PL en SIL, het ontwerp V-model in de praktijk Verificatie en validatie van veiligheidsfuncties. FUSACON B.V. Functional Safety Consultants Nederland ing. Nick de With, Senior Safety Consultant Safety Event 2014 Dinsdag 13 mei 2014 2014 FUSACON B.V. - www.fusacon.nl Page 1
Activiteiten FUSACON B.V. 2014 FUSACON B.V. - www.fusacon.nl Page 2
Onderwerpen Wet en normeisen besturingstechniek. Functional Safety Management nieuw? Het V-model en verificatie en validatie. Uitleg Safety Requirements Specification. (SRS) Welke info moet naar de gebruiker? (IFU) Uitleg Hardware Design Specification. (HDS) Vragen? 2014 FUSACON B.V. - www.fusacon.nl Page 3
Wettelijke eisen Machinerichtlijn Wet iemand van u wat de huidige Machinerichtlijn zegt over de veiligheid van het machine-besturingssysteem? Wat wordt er wettelijk geeist? 2014 FUSACON B.V. - www.fusacon.nl Page 4
Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf, 2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt, Ad. 2. Geldt dus voor falen hardware en fouten in embedded software! 2014 FUSACON B.V. - www.fusacon.nl Page 5
Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden, 4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke situatie leiden. Ad. 3. Geldt dus voor fouten in applicatie software! 2014 FUSACON B.V. - www.fusacon.nl Page 6
VHC als veiligheidspal! Standaard-PLC Overig Motoren/ Cilinders Veiligheidsrelais Veiligheids-PLC met of zonder Safe bus systeem 2014 FUSACON B.V. - www.fusacon.nl Page 7
VHC als veiligheidspal! Zorg bij machines tevens voor ontwerp, bouw, verificatie en validatie volgens: SIL (EN-IEC 62061) Veiligheidspal of PL (EN-ISO 13849) ZORG ALTIJD VOOR: Een veilige schil om de normale besturing heen!! 2014 FUSACON B.V. - www.fusacon.nl Page 8
Ontstaansreden IEC 62061 IEC 61508 VDE 0801 DIN 19250 DIN 19251 Etc. Machinesector IEC 62061 Start 1998 Einde 2004 90 pag. IEC 60601 Medische sector IEC 50128 Transportsector Start 1985 Einde 2000 732 pag. IEC 61511 Start 1998 Einde 2003 208 pag. IEC 60880 Nucleaire sector Processector 2014 FUSACON B.V. - www.fusacon.nl pagina 9
Ontstaansreden ISO 13849-1 Faalkans niet meegenomen IEC 61508 Start 1985 Einde 2000 732 pag. EN 954 d1: 1996 d2: pr1999 ISO 13849 d1: 1999 d2: 2003 ISO 13849 d1: 2006 d2: 2012 (at last ) EN 954-1 ISO 13849-1 ISO 13849-1 pren 954-2 ISO 13849-2 ISO 13849-2 2014 FUSACON B.V. - www.fusacon.nl pagina 10
Pilaren van het SIL of PL bouwwerk Structuur Betrouwnbaarheid Diagnose Resistentie Testintervallen SIL of PL Bouwwerk 2014 FUSACON B.V. - www.fusacon.nl Page 11
Parameters SIL of PL berekening EN 62061 SIL - Safety Integrity Level EN ISO 13849-1 PL - Performance Level Structuur HFT / SFF / SILCL Cat. Betrouwbaarbeid PFH D / λ PFH D / MTTF D Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Testintervallen T1 (prooftest/ levensduur) T2 (diagnose/test) T1 = 20 y fixed T2 (afh. categorie) Voor een juiste bepaling zijn gegevens nodig! 2014 FUSACON B.V. - www.fusacon.nl Page 12
SIL of PL rekentools SET PAScal SISTEMA Siemens SET tool: Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Door TÜV geteste online-tool Gratis maar registratie vereist Siemens producten in geïntegreerde bibliotheek Gegevens andere fabricaten te importeren en zelf aanmaken In Engelse taal https://eb.automation.siemens.co m/spice/sid/main/sid.jsf Pilz PAScal tool: Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Stand-alone te gebruiken Geringe vergoeding en registratie vereist Pilz producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken (Sistema library te importeren) In EN, DU, FR, IT, SP, JAP www.pilz.com/downloads/restric ted/pascal_1.5.2.zip IFA SISTEMA Tool: Alleen voor ISO 13849-1 (PL) Freeware door BGIA BGIA heet nu IFA Stand-alone te gebruiken Diverse leveranciers producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken In EN, DU, FR http://www.dguv.de/bgia/en/pra/so ftwa/sistema/index.jsp 2014 FUSACON B.V. - www.fusacon.nl Page 13
SIL en PL: reken jij je (ook) rijk? Veel voorkomende denkfouten: Door de faalkans te berekenen komen fouten in het systeem vanzelf naar boven. Je past de veiligheidscomponenten toe en dan is het dus altijd goed. De getallen in de bibliotheek zijn altijd correct en zonder meer toe te passen. De uitdraai van de softwaretool is voldoende bewijslast verificatie en validatie! NEE dus! Rekentools voor PL en SIL zijn rekentools en geen ontwerptools! 2014 FUSACON B.V. - www.fusacon.nl Page 14
Enige zekerheid in de techniek Wat is de enige zekerheid in de techniek Na een storing door een foutieve aansluiting van een meetwaarde-omvormer door een monteur zei Murphy tegen hem: "If there is any way to do it wrong, he'll find it. Edward Aloysius Murphy, Jr. Amerikaanse ruimtevaartingenieur die aan veiligheidkritieke systemen werkte. Later is dit geworden: "If anything can go wrong, it will http://www.murphys-laws.com 2014 FUSACON B.V. - www.fusacon.nl Page 15
Beïnvloedingsfactoren veiligheid 2014 FUSACON B.V. - www.fusacon.nl Page 16
Falen van veiligheidssystemen Veiligheidssystemen falen als gevolg van: Random failures; spontaan falen van hardware; Common Cause failures; falen van 2 kanalen door dezelfde faaloorzaak (meestal omgevingsfactoren); Systematic failures; falen door verborgen HW/SW fout in bijv. de fase concept- of detailontwerp. LET OP: Systematische fouten zijn het slechtst te voorkomen en krijgen vaak de minste aandacht! 2014 FUSACON B.V. - www.fusacon.nl Page 17
Functionele veiligheid Een veiligheidsbesturingssysteem is functioneel veilig als. Random, common cause en systematische fouten niet leiden tot het falen van het veiligheidssysteem en niet leiden tot: o Verwonding en dood van personen, o Milieu schade, o Verlies van productie en machines. 2014 FUSACON B.V. - www.fusacon.nl Page 18
Random en systematische fouten Fouten Fysieke (random +CC) Functionele (systematische) Fouten beheersen d.m.v. keuze juiste component/structuur. Fouten vermijden d.m.v. Functional Safety Management. 2014 FUSACON B.V. - www.fusacon.nl Page 19
Voorbeeld redundantie Structuur: redundantie 2014 FUSACON B.V. - www.fusacon.nl Page 20
Structuur: drievoudige redundantie 2014 FUSACON B.V. - www.fusacon.nl Page 21
Functional Safety Management Functional Safety Management Een voorbeeld uit de dagelijkse praktijk.. 2014 FUSACON B.V. - www.fusacon.nl Page 22
Functional Safety Management Doel: Vastleggen van de management- en technische activiteiten die nodig zijn om de functionele veiligheid van de besturing te realiseren. Input: Projectspecificatie + organisatie van de opdrachtnemer. Eisen: IEC 62061 H4.2.1. Output: Functional Safety Plan; het functional safety plan moet minimaal de volgende onderdelen bevatten: Beschrijving van alle relevante activiteiten (opstellen van functionele eisen, ontwerp, verificatie, validatie). Beschrijving van de strategie om aan de ontwerpeisen te voldoen. Overzicht van de benodigde personen, capaciteit, tools en overige hulpmiddelen. Input informatie waarmee het ontwerp proces en de risicobeoordeling kunnen worden gestart. Een verificatieplan, zie IEC 62061 4.2.g. voor informatie over de inhoud. Een validatieplan, zie IEC 62061 4.2.h. voor informatie over de inhoud. 2014 FUSACON B.V. - www.fusacon.nl Page 23
Is FSM nieuw? Is Functional Safety Management iets NIEUWS.? 2014 FUSACON B.V. - www.fusacon.nl Page 24
FSM methodiek EN 954-1:1996 Functional safety management was er ten tijde van de EN 954:1996 ook al: 0. Doe een risicobeoordeling en stel de risicoparameters S, F en P vast. 1. Bepaal een categorie middels de risicograaf (Bijlage A). 2. De systeemvereisten liggen per categorie vast. 3. Stel een Safety Requirements Specification op. 4. Bouw het veiligheidscircuit. 5. Verifïeer het veiligheidscircuit. 6. Valideer het circuit volgens ISO 13849-2:2003. 2014 FUSACON B.V. - www.fusacon.nl Page 25
Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen Veiligheids specificatie (SRS) hardware Validatie Validatietests Gevalideerde hardware SRECSarchitectuur Hardwarearchitectuur Subsysteem ontwerp Integratietests [componenten, subsystemen & PE] Integratietests [Subsysteem] Leverbaar Verificatie Detailontwerp HW Bouwen Detailontwerp tests 2014 FUSACON B.V. - www.fusacon.nl 26
Ontwerpproces SW: V-model SRECS Specificatie voor veiligheidseisen Specificatie voor veiligheidseisen software Validatie Validatietests Gevalideerde software SRECSarchitectuur Softwarearchitectuur Integratietests [componenten, subsystemen & PE] Softwaresysteemontwerp Integratietests [Module] Moduulontwerp Moduultests Leverbaar Verificatie CODEREN 2011 FUSACON B.V. - www.fusacon.nl Page 27
Definitie verificatie Verificatie Encyclo.nl: onderzoek naar de waarheid of authenticiteit van iets. EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found. EN 62061 3.2.51: confirmation by examination (e.g. tests, analysis) that the SRECS, its subsystems or subsystem elements meet the requirements set by the relevant specification. Wat is verificatie? Heb ik het werk goed gedaan? Heb ik het (sub-)systeem correct gebouwd? Verificatie wordt uitgevoerd na elke levenscyclus 2014 FUSACON B.V. - www.fusacon.nl Page 28
Definitie validatie Validatie Encyclo.nl: het geldig verklaren (van iets). EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found. EN 62061 3.2.52: confirmation by examination (e.g. tests, analysis) that the SRECS meets the functional safety requirements of the specific application. Wat is validatie? Biedt de gekozen oplossing ook voldoende risicoreductie? Heb ik het juiste (sub-)systeem gebouwd? Validatie wordt uitgevoerd na integratie en installatie (FAT, SAT). 2014 FUSACON B.V. - www.fusacon.nl Page 29
Belangrijke aspecten Uitleg van enkele belangrijke aspecten: 1. Safety Requirements Specification. 2. Componentkeuze en toepassing. 3. Information For Use. 4. Hardware Design Specification (HDS). 2014 FUSACON B.V. - www.fusacon.nl Page 30
Safety Requirements Specification Het BESTEK van de veiligheidsfuncties in de Machinebesturing. 2014 FUSACON B.V. - www.fusacon.nl Page 31
Safety Requirements Specification VHF nummer: 1 VHF naam: bijv. Neerstanddetectie slagboom. VHF type: bijv. Vergrendeling brugbeweging. VHF beschrijving: Beschrijving van de veiligheidsfunctie in woorden. Bijv. Indien de slagboom uit de de neerstand is of daaruit wordt bewogen wordt de beweging van het brugdek geblokkeerd cq. gestopt volgens stopcategorie 0 en daarna geblokkeerd. Functionele specificatie VHF: Vereiste SIL niveau of PL niveau: (bijv. SIL 2 of PLd ). Stopcategorie uit EN-IEC 60204-1: (bijv. stopcategorie 0, 1 of 2). Let op: stopcategorie 2 is alleen toegestaan als de frequentieregelaar (Power Drive System) voldoet aan IEC 61800-5-2). Andere vaste vereisten vanuit wetgeving en normen: (bijv. Hardwarefouttolerantie, timing). 2014 FUSACON B.V. - www.fusacon.nl Page 32
Safety Requirements Specification Functionele specificatie VHF: Verwachte aanspraakfrequentie v.d. VHF: (bijv. Elke brugcyclus). De gekozen demand modus : (bijv. low demand/high demand continuous mode). Besturingsbereik v.d. VHF: (bijv. Opsomming van alle aangesloten aandrijvingen die afgeschakeld worden). Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF actief is: (bijv. normaal bedrijf). Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF NIET actief is: (bijv. in instelbedrijf kan VHF worden overbrugt met de hold-to-run). 2014 FUSACON B.V. - www.fusacon.nl Page 33
Safety Requirements Specification Functionele specificatie VHF: Prioriteit van de VHF boven andere VHF s die tegelijkertijd actief kunnen zijn. (bijv. Een noodstop heeft prioriteit boven deze VHF). Verwachte omgevingscondities: (bijv. temperatuur, luchtvochtigheid, stof, chemische substanties, mechanische trillingen en schokken). Timing/ testen: Vereiste totale responstijd v.d. VHF: (bijv. Max. 500 ms.). Proof test interval van de totale VHF: in uren/jaren. Beschrijving van de prooftest(s): (bijv. type test(s), benodigde testapparatuur, vereiste testprocedure etc.). 2014 FUSACON B.V. - www.fusacon.nl Page 34
SRS: een ingevuld voorbeeld Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) 2014 FUSACON B.V. - www.fusacon.nl Page 35
Conceptontwerp blokkeerscherm Conceptontwerp PM4 Veiligheidsfunctie met blokkeerscherm Energy flow SW1 MC1 LS1 SW2 inside cabinet outside cabinet 2014 FUSACON B.V. - www.fusacon.nl NEN-EN-IEC 62061:Functionele
Componentkeuze en uitvoering Symbool op schakelaar voor positief openende contacten. EN-IEC 60947-5-1. 2014 FUSACON B.V. - www.fusacon.nl Page 37
Contactuitbreiding veiligheids-plc 2014 FUSACON B.V. - www.fusacon.nl Page 38
Is deze component geschikt? 2014 FUSACON B.V. - www.fusacon.nl Page 39
Deze variant is niet geschikt Schakeling met twee hulprelais van het fabrikaat SMITT type M2-L-D024, zonder mechanische gedwongen contacten volgens de norm EN 50205:2002 type A. (Nederlandse titel: Relais met gedwongen schakelende contacten. Engelse titel: Relays with forcibly guided (mechanically linked) contacts). Het hulprelais van het fabrikaat SMITT type M2-L-D024 is middels een hendel aan de buitenzijde eenvoudig te forceren in de ingeschakelde stand. Dit relaistype is daarom ongeschikt voor gebruik in veiligheidscircuits. 2014 FUSACON B.V. - www.fusacon.nl Page 40
Deze variant is WEL geschikt! SMITT heeft wel een range relais met mechanisch verbonden contacten, namelijk de range D-BW. 2014 FUSACON B.V. - www.fusacon.nl Page 41
Veilige lampstroombewaking Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) 2014 FUSACON B.V. - www.fusacon.nl Page 42
Informatie voor gebruiksfase Gedachten van (sommige) fabrikanten. Wat zeggen de SIL en PL normen? 2014 FUSACON B.V. - www.fusacon.nl Page 43
Informatie voor gebruiksfase De SIL norm (EN 62061:2005) geeft in hoofdstuk 7: Information for use.* De PL norm (EN-ISO 13849-1:2008) geeft in hoofdstuk 11: Information for use.* * IFU: Informatie over besturingstechnische veiligheidsfuncties, die minimaal door de fabrikant ter beschikking moet worden gesteld aan de gebruiker. 2014 FUSACON B.V. - www.fusacon.nl Page 44
Informatie voor gebruiksfase Inzage in de normtekst. (niet in syllabus) 2014 FUSACON B.V. - www.fusacon.nl Page 45
Informatie voor gebruiksfase Lichtscherm beveiliging AAN/UIT? Een nette schakelkast of toch niet!? Mogelijk (dodelijke) oplossing 2014 FUSACON B.V. - www.fusacon.nl Page 46
Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen Veiligheids specificatie (SRS) hardware Validatie Validatietests Gevalideerde hardware SRECSarchitectuur Hardwarearchitectuur Subsysteem ontwerp Integratietests [componenten, subsystemen & PE] Integratietests [Subsysteem] Leverbaar Verificatie Detailontwerp HW Bouwen Detailontwerp tests 2014 FUSACON B.V. - www.fusacon.nl 47
Hardware Design Specification Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) 2014 FUSACON B.V. - www.fusacon.nl Page 48
Wettelijke eisen zijn duidelijk. Functional Safety Management. Ontdekken systematische fouten is het belangrijkste. Zeker in de machinebouw!! Verificatie en validatie: Check, check, double check. Resumé VRAGEN? 2014 FUSACON B.V. - www.fusacon.nl Page 49
Activiteiten FUSACON B.V. 2014 FUSACON B.V. - www.fusacon.nl Page 50
Uw KennisPartner FUSACON levert docenten aan: NEN, PAO Techniek en Mikrocentrum FUSACON is lid van: Nederlandse Vereniging Van Veiligheidskundigen (NVVK) Working Equipment Safety Platform (WESP) Safety Cluster Foundation Nationale normcommissie NEC 44 (o.a. NEN-EN-IEC 60204-1) Internationale werkgroep IEC/TC 44 WG7: IEC 62061:2005 (SIL) 2014 FUSACON B.V. - www.fusacon.nl Page 51
Nick de With ing. Nick de With, Senior Safety Consultant E nickdewith@fusacon.nl T +31 347 352519 M +31 6 11 915 917 FUSACON B.V. Functional Safety Consultants Nederland Vogelenzangseweg 20 4124 AS Hagestein http://www.fusacon.nl Specialisatie: Industriële automatisering Auteur: Veiligheid van machines (sinds 1994) Diverse artikelen + Handboek Machineveiligheid Gecertificeerd als: TÜV Functional Safety Engineer 2014 FUSACON B.V. - www.fusacon.nl Page 52