardoor wel eenvoudiger. PL kan zowel voor een gehele veiligheidsfunctie en ook voor onderdelen van een veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor niet-complexe machines. Complexe veiligheidsfuncties zijn lastiger te berekenen.. Safety Integrated Normen Functionele Veiligheid 73
Toepassingsgebieden EN 62061 EN 62061: Safety Integrity Level (SIL) Toepasbaar voor alle elektrische-, elektronische bestuingssystemen met elk mogelijke opbouwstructuur (architectuur is minder gedefinieerd): van SIL 1 tot n met SIL 3. Programmeerbare veiligheidsbesturingen g (F-PLC) moeten voldoen aan IEC 61508. Is nauwkeuriger dan EN ISO 13849 maar vraagt meer rekenwerk. Biedt goede mogelijkheden voor machines met veiligheidsfuncties met een complexe opbouw maar kan ook uitstekend gebruikt worden voor compacte eenvoudige machines. Uitgebreide procedures maar men ziet hierdoor minder snel zaken over het hoofd. Alle fasen van de life-cycle van de machine worden beschreven: ontwerp inbedrijfstelling gebruik upgrades - uitbedrijfname. SIL kan alleen voor een gehele veiligheidsfunctie verkregen worden (Detecting Evaluating Reacting). Voor afzonderlijke onderdelen geldt SIL CL. Uitvalkanswaarden (PFHd-waarden) van hydrauliek en pneumatiek kunnen ook in de berekeningen van EN 62061 worden meegenomen.. Safety Integrated Normen Functionele Veiligheid 74
Verschillen in toepassingsgebieden EN 62061 en EN ISO 13849 Safety Integrated Normen Functionele Veiligheid 75
Mate van gevaarlijke uitval is leidraad bij beide normen Er zijn overeenkomsten tussen de uitvalkanswaarden van SIL en PL PerformanceLevel EN ISO 13849 (PL) Waarschijnlijkheid gevaarlijke uitval per uur (PFHD) Safety Integrity Level EN 62061 (SIL) PL a 10-5 < 10-4 -- PL b 3x10-6 < 10-5 SIL 1 PL c 10-6 < 3x10-6 SIL 1 PL d 10-7 < 10-6 SIL 2 PL e 10-8 < 10-7 SIL 3 Safety Integrated Normen Functionele Veiligheid 76
Valkuilen Minder voorspelbaar en daarmee functioneel gedrag Bij een ontwerp kan men zich rijk rekenen op basis van faalkansen Nog prille ervaring in faalkans-cijfers en faalkans-berekeningen met betrekking tot machinebesturingen (verificatie-tools zijn niet heilig) Engineeringfouten Vergt vooral in het begin de nodige studie en extra werk Safety Integrated Normen Functionele Veiligheid 77
Belangrijkste termen en definities op een rij PFH D PL PL r SIL SIL CL Probability of dangerous Failure per Hour: De waarschijnlijkheid van een gevaarlijk falen per uur Performance Level: Prestatieniveau / veiligheidsniveau Required Performance Level: Minimaal vereist veiligheidsniveau van een veiligheidsfunctie (met PL PL r ) Safety Integrity Level: Niveau van betrouwbare veiligheid / veiligheidsniveau Safety Integrity Level - Claim Maximaal haalbaar veiligheidsniveau van een onderdeel of subsysteem MTBF Mean Time Between Failure: Gemiddelde tijd tussen (twee) fouten MTTF D Mean Time To dangerous Failure: Gemiddelde tijd tot een (eerste) gevaarlijke fout λ D Lambda: Kans van gevaarlijke uitval van een subsysteem(element), steem(element) (λ D = 1/ MTTF D ) CCF DC Common Cause Failure: (ook wel ß-factor genoemd), foutbestendigheid bij meerdere kanalen / resistentie tegen falen Diagnostic Coverage: ( SFF), diagnosegraad of dekkinggraad tegen fouten/falen SFF Safe Failure Fraction: (verhouding tussen veilig en niet-veilig falen DC), het percentage van falen wat leidt tot niet-gevaarlijk falen Safety Integrated Normen Functionele Veiligheid 78
Beschikbare documentatie Praktische uitvoering nieuwe machinerichtlijn - Nederlandstalige normen overzichtsbrochure EN 62061 en EN ISO13849-1 / EN954-1 - Overzichtsposter normen (A0-formaat) - Relatie SIL versus PL Safety Integrated Normen Functionele Veiligheid 79
Trainingsaanbod Machineveiligheid: www.siemens.nl/training/safety nl/training/safety Trainingsmogelijkheden voor machineveiligheid: Cursus Functionele veiligheid voor ontwerpers in de praktijk - Ontwerpen van besturingstechnische veiligheidsfuncties volgens EN 62061 en EN ISO 13849-1 - Vanaf het opstellen van de Safety Requirements Specifications tot en met de verificatie en validatie van veiligheidsfuncties - Oefening en uitwerking aan de hand van praktijkcases - Templates en checklist die direct in de dagelijkse praktijk kunnen worden toegepast Risicobeoordelingstraject-Management - Het risicobeoordelingstraject (Risk Assessment Management): normconforme methodiek voor het uitvoeren van de risicobeoordeling volgens EN ISO 14121-1, resp. EN ISO 12100:2010 Normen cursussen - De Machinerichtlijn (EN2006/42/EC) en CE-markering: actuele Europese richtlijnen voor machineveiligheid en CE-markeringstraject. - Functionele veiligheid: Europese normen voor functionele veiligheid van machines en productieinstallaties volgens EN 62061 en EN ISO 13849-1 Product-/systeemtrainingen - PROFIsafe / F-PLC / FH-PLC - Modulair Safety Systeem / ASIsafe / Drives Technische Workshops Safety Integrated Normen Functionele Veiligheid 80
Machineveiligheid-workshops: www.siemens.nl/workshop Safety Integrated Normen Functionele Veiligheid 81
Normen informatie op site Machineveiligheid: www.siemens.nl/industry/machineveiligheid nl/industry/machineveiligheid Safety Integrated Normen Functionele Veiligheid 82
Ondersteuning en ontwerpgemak: Functional Examples : www.siemens.nl/functional-examples Compleet uitgewerkte applicatievoorbeelden met veiligheidsfuncties - inclusief softwareprogramma s Functiebeschrijving van de veiligheidsfunctie Hardware opbouw Uitgewerkte softwareprogramma van de beschreven veiligheidsfunctie (indien van toepassing; beschrijvend, te downloaden en op DVD) SIL en PL-berekeningen Aansluitschema s Safety Integrated Normen Functionele Veiligheid 83
Meer informatie: www.siemens.nl/industry/machineveiligheid Safety Integrated Normen Functionele Veiligheid 84
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 85
Performance Level PL - EN ISO 13849-1 Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met architectuur-eigenschappen Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico i Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Safety Integrated Normen Functionele Veiligheid 86
Parameters binnen EN ISO 13849-1 1 - Overzicht EN ISO 13849-1 PL - Performance Level Structuur Cat. (architectuur) Betrouwbaarheid MTTF D / PFY D / λ Diagnose DC Resistentie CCF Proof-Test-Interval Processen T1 (= 20 jaar fixed ) T2 (afh.v.d. Cat.) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 87
Scope van EN ISO 13849 Structuurt Biedt methoden en vereisten voor veiligheidgerelateerde onderdelen van besturingssystemen: SRP/CS - Safety-Related Parts of Control System Bepaling van het vereiste veiligheidsniveau (PL - Performance Level) voor elke veiligheidsfunctie SRP/CS opbouw en ontwerpprincipes Validatie van SRP/CS Wijzigingen van SRP/CS EN 13849 is opgedeeld in: - EN ISO 13849 deel 1:2015, Algemene ontwerpprincipes (inclusief Amendment 1, 2015) - EN ISO 13849 deel 2:2003, Validatie Safety Integrated Normen Functionele Veiligheid 88
Toepassingsgebieden EN ISO 13849 St t Veiligheidgerelateerde onderdelen van besturingssystemen (SRP/CS): Bedienings- i en signaleringsapaaratuur i (b.v. tweehanden-bedieningsunit, di i it hekvergrendelingen) Elektrische beveiligingsapparatuur (b.v. lichtscherm), drukgevoelige schakelmatten Besturingscomponenten (b.v. verwerkingsunit voor het verwerken van veiligheidssignalen, dataverwerking, bewaking, etc.) Schakelapparatuur (b.v. relais, kleppen, etc.) Elektrische- en niet elektrische apparatuur (b.v. onderdelen van besturingssystemen opgebouwd met pneumatiek, hydrauliek) Structuur Veiligheidsfuncties in machines: - Van eenvoudig (b.v. koffie automaat t of automatische ti deur) - Tot een productieproces (b.v. verpakkings-, drukpers-, spuitgietmachines) Safety Integrated Normen Functionele Veiligheid 89
Opbouw van veiligheidsfuncties/-systemen (SRP/CS) binnen EN ISO 13849 Technische beveiligingsmaatregelen worden in normen EN ISO 13849-11 gedefinieerd in veiligheidsfuncties (-systemen) Een veiligheidsfunctie (Safety Function) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 90
Parameters binnen EN ISO 13849-1 1 (1) Definities en gebruikte termen: Structuur PL: Performance Level - Prestatieniveau voor de veiligheid van veiligheidsfuncties (Safety Performance) - Mate voor risicoreductie (PL a = laagste,, PL e = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevalligeen systematische fouten Betrouwbaarheid PLr: Required Performance Level - Minimaal vereist veiligheidsniveau van een veiligheidsfuncties (met PL PLr) Betrouwbaarheid PFY : Probability of Failure per Year PFYD: Probability of dangerous Failure per Year - De waarschijnlijkheid van een gevaarlijk falen per jaar - Rekenwaarde Safety Integrated Normen Functionele Veiligheid 91
Parameters binnen EN ISO 13849-1 1 (2) Definities en gebruikte termen: MTTF : Mean Time To Failure MFFTD : Mean Time To Dangerous Failure - MTTF : Tijd tot het optreden van een fout (eerste fout!) - MTTFD : Tijd tot het optreden van een gevaarlijke fout Betrouwbaarheid - MTBF : Mean Time Between Failure Tijd tussen het optreden van twee fouten - MTTR : Mean Time To Repair Tijd tot reparatie (onderhoud/service) - MTBF = MTTF + MTTR - MTBF>>MTTR, MTTR kan verwaarloosd worden, dus MFBF MTTF - MTBF waarden: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda - λ : Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Relatie met MTTF: MTTF = 1 / λ (en MTTFD = 1 / λd) - Rekenwaarde Safety Integrated Normen Functionele Veiligheid 92
Parameters binnen EN ISO 13849-1 1 (3) Definities en gebruikte termen: Diagnose DC: Diagnostic Coverage - Factor voor diagnosedekking in % - Is verhouding tussen aantal gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten -Bepaling DC: opgave van fabrikant Resistentie CCF (of ß-factor): Common Cause Failure - Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering i - Checklist van EN ISO 13849-1, Annex F - Bepaling CCF: opgave van fabrikant Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRP/CS (jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem steem (schakelcycli) cli) - Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Normen Functionele Veiligheid 93
Hoe werkt bij de EN ISO-13849-1 de bepaling van het Performance Level (PL) Processen Handelwijze EN ISO 13849-1 /-2: Stap 1: Bepaling van veiligheidsfuncties/-systemen Stap 2: Specificatie van het vereiste Performance Level PLr (PL-required) Stap 3: Ontwerp en technische realisatie van de veiligheidsfunctie Stap 4: Specificatie van het Performance Level en de architectuur/opbouwstructuur Stap 5: Validatie (EN ISO 13849-2) Toetsing/verificatie na elke stap! Safety Integrated Normen Functionele Veiligheid 94
Bepaling van veiligheidsfuncties/-systemensystemen Bepaling van veiligheidsfuncties/-systemen: Risicobeoordeling van de machine Zijn er vereiste veiligheidsfuncties die onder C-normen vallen Voorbeelden van veiligheidsfuncties id (zie ook in norm EN60204-1): - Stopfunctie - Start/herstartfunctie - Handmatige resetfunctie - Mutingfunctie - Noodstopfunctie (EN ISO 13850) -... Safety Integrated Normen Functionele Veiligheid 95
Bepaling van het Performance Level (PL) St t Structuur Bepaling van het vereiste Performance Level van een veiligheidsfunctie/-systeem: e e/ systee Met behulp van de risicograaf (annex A) Inschatten van het vereiste Performance Level (PLr) voor elke veiligheidsfunctie Vaststellen / bepalen van het daadwerkelijke PL voor elke veiligheidsfunctie: Categorie MTTFD (mean time to dangerous failure) DC (diagnostic coverage) CCF (common cause failure) Regel voor de PL van een veiligheidsfunctie: PL PLr Safety Integrated Normen Functionele Veiligheid 96
Riscograaf voor bepaling van het Performance Level (PL) St t Bepaling vereiste Performance Level volgens EN ISO 13849: PL a t/m PL e Structuur Ernst van letsel ernstig, (meestal blijvend), incl. dood licht, vaak herstelbaar letsel S S2 S1 Frequentie / duur van blootstelling Lang / frequent tot continu ( 1x per 15 min.) Kort / zelden tot soms (< 1x per 15min. / < 1/20 v.d. bedrijfstijd) F F2 F1 Mogelijkheid tot voorkomen nauwelijks mogelijk Mogelijk onder bepaalde voorwaarden P P2 P1 Startpunt voor schatting van risicoreductie S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 Laag risico Hoog risico PLr a PLr b PLr c PLr d PLr e PLr a PLr b PLr c PLr d Indien: waarschijnlijkheid van optreden van een gevaarlijke situatie = klein. In Amendment EN ISO 13849 2015 : - voorwaarden gespecificeerd voor blootstellingsgevaar (F) - PLr-niveau s gedefinieerd voor kleine waarschijnlijkheid j van optreden gevaarlijke situatie Safety Integrated Normen Functionele Veiligheid 97
Definitie van gemiddelde tijd tot gevaarlijk falen van een enkel kanaal (MTTF D ) Betrouwbaarheid MTTFD : Tijdsaanduiding voor het gebruiksduur zonder dat een gevaarlijke fout in één enkel kanaal van het besturingssysteem optreedt MTTF D van elk kanaal Benaming Laag Gemiddeld Hoog Bereik 3 jaar MTTF D < 10 jaar 10 jaar MTTF D < 30 jaar 30 jaar MTTF D < 100 jaar In Amendment EN ISO 13849 2015 : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar - Wordt hoofdzakelijk bepaald door de kwaliteit van de componenten. - Is een statistische gemiddelde waarde en geen gegarandeerde levensduur. Safety Integrated Normen Functionele Veiligheid 98
Betekenis van MTTF D Betrouwbaarheid Niet acceptabel Laag Gemiddeld Hoog Niet realistisch Safety Integrated Normen Functionele Veiligheid 99
Bepaling van MTTF D Betrouwbaarheid Hiërarchische procedure voor bepaling van MTTFD: 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik de methoden in Annex C en -D van de norm of 3 e : Kies 10 jaar Volgorde is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 100
Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarde - Elektromechanische componenten zijn onderhevig aan slijtage. - De uitvalkans voor elektromechanische componenten kan worden berekend met de B10-waarde en de gebruikscyclus (nop number of operations, aantal schakelingen per jaar). - De B10-waarde wordt uitgedrukt in het aantal schakelcycli. - Dit is het aantal schakelcycli gedurende welke 10% van de exemplaren in een levensduurtest een uitval vertoonde. B10D - Dat deel van de B10-waarde van welke gevaarlijke uitval tot gevolg heeft. - Voor B10D geldt: B10D = B10 / percentage gevaarlijke uitval. Vereenvoudigde berekening: - houdt 50% aan voor percentage gevaarlijk uitval - voor de B10D-waarde geldt dan: B10D = 2 x B10 Safety Integrated Normen Functionele Veiligheid 101
Electromechanische e componenten: MTTF D op basis s van B10 D Betrouwbaarheid B10-waarden van SIRIUS industrieel schakelmateriaal: 3 Safety Integrated Normen Functionele Veiligheid 102
Architectuur gebaseerd op bestaande categorie B en 1 Betrouwbaarheid Systeem Veiligheidsdeur input / detecting logic / evaluating output / reacting (sensoren) (besturing) (schakelen) Motor 1/MTTF D Totaal = 1/MTTF D Detecting + 1/MTTF D Evaluating + 1/MTTF D Reacting (MTTF D in jaren) Safety Integrated Normen Functionele Veiligheid 103
Voorgeschreven architectuur categorie 2 Betrouwbaarheid Veiligheidsfunctie (-systeem) Veiligheids- input / detecting logic / evaluating output / reacting deur (sensoren) (besturing) (schakelen) Motor of Voor het bewaken en testen t van de veiligheidsfunctie id zijn gekwalificeerde componenten en systemen vereist gebruik veiligheidscomponenten, failsafe besturing / veiligheidsrelais! Safety Integrated Normen Functionele Veiligheid 104
Voorbeeld: MTTF D op basis van B10 D Betrouwbaarheid Op basis van 10 % uitval van een groep identieke componenten Bij contactoren en relais afhankelijk van het aantal keer schakelen en de daarbij optredende condities MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) -B10 D in aantal schakelingen -t cyclus in seconden - d : dagen per jaar - h : uren per dag - Als i.p.v. B10 D alleen B10 is gegeven neem 2 x B10 Safety Integrated Normen Functionele Veiligheid 105
Berekening Betrouwbaarheid PFH D B10 in aantal schakelingen (10.000.000) t cyclus in seconden d : dagen per jaar h : uren per dag (circa 5 seconden) (365 dagen continu) (24 uur) B10 D = 2 x B 10 = 2 x 10.000.000 = 20.000.000 MTTF D = B10 D x t cyclus : (0,1 x d x h x 3600) MTTF = 2.10 6 D x 95 : (0,1 x 365 x 24 x 3600) MTTF D 30 jaar Safety Integrated Normen Functionele Veiligheid 106
Waarschijnlijkheid van een gevaarlijke uitval per jaar (PFY D )* / per uur (PFH D )** Betrouwbaarheid MTTF D uitgedrukt in de kans op een gevaalijke uitval per jaar PFY D en per uur PFH D in relatie tot het Performance Level (PL) EN ISO 13849-1 : PL PL Gemiddeld gevaarlijk falen per jaar (PFY D ) Gemiddeld gevaarlijk falen per uur (PFH D ) SIL a b c 0,1 PFYD < 1 0,03 PFYD < 0,1 0,01 PFYD < 0,03 10-5 PFHD < 10-4 3 x 10-6 PFHD < 10-5 10-6 PFHD < 3 x 10-6 In -Amendment EN ISO 13849 2015 : PFHD waarde wordt nu ook binnen PL-norm 1 geïntroduceerd! d 0,001 PFYD < 0,01 10-7 PFHD < 10-6 2 e 0,0001 PFYD < 0,001 10-8 PFHD < 10-7 3 * PFYD = Probability of dangerous failure per year ** PFHD = Probability of dangerous failure per hour 1 jaar 10000 uur Safety Integrated Normen Functionele Veiligheid 107
Performance Level in relatie met de kans op pgevaarlijke uitval per uur (PFHD) Betrouwbaarheid PFHD = Probability of Dangerous Failure per Hour: EN ISO 13849 hanteert max. MTTFD = 100 jaar In Amendment EN ISO 13849 2015 : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Normen Functionele Veiligheid 108
Invloed van diagnose-mogelijkheden: g Diagnostic Coverage (DC) Diagnose De diagnosedekking-factor (DC) is de verhouding tussen het percentage gedetecteerde gevaarlijke fouten en alle gevaarlijke fouten Diagnosedekking (Diagnostic Coverage DC) Benaming Geen (=geen diagnosedekking) Laag Gemiddeld Hoog Bereik 0 < DC < 60 % 60 % DC < 90 % 90 % DC < 99 % 99 % < DC ( 99,9 %) In Amendment EN ISO 13849 2015 : Meer gedetailleerde beschrijvingen van de DC-waarden. - Wordt hoofdzakelijk bepaald door de diagnose-mogelijkheden in combinatie met de architectuur (opbouw) van de veiligheidsbesturing Safety Integrated Normen Functionele Veiligheid 109
Bepaling van Diagnosedekking (Diagnostic Coverage - DC) Diagnose Hiërarchische procedure voor bepaling van DC: 1 e : Gebruik gegevens van de fabrikant of 2 e : Gebruik methode uit Annex E van de norm of 3 e : Kies DC = 0 Volgorde is dwingend voorgeschreven! Safety Integrated Normen Functionele Veiligheid 110
Bepaling van de diagnosedekking (Diagnostic Coverage) EN ISO 13849 Diagnose De norm geeft richtlijnen voor het bepalen van de DC-waarde / Cat. / CCF in Annex E.1 en Tabel 10 Safety Integrated Normen Functionele Veiligheid 111
Performance Level in relatie met DC, Categorie en MTTF D Diagnose Kwaliteit MTTF D laag 3 tot 10 jaar gemiddeld 10 tot 30 jaar PL a b c d Categorie (Architectuurkeuze) B 1 2 2 3 3 4 10-4 10-5 10-6 10-7 P F H D e 10-8 hoog 30 tot 100 jaar geen geen laag gemid. laag DC inschatting gemid. hoog In Amendment EN ISO 13849 2015 : MTTFD voor elk kanaal is aangepast naar max. MTTFD = 2500 jaar Safety Integrated Normen Functionele Veiligheid 112
Systeemgedrag g volgens categorieën in relatie met diagnosedekking g (DC) Diagnose Opbouw veiligheidsfunctie: (Detecting Evaluating Reacting) 1-kanaals circuit: 1 sensor + veiligheidsrelais + 1 magneetschakelaar Cat.2 / PL c / SIL 1 DC = geen (0) (weinig diagnose mogelijk met enkelpolig circuit) 2-kanaals circuit: 2 sensoren + veiligheidsrelais + 2 magneetschakelaars Cat.4 / PL e / SIL 3 DC = hoog (99 %) (optimale diagnose mogelijk door dubbelpolig li circuit) it) 2-kanaals circuit: 1 sensor met separate actuator + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = gemiddeld (90 %) (kans op mechanische fouten met bedieningssleutel van hekschakelaar) 2-kanaals circuit: meerdere hekken in serie + veiligheidsrelais + 2 magneetschak. Cat.3 / PL d / SIL 2 DC = laag (60 %) (kans op diagnosefouten door openen 2 e hek) Safety Integrated Normen Functionele Veiligheid 113
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO 13849 Resistentie Bepaling van het effect van een CCF met Annex F van de norm: CCF is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F.1 van de norm geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 114
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN ISO 13849 Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse Waarden bij elkaar optellen voor totaalscore - Beveiliging tegen overspanning - EMC invloeden - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF: Score 65 Voldoet aan de eisen Score < 65 Proces mislukt, kies additionele maatregelen Safety Integrated Normen Functionele Veiligheid 115
Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B 1 2 2 3 3 4 CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing Niet laag MTTFD PL a beschreven PL a PL b PL b PL c van elk kanaal gemiddeld PL b PL b PL c PL c PL d Niet Niet beschreven Niet beschreven Niet beschreven hoog beschreven PL c PL c PL d PLd PL d PL e Safety Integrated Normen Functionele Veiligheid 116
Systeemgedrag in relatie met Categorie, PL, MTTF D, DC en CCF Categorie B 1 2 2 3 3 4 CCF - - Zie Annex F Zie Annex F Zie Annex F Zie Annex F DC gem. geen geen laag gemiddeld laag gemiddeld hoog Principe Overwegend gekenmerkt door de kwaliteit van de componenten Overwegend gekenmerkt door de structuur van de besturing MTTFD van elk kanaal Niet beschreven laag PL a PL a PL b PL b PL c gemiddeld PL b PL b PL c PL c PL d Niet Niet beschreven Niet beschreven Niet beschreven hoog beschreven PL c PL c PL d PLd PL d PL e Safety Integrated Normen Functionele Veiligheid 117
Validatie van SRP/CS binnen EN ISO 13849 Processen De validatie van SRP/CS moet uitgevoerd worden volgens het validatieplan: Prestatie-eisen eisen Gebruiks- en gebruiksomgeving voorwaarden Veiligheidsprincipes Beproefde componenten Foutinschatting en foutuitsluiting Analyses, tests, toetsing/verificatie Documenteren (vastleggen / bewijs ) De validatie moet onder vastgestelde omgevingscondities worden uitgevoerd. De validatie moet worden uitgevoerd met behulp van tests en analyses. Hoeveel hiervan uitgevoerd moeten worden is afhankelijk van: De veiligheidsgerelateerde onderdelen Systeemtype Gebruikte technologie Omgevingscondities (EMC / trillingen / klimaat / ) Safety Integrated Normen Functionele Veiligheid 118
Performance Level Calculator IFA: http://www.dguv.de/ifa/de/pra/drehscheibe/index.jsp p p PL aflezen 2 e stap Legende MTTFd instellen 1 e stap Safety Integrated Normen Functionele Veiligheid 119
Normen Functionele cto eeveiligheid ed Machinerichtlijn EN 60204-1 5e druk Categorie, SIL en PL EN ISO 13849 EN 62061 Welke methode kiezen: SIL of PL? EN ISO 13849-1 (PL) in detail EN 62061 (SIL) in detail Safety Integrated Normen Functionele Veiligheid 120
Safety Integrity ty Level e (SIL) -EN 62061 Berekenbare veiligheid: - op basis van faalkans van componenten en systemen in combinatie met hardware-fouttolerantie eigenschappen (in mindere mate: architectuur) Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico i Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Safety Integrated Normen Functionele Veiligheid 121
Parameters EN 62061 - Overzicht EN 62061 SIL - Safety Integrity Level Structuur HFT Betrouwbaarheid PFH D / λ Diagnose SFF (DC) Resistentie CCF (ß-factor) Proof-Test-Interval Processen T1 (gebruiksduur/ levensduur) T2 (diagnose/test) Handelwijze Verificatie Safety Integrated Normen Functionele Veiligheid 122
IEC 61508 de veiligheidsparaplu p voor software en elektronica Structuurt Safety Integrated Normen Functionele Veiligheid 123
Risicobeoordeling volgens IEC 61508 St t Structuur Restrisico (daadwerkelijk aanwezig restrisico) Aanvaardbaar risico Risico van de totale installatie Toenemend risico Noodzakelijke risicovermindering Daadwerkelijke risico vermindering Andere technieken, (mechanisch, optisch,..) Electronische en elektrische veiligheidssystemen Externe voorzieningen en organisatorische maatregelen Failsafe (F-) Systeem: Eigenschap van een systeem dat gebruik maakt van een dusdanige opbouw en technische maatregelen, zodat het ontstaan van gevaarlijke situaties uitgesloten is of teruggebracht worden tot een aanvaardbaar risico Safety Integrated Normen Functionele Veiligheid 124
Overzicht van normen voor functionele veiligheid Structuurt Focus Produce ent/ Fabrikan nt IEC 61508 (700 pagina s) IEC 61511 Procesindustrie IEC 62061 (100 pagina s) ISO 13849 Focus Systee m integrator r/ Machin nebouwer IEC 61513 Nucleaire industrie IEC 60601 Medische sector etc.... Toepasbaar voor veiligheidsgerelateerde elektrische- en elektronische besturingssystemen (SRECS) EN 954 (tot 31-12-2011) Toepasbaar voor elektrische- / elektronische- én andere veiligheidsgerelateerde besturingssystemen (pneumatiek, hydrauliek, mechanisch, etc.) (SRP/CS) Proces- Industrie Productie-industrie (machinebouw) Safety Integrated Normen Functionele Veiligheid 125
Verschillen en overeenkomsten tussen IEC 61508 en EN 62061 St t IEC 61508 (Basisnormen) Voor fabrikanten van besturingen en eventueel gebruikers ervan Beschrijft gedetailleerde eisen voor het systeem, subsysteem en componenten Beschrijft algemene eisen zonder specifieke toepassingseisen Structuur EN 62061 (Applicatienorm) Beschrijft hoe een systeem opgebouwd kan worden met bestaande subsystemen en hoe zijn veiligheidseisen (SIL) bepaald kunnen worden Beschrijft de eisen voor het ontwerp van de subsystemen alleen voor niet complexe subsystemen (niet voor programmeerbare elektronica) Voor complexe systemen/subsystemen (b.v. veiligheids-plc) wordt aangenomen dat deze voldoen aan de eisen van IEC 61508. Een systeem dat ontworpen is volgens EN 62061 voldoet ook aan de relevante eisen volgens IEC 61508 Safety Integrated Normen Functionele Veiligheid 126
Scope van EN 62061 St t Biedt methoden en vereisten voor veiligheidgerelateerde elektrische-, elektronische en elektronisch programmeerbare besturingssystemen: SRECS - Safety-Related Electrical Control Systems Structuur Bepaling van het vereiste veiligheidsniveau id i (SIL - Safety Integrity Level) voor elke veiligheidfunctie SRECS ontwerpstructuur Integratie van veiligheidsgerelateerde subsystemen volgens EN ISO 13849 Validatie van SRECS Wijziging/aanpassing van SRECS Safety Integrated Normen Functionele Veiligheid 127
Structuur van EN 62061 (1) Structuurt Functional Safety Management (FSM) Managementactiviteiten en technische verantwoording ten aanzien van de functionele veiligheid: verantwoordelijkheden Opstellen van het veiligheidsplan Specificeren van de eisen aan veiligheidsfuncties (SRCF - Safety-Related Control Function) Methode en uitgangspunten voor het opstellen van de veiligheidsvereisten (SRS - Safety Requirements Specifications) Ontwerp en integratie van de veiligheidgerelateerde elektrische besturingssystemen (SRECS) Systeemarchitectuur/-opbouw Hardware en Software Toetsing/verificatie Gebruikersinformatie van de machine Bedieningshandleiding en service/onderhoudinstructies Safety Integrated Normen Functionele Veiligheid 128
Structuur van EN 62061 (2) Structuurt Validatie van de SRECS Proceseisen voor de validatie Inspectie en testen van SRECS in bedrijf Aanpassingen/wijzigingen ij i i aan de SRECS Proceseisen voor aanpassingen Analyseren van de impact van de wijziging Documentatie Algemene richtlijnen en eisen Risk Assessment Management Safety Integrated Normen Functionele Veiligheid 129
Opbouw van veiligheidsfuncties/-systemen (SRECS) binnen EN 62061 Structuurt Een veiligheidsfunctie (SRECS) wordt uitgevoerd als een veiligheidssysteem Een systeem is opgebouwd uit subsystemen Een subsysteem bestaat uit subsysteem-elementen Data-overdracht tussen de subsystemen wordt meegenomen in berekening (kabel(s), bussysteem) Data-overdracht Veiligheidsfunctie (SRECS) (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem Safety Integrated Normen Functionele Veiligheid 130
Parameters binnen EN 62061 (1) Definities en gebruikte termen: Structuurt SIL: Safety Integrity Level - Mate voor risicoreductie (SIL 1 = laagste,, SIL 3 = hoogste) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevallige- en systematische fouten Structuur SIL CL: Safety Integrity Level Claim Limit - Maximaal haalbare SIL voor een subsysteem(element) - Is afhankelijk van de architectuur/opbouwstructuur en resistentie tegen toevallige- en systematische fouten - De laagste SIL CL bepaald het maximaal haalbare SIL - Bepaling SIL CL: opgave van fabrikant of door berekening Structuur HFT: Hardware Fault Tolerance - Hardware fouttolerantie De mogelijkheid van een hardware-unit om de vereiste veiligheidsfunctie uit te kunnen blijven voeren bij optreden van een fout - Opbouwstructuur t (1-/2-kanaals, redundantie) d - Toepasbaar op eenvoudige componenten/apparatuur en voor complexe (pogrammeerbare) apparatuur (redundante CPU) Safety Integrated Normen Functionele Veiligheid 131
Parameters binnen EN 62061 (2) Definities en gebruikte termen: Betrouwbaarheid PFH : Probability of Failure per Hour PFHD: Probability of dangerous Failure per Hour - De waarschijnlijkheid van een gevaarlijk falen per uur - Bepaling PFHD: opgave van fabrikant Betrouwbaarheid λ en λd : Lambda - λ : Uitvalkans van een subsysteem(element) - λd : Uitvalkans voor gevaarlijke uitval van een subsysteem(element) - Rekenwaarde Diagnose SFF: Safe Failure Fraction - Percentage van falen wat leidt tot niet-gevaarlijk falen (%) - Is verhouding tussen veilig falen en niet-veilig falen - Komt overeen met DC (Diagnostic Coverage) waarde uit EN ISO 13849-1 - Bepaling SFF (DC): opgave van fabrikant Safety Integrated Normen Functionele Veiligheid 132
Parameters binnen EN 62061 (3) Definities en gebruikte termen: Resistentie CCF (of ß-factor): Common Cause Failure - Fout ontstaan vanuit een gemeenschappelijke oorzaak - Overwegend bepaald door de realisatie en uitvoering - Checklist van EN 62061, tabel F1/F2 - Waarden ß-factor: 1%, 2%, 5% of 10% (0,01 / 0,02 / 0,05 of 0,1) - Bepaling CCF: opgave van fabrikant Proof-Test-Interval T1 en T2: Tijden voor de gebruiksduur en het testen - T1: Proof-Test-Interval - Gebruiksduur/levensduur van het component / SRECS (in jaren) - T2: Proof-Test - Diagnose- testinsterval; een zich herhalende test van het component / systeem (schakelcycli) -Bepaling T1: opgave van fabrikant - Bepaling T2: door machinebouwer/gebruiker Safety Integrated Normen Functionele Veiligheid 133
Ontwerpproces voor SRECS binnen EN 62061 Processen Ontwerpproces SRECS: 1: Vaststellen van SRECS voor elke veiligheidsfunctie (SRCF) 2: Opdelen van SRCF in functies: functieblokken (FB) 3: Gedetailleerde veiligheidseisen voor elk functieblok (FB) 4: FB s omzetten in subsystemen en kans op gevaarlijke uitval (PFHD) 5: Toetsing / verificatie (formules) 6: Component-selectie voor het subsysteem of ontwikkeling van een subsysteem 7: Opbouw van diagnosefuncties 8: SIL bepaling 9: Documenteren van SRECS architectuur/opbouw 10: Implementatie van SRECS Safety Integrated Normen Functionele Veiligheid 134
Ontwerpproces voor SRECS binnen EN 62061 Processen Ontwerpproces SRECS schematische voorstelling Safety Integrated Normen Functionele Veiligheid 135
Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Het vereiste veiligheidsniveau (risico) wordt bepaald door: Risico gerelateerd aan het geïdentificeerde gevaar = Ernst van de schade / letsel Se en Frequentie en duur van blootstelling aan het gevaar Fr Waarschijnlijkheid van optreden Pr Mogelijkheid tot voorkomen Av Waarschijnlijkheid van optreden Safety Integrated Normen Functionele Veiligheid 136
Factoren voor het vaststellen van de SIL-Claim Structuurt Se : Ernstgraad van het letsel 1 t/m 4 Fr : Frequentie en duur van blootstelling 2 t/m 5 Pr : Waarschijnlijkheid van optreden 1 t/m 5 Av : Mogelijkheid tot voorkomen 1, 3 en 5 Cl : Waarschijnlijkheidsklasse voor de verwonding (= optelling van Fr + Pr + Av) Safety Integrated Normen Functionele Veiligheid 137
Bepaling van het vereiste e veiligheidsniveau: e eau Safety Integrity ty Level e (SIL) Structuurt Voorbeeld: Bepaling vereiste Safety Integrity Level (SIL 1 t/m SIL 3) Frequentie / duur van blootstelling aan gevaar Fr (Frequency) 1 uur 5 > 1 uur tot 1 dag 5 > 1 dag tot 2 wkn. 4 > 2 wkn. tot 1 jaar 3 >1j 2 + Waarschijnlijkheid van optreden van gevaarlijke situatie Pr (Probability) erg hoog 5 vaak 4 mogelijk 3 zelden 2 l b 1 > 1 jaar 2 verwaarloosbaar 1 + Mogelijkheid tot voorkomen gevaar Av (Avoidance) onmogelijk 5 in bijzondere gevallen mogelijk 3 mogelijk 1 Ernst van letsel (Severity) Se Dood, verlies van oog of ledematen 4 Permanent, verlies van vingers 3 Herstelbaar, medische behandeling door arts 2 Herstelbaar, eerste hulp 1 Ernst van Waarschijnlijkheidsklasse optreden letsel (Class, CL): CL = Fr + Pr + Av letsel Se 3tot4 5tot7 8 tot 10 11 tot 13 14 tot 15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 SIL 1 SIL 2 SIL 3 2 SIL 1 SIL 2 1 Safety Integrated Normen Functionele Veiligheid SIL 1 138
Bepaling van het vereiste veiligheidsniveau van de veiligheidsfunctie / - systeem Structuurt Annex A van norm EN 62061: Template voor SIL-bepaling Safety Integrated Normen Functionele Veiligheid 139
EN 62061 - Hardware fouttolerantie architectuur: Safe Failure Fraction (SFF) Diagnose Verhouding tussen veilig en niet-veilig falen SFF * ( DC) 0 Hardware fouttolerantie ti 1 2 (1 uit 1) (2 uit 1) (3 uit 1) < 60 % X** SIL 1 SIL 2 60 % SFF< 90% SIL 1 SIL 2 SIL 3 90 % SFF< 99% SIL 2 SIL 3 SIL 3*** (4) 99 % SIL 3 SIL 3*** (4) SIL 3*** (4) * SFF Safe Failure Fraction ** Niet toegestaan behalve onder bijzondere voorwaarden (o.a.: beproefde componenten zoals b.v. noodstop, Type-A apparatuur, mechanische comp.) *** SIL 4 is niet toegepast in de EN 62061 Safety Integrated Normen Functionele Veiligheid 140
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN 62061 Resistentie Bepaling van het effect van een CCF of ß-factor met tabel F1/F2 van de norm: CCF / ß-factor is van toepassing wanneer de veiligheidsfunctie die uit meerdere kanalen is opgebouwd (dubbelpolig / redundant). Dit rekenkundige proces moet worden doorlopen voor het gehele systeem. Elk deel van veiligheidgerelateerde onderdelen van het besturingssysteem moet geanalyseerd worden. Tabel F1 van de norm - Criteria: Geeft een lijst met maatregelen/voorwaarden en bijbehorende puntenwaarde, gebaseerd op technisch inzicht. En geeft van elke maatregel aan wat de bijdrage ervan is in het verminderen van uitval ontstaan door gemeenschappelijke oorzaak. Tabel F2 van de norm - CCF / ß-factor bepaling: Rekent de totaalscore die behaald is in tabel F1 om naar het percentage van uitval ontstaan door gemeenschappelijke oorzaak. Safety Integrated Normen Functionele Veiligheid 141
Bepaling van de uitval door gemeenschappelijke oorzaak (Common Cause Failure - CCF) EN 62061 Resistentie Criteria voor CCF-bepaling: - Diversiteit (verschillende technieken) - Fysieke scheiding van de signaallijnen (aparte kabels) - Resultaten uit de Cause & Effect analyse - Beveiliging tegen overspanning - EMC invloeden Tabel F1 - criteria: Waarden bij elkaar optellen voor totaalscore TblF2 Tabel - ß-factor: Totaalscore omrekenen naar percentage - Omgevingsfactoren De totaalscore van genomen maatregelen geeft de mate aan van resistentie tegen CCF Safety Integrated Normen Functionele Veiligheid 142
Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D Betrouwbaarheid EN 62061 biedt de mogelijkheid om de kans op gevaarlijke uitval van een subsysteem(element) te berekenen op basis van B10D-waarden: - Dit wordt gebruikt voor (elektromechanische) componenten waarvan alleen een B10D-waarde bekend is. - Met behulp van de gebruikscyclus (aantal schakelingen) en het percentage gevaarlijke uitval is vervolgens λd te bepalen (kans op gevaarlijk falen per uur, PFHD). 3 Safety Integrated Normen Functionele Veiligheid 143
Berekening van de kans op gevaarlijke uitval λ D voor SRECS op basis van B10 D Betrouwbaarheid Voorbeeld: - Veiligheidsfunctie hekbewaking met een hekschakelaar met aparte bedieningssleutel Veiligheidsdeur Subsysteem 1: detecting Veiligheidsfunctie (-systeem) Subsysteem 2: evaluating Subsysteem 3: reacting Motor - Beschouw nu alleen: subsysteem 1 Detecting : - Uit tabel SIRIUS B10-waarden: B10 = 1.10 E+ 6 schakelcycli, % gevaarlijke uitval = 20% Aantal schakelingen C = 10 per uur Omrekenformules: λ = 0,1 x C / B10 λd = gevaarlijke uitval % x λ (= PFHD) λ = 0,1 x C / B10 = 0,1 x 10 / 1.10 E+ 6 = 1.10 E- 6 λd = 20% x λ = 0,2 x 1.10 E- 6 = 2.10 E- 7 = PFHD Safety Integrated Normen Functionele Veiligheid 144
Voorbeeld 1: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 1 PFH D = 2.10-7 PFH D = 3.10-8 PFH 10 D = 1.10-6 PFH =2010-8 +310-8 -8 DT 20.10 3.10 + 100.10 = PFH DT = 123. 10-8 = 1,23 10-6 ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 145
Voorbeeld 2: Project met meerdere subsystemen op basis van SIL Betrouwbaarheid Veiligheidsfunctie (Sensor 1) Input / Detecting (Sensor 2) Logic / Evaluating (F-PLC / veiligheidsrelais) Output / Reacting (Relais / drive) Subsysteem-elementen Subsysteem Systeem SIL-CL 2 SIL-CL 3 SIL-CL 2 PFH D = 5.10-7 PFH D = 3.10-8 PFH D = 7.10-7 PFH =5010-8 +310-8 +7010-8 DT 50.10 3.10 70.10 = PFH DT = 123. 10-8 = 1,23 10-6 ~ SIL 1 Safety Integrated Normen Functionele Veiligheid 146
Relatie tussen SIL-waarden en de kans op pgevaarlijke uitval Betrouwbaarheid Performance Level EN ISO 13849 Safety Integrity Level EN 62061 PFHD (Waarschijnlijkheid gevaarlijke uitval per uur) Relatie tot gevaarlijke uitval van de veiligheidsfunctie PL a -- 10-5 < 10-4 -- (geen overeenstemming) PL b SIL 1 3x10-6 < 10-5 PL c SIL 1 10-6 < 3x10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 10 jaar PL d SIL 2 10-7 < 10-6 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 100 jaar PL e SIL 3 10-8 < 10-7 Niet meer dan 1 gevaarlijke uitval v.d. veiligheidsfunctie per 1000 jaar Safety Integrated Normen Functionele Veiligheid 147
Validatie (1) Processen De validatie moet uitgevoerd worden volgens het validatieplan: Zowel voor hardware en software Functionele testen EMC test Fouttest met echte gesimuleerde fouten Test softwarebouwstenen (Siemens) Test eigen software Onafhankelijkheid Verantwoordelijkheden Wijzigingen / aanpasingen Documenteren (vastleggen / bewijs ) Doel is te toetsen of voldaan is aan alle vereiste veiligheidsaspecten die opgenomen zijn in de Safety Requirement Specifications (SRS) Safety Integrated Normen Functionele Veiligheid 148
Validatie (2) Processen De validatie moet uitvoerig worden gedocumenteerd: (in het TCD - Technisch Constructie Dossier) Aanpassing/updaten van het gemaakte validatieplan Updaten van gewijzigde hardware en software Geteste veiligheidsfuncties Gebruikte testapparatuur inclusief calibratiegegevens g Testresultaten Verschillen in waarden tussen verwachte- en daadwerkelijke resultaten Door wie is de validatie uitgevoerd en wanneer? Het up-to-date houden van het Technisch Constructie Dossier is een must! Safety Integrated Normen Functionele Veiligheid 149
EN ISO 13849 EN 62061 Safety Integrated: Normen machineveiligheid Functionele veiligheid voor besturingstechnische veiligheidsfuncties volgens EN ISO 13849 (PL) en EN 62061 (SIL) www.siemens.nl/industry/machineveiligheid Safety Integrated Normen Functionele Veiligheid 150