Risicograaf voor SIL en PL

Risicograaf voor SIL en PL 1. NORMEN VOOR MACHINES... 2 2. OPMERKINGEN... 3 3. PROBLEEMSTELLING... 3 3.1 RISICOBEOORDELING VAN MACHINES EN PROCESINSTALLATIES... 4 3.2 RISICOREDUCERENDE MAATREGELEN... 4 3.4 SPECIFIEKE NORMEN VOOR HET ONTWERP VAN AUTOMATISCHE SYSTEMEN MET EEN VEILIGHEIDSFUNCTIE.5 3.5 DEFINITIE VAN AUTOMATISCHE VEILIGHEIDSFUNCTIE EN AUTOMATISCH... 6 VEILIGHEIDSSYSTEEM... 6 3.6 RISICOBEOORDELING EN CLASSIFICATIE VAN EEN SIF... 7 4 HET EFFECT VAN FOUTEN TIJDENS HET ONTWERPPROCES VAN SIFS... 7 5 RISICOBEOORDELING VAN EEN MACHINE... 8 5.1 DE INVLOED VAN EEN MACHINE OP VEILIGHEID... 8 5.2 DE INVLOED VAN EEN PROCESINSTALLATIE OP VEILIGHEID... 9 5.3 VERSCHIL IN RISICOGRAFEN VOOR DE BEOORDELING VAN HET... 10 VEILIGHEIDSRISICO VAN MACHINES EN PROCESINSTALLATIES... 10 6 HET BEPALEN VAN HET SAFETY INTEGRITY- OF PERFORMANCE LEVEL... 10 MET BEHULP VAN EEN RISICOGRAAF... 10 6.1 HET TOEPASSEN VAN EEN RISICOGRAAF VOOR MACHINES... 11 6.1.1 De keuze van de risicograaf... 11 6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid... 13 6.1.3 Bepaling van de kans op schade met een bepaalde ernst... 13 BIJLAGE A... 16

1. Normen voor machines Hoeveel normen bestaan er eigenlijk voor machines? En wat voor typen normen zijn er? Er bestaan om precies te zijn 728 normen voor machines, waarvan zo n 150 geharmoniseerde EN normen. Dit zijn normen die invulling geven aan de fundamentele veiligheidseisen uit de Europese Richtlijnen. Ze zijn herkenbaar aan de letters EN in de naam, bijvoorbeeld NEN- EN-IEC 60204. Het gebruik van een geharmoniseerde norm leidt tot het vermoeden van overeenstemming met de overeenkomstige Europese richtlijn. Elke geharmoniseerde norm is gepubliceerd in het Official Journal van de de Europese Unie. In grote lijnen kunnen de normen voor machines in drie categorieën worden ingedeeld, Type A, Type B en Type C. In de top van de pyramide zitten de zeer generieke basis veiligheidsnormen volgens Type A, zoals de bekende EN 1050 (risicobeoordeling). In het midden van de pyramide zitten de wat minder algemene Type B-normen, zogeheten Safety Group Standards, zoals EN 954-1, EN 60204-1 en EN 574. (B1 -> normen i.v.m. veiligheidsaspecten bv veiligheidsafstanden, B2-> normen i.v.m. veiligheidsvoorzieningen bv noodstop) In de basis van de pyramide bevinden zich de specifieke Type C-normen, de Machine Safety-normen. Deze normen geven voor concrete machines zeer specifieke bepalingen en bieden in het algemeen de beste ingang om aan de Europese regels te voldoen ISO algemene normen (International Organization for Standardisation) IEC enkel voor elektrisch CEN europese normen Wijziging van normen EN 1050 -> EN 14121 Risicoanalyse A-norm EN 418 -> EN ISO 3850 Noodstop EN 954 -> EN ISO 13849 PL (Performance level) B-norm -> IEC 61508 SIL (Safety Integrity Level) 61511 en 62061 EN 292-1 -> EN ISO 12100 machineveiligheid (bv hekken) -2 (-1 en -2)

2. Opmerkingen De belangrijkste conclusies en aanbevelingen bij het bepalen van het SIL of PL: - Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase van machines en installaties. - Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de uitvoering van een SIL of PL bepaling. - Een volledige rapportage met een goede onderbouwing van de SIL en PL bepalingen is essentieel. 3. Probleemstelling Vanuit de diverse wetgeving wordt de eis gesteld om risico s te inventariseren, evalueren en risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico s bij het toepassen van arbeidsmiddelen als machines en procesinstallaties. Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen, bestaande uit een risicobeoordeling en het nemen van risicoreducerende maatregelen. Figuur 1 Ontwerpproces risicoreducerende maatregelen

3.1 Risicobeoordeling van machines en procesinstallaties Voor het uitvoeren van een risicobeoordeling van machines of procesinstallaties worden diverse tools toegepast. Voorbeelden van dergelijke tools zijn: HAZOP Hazard & Operability Study (procesinstallaties) FME(C)A Failure Mode and Effects (and Criticality) Analysis (machines) What-If analyse NEN1050 Checklist machinerichtlijn Bij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houden met de veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur, inclusief fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diverse gebruiksstadia, zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke. Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaat van de risicobeoordeling. 3.2 Risicoreducerende maatregelen Het nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in twee mogelijkheden worden ingedeeld: inherent veilige maatregelen preventieve maatregelen, voorkomen van het gevaar beschermende maatregelen beheersing van het risico en controleren van de effecten Bij inherent veilige maatregelen worden de gevaren weggenomen of de risico s afdoende verkleind door het wijzigen van het ontwerp, zonder gebruik te maken van beschermende maatregelen. Anders gezegd: de machine of installatie wordt dusdanig gewijzigd dat het gevaar niet meer bestaat of het risico tot een acceptabel niveau is teruggedrongen. Extra beschermende maatregelen kunnen bij falen of bij aanspreken het proces verstoren. Of er ontstaat en risicovolle situatie door falende veiligheidsmaatregelen. Hierdoor hebben inherent veilige maatregelen de eerste keus. Een voorbeeld: de druk in een drukvat kan bij een verstoring van het proces dusdanig oplopen dat het drukvat openbarst. Als beschermende maatregel zouden beveiligingen kunnen worden toegepast om de druk te bewaken, te regelen of eventueel af te blazen. Als inherente beveiliging kan de ontwerpdruk van het vat dusdanig worden gekozen dat deze te allen tijde bestand is tegen de maximaal voorkomende procesdruk. Een andere inherent veilige oplossing kan wellicht gevonden worden in een andere procesvoering (mogelijk zelfs gebruik van andere grondstoffen of fysische waarden), zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het vat. Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg. Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatie of machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in de ontwerpfase op meerdere momenten een risicobeoordeling uit te voeren. beschermende maatregelen: Beheersing van de risico s 1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en automatische systemen met een veiligheidsfunctie) Controleren van de effecten 2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem) 3. Repressieve maatregelen (blussysteem, noodplan)

3.4 Specifieke normen voor het ontwerp van automatische systemen met een veiligheidsfunctie Voor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeld vanuit de IEC en de ISO, als aangegeven in onderstaand overzicht: Figuur 2 - Overzicht normen voor het ontwerp van systemen met een veiligheidsfunctie Van de IEC komt de norm 61508-1 t/m 7 (Functional safety of electrical /electronic / programmable electronic safety-related systems) [Norm 7] als basis voor de ontwikkeling en toepassing van alle elektrische/elektronische systemen (electrical / electronic / programmable electronic systems) die een veiligheidsfunctie uitvoeren. Deze uitgebreide norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur en veiligheidssoftware. Vanuit de 61508 zijn twee, beter hanteerbare, normen afgeleid, t.w.: 61511-1 t/m 3 (Functional safety - Safety instrumented systems for the process industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor procesinstallaties. 62061 (Safety of machinery Functional safety of safety-related electrical, electronic and programmable electronic control systems) [Norm 9], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor machines. (SRECS) Van de ISO komt de norm 13849-1 en 2 (Safety of machinery - Safety-related parts of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van veiligheidssystemen voor machines. (SRP/CS) De norm ISO 13849 heeft een vergelijkbare doelstelling als de norm IEC 62061. De nieuwere 13849 verwijst ook naar de 61508 / 62061 normen. Een belangrijk verschil in doelstelling is dat de IEC normen zich richten op elektrische/elektronische systemen terwijl de 13849 een breder kader heeft waaronder ook pneumatische- en hydraulische systemen. Verder wijken de toegepaste systematieken uit beide normen van elkaar af. Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen van besturingssystemen met een veiligheidsfunctie) algemeen toegepast voor het ontwerpen van een automatische veiligheidsfunctie met een machinetoepassing. De daarin voorkomende veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding op componenten en

worden in de praktijk nog wel toegepast. Deze norm is inmiddels vervallen en is vervangen door de NEN-EN-ISO 13849. 3.5 Definitie van automatische veiligheidsfunctie en automatisch Veiligheidssysteem Voor het juiste begrip is het van belang om een duidelijke definitie vast te stellen van de volgende twee begrippen: Automatische veiligheidsfunctie Automatisch veiligheidssysteem De automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe een bepaald vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctie wordt uitgevoerd door een automatisch veiligheidsysteem, ofwel de techniek die de functie uitvoert. In de normen uit de 61508 familie worden er verschillende definities gebruikt voor vergelijkbare veiligheidsfuncties: - 61511 Safety Instrumented Function (SIF) safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function. - 62061 Safety-Related Control Function (SRCF) control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate Increase of the risk(s). Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfuncties bestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de 61508 familie normen: - 61511 Safety Instrumented System (SIS) instrumented system used to implement one or more safety instrumented functions. A SIS is composed of any combination of sensor(s), logic solver(s), and final element(s). - 62061 Safety-Related Electrical Control System electrical control system of a machine whose failure can result in an immediate increase of the risk(s) De norm 13849 maakt geen specifiek verschil tussen een veiligheidsfunctie en een veiligheidssysteem en definieert het veiligheidssysteem als volgt: - 13849 Safety-related part of a control system (SRP/CS) part of a control system that responds to safety related input signals and generates safety related output signals

3.6 Risicobeoordeling en classificatie van een SIF Een belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordt aan de kans op falen van een SIF. Aan een SIF wordt een hoge mate van beschikbaarheid gesteld. Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1 geeft de beschikbaarheideis aan voor SIFs die werken in de zogenaamde continuous of high demand mode. Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 en maximaal 1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijke situatie. In een installatie met 1000 SIFs met dezelfde klasse mag er jaarlijks dan bij maximaal 9 SIFs een gevaarlijke situatie ontstaan door niet goed functioneren van de SIF! Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteit van de gebruikte componenten. Zowel de ISO als IEC gerelateerde normen kennen een aantal beschikbaarheidniveaus, afhankelijk van de norm genaamd: - ISO 13849 : PL Performance Level (gebruikt door machinebouwer) - IEC 61511 / 62061 : SIL Safety Integrity Level (gebruikt door fabrikanten veiligheidscomponenten en procesindustrie) Het is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet worden toegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF. Middels een gedetailleerde risicobeoordeling van het te reduceren risico wordt het PL of SIL niveau van een SIF bepaald. De drie normen stellen elk een eigen systematiek voor het uitvoeren van een risicobeoordeling voor. 4 Het effect van fouten tijdens het ontwerpproces van SIFs In het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces, zijn de volgende fasen te onderscheiden: 1. Risicoanalyse / Risico evaluatie effect fout groot 2. Risicobeoordeling SIF / bepaling SIL of PL 3. Ontwerp SIF / SIS effect fout kleiner

Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie (voor procesindustrie)) worden gevaren geïdentificeerd en risico s daarvan ingeschat. Bij het in kaart brengen van gevaren van machines en processen is de kans dat een gevaarscenario over het hoofd wordt gezien reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geen reducerende maatregel worden genomen. Een systematische aanpak met meerdere, ter zake kundige, personen met verschillende achtergrond kan een nauwkeurige inventarisatie van risico s opleveren. Nog meer nauwkeurigheid wordt verkregen door de risicoanalyse te herhalen. Bijvoorbeeld in verschillende fasen van het ontwerpproces. Minder gestructureerde methoden zoals bijvoorbeeld een what-if analyse of een FMEA geven meer kans op het niet signaleren van risico s. De kans op herstel van een vergeten risico is in principe alleen mogelijk bij een herhaalde analyse. Het effect kan zijn dat gevaarlijke situaties onbekend en onbeveiligd blijven, hetgeen kan leiden tot ernstige ongevallen. Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling. Een verkeerd bepaald SIL / PL leidt tot over- of onderbeveiliging. Bij een te hoog SIL / PL zal het SIS ontwerp een lagere foutgevoeligheid hebben dan de aard van de beveiliging vereist. Vooral bij complexe SIFs, waarbij bijvoorbeeld gebruik gemaakt wordt van geavanceerde meetapparatuur of productspecifieke afsluiters kan dit leiden tot hoge extra kosten. Overbeveiliging (of het gevoel van) is de oorzaak van wantrouwen bij eindgebruikers met een hoge verantwoordelijkheid voor kostenreductie. Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor fouten zijn dan de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij de beveiliging niet werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet of te laat worden opgemerkt. De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordeling zal opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij er aanleiding voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaak onderzocht wordt. Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces. De eisen die aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijn bepaald in de risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-out keuzes of rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen. Er volgt echter een validatie van het SIS, waarbij bepaald wordt of het ontworpen SIS voldoet aan de eisen van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie. 5 Risicobeoordeling van een machine 5.1 De invloed van een machine op veiligheid Een definitie van een machine is volgens de machinerichtlijn: Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen, bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de verpakking van een materiaal.

Een eenvoudige definitie van een machine is de volgende: Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm van beweging of energie kan omzetten. Typische mogelijke machine-eigenschappen die van invloed zijn op het veiligheidsrisico zijn: - Draaiende of anders bewegende onderdelen, - Grote snelheden - Grote krachten - Scherpe delen - Hete delen Typische machinegevaren zijn: - Beknellen van ledematen - Afrukken van ledematen - Snijden aan machinedelen - Branden aan hete oppervlakken - Geraakt worden door wegspringende onderdelen van product of machine - Elektrocutie - Brand Door het continu functioneren van de machine of het machineproces zijn gevaren constant of met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodra beveiligingsfuncties niet (meer) aanwezig zijn. In veel gevallen zijn de gevaren bekend en de risico s voorspelbaar. In mindere mate is er sprake van het ontstaan van risico s veroorzaakt door onvoorspelbare storingen. Machine SIFs functioneren daarom vooral in een zogenaamde continuous- of high demand mode of operation. De gevaareffecten hebben vooral betrekking op personen die direct aan de machine werken of in de directe nabijheid van de machine aanwezig zijn. Machinerisico s die groepen personen treffen mogen niet beveiligd worden door een enkele SIF. Reductie van het groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats. Vaak is het gevaareffect een direct gevolg van een handeling van een persoon en treft het deze persoon zelf. Door voorkomende bewegingen op hoge snelheden is het beperken van schade bij een optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleen mogelijk door in te grijpen voordat het gevaar werkelijk optreed. 5.2 De invloed van een procesinstallatie op veiligheid Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid: - Verwerking van stoffen met chemische eigenschappen - Ontstaan van reacties door het bewerken van stoffen - Giftige dampen - Explosie - Brand Typische procesgevaren zijn: - Vrijkomen van giftige, bijtende, brandbare stoffen of dampen - Vergiftiging - Verstikking - Verbranding - Brandgevaar - Explosiegevaar

Gevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogen niet met een grote frequentie of continu aanwezig zijn. Door onbekende of onverwachte verstoringen in het proces zijn niet alle gevaren voorspelbaar. Proces SIFs functioneren vooral in een zogenaamde low demand mode of operation. De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van de installatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeld een gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook van toepassing zijn op procesinstallaties. Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in de procesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing en het optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar (evacuatie van groepen) mogelijk is. 5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines en procesinstallaties Het verschil tussen het mogelijk effect van een machine-incident een proces-incident; samengevat: Machine: enkel persoon, vooral risico voor beschadiging ledematen Proces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door bijvoorbeeld vergiftiging, verstikking of verbranding. Verschillen in mogelijkheid van optreden gevaar: Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode), kleine kans om te ontsnappen of het effect te beperken. Proces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na (ver)storing van het proces (low demand mode), mogelijk voldoende tijd om te ontsnappen aan het effect, de schade te beperken of zelfs het gevaar te voorkomen. Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voor de risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage C en Bijlage D laten risicografen zien die vooral gericht zijn op de specifieke machine risico s. Bijlage E is een risicograaf voor procesinstallaties. 6 Het bepalen van het Safety Integrity- of Performance Level met behulp van een risicograaf De risicografen uit de normen maken allemaal gebruik van de definitie risico, als functie van het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijk optreedt: Risico = effect van het gevaar x kans van optreden

Middels de risicograaf worden het effect van het gevaar en de kans dat het effect optreedt bepaald. De resultante bepaalt de vereiste minimum risicoreductiefactor die de SIF moet realiseren. Weergegeven als het zogenaamde SIL of PL van de SIF. Een groot risico ernstige gevolgen en een grote kans van optreden), het donkerrode gebied in Figuur 6, mag niet middels een enkele SIF worden beveiligd. Het ontwerp dan dusdanig wijzigen dat dit risico niet voor kan komen. Bij een klein risico (lichte gevolgen en een kleine kans van optreden), het witte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een SIF worden ontworpen zonder specifieke risicoreductieeisen. In de praktijk heeft men de meeste moeite met het bepalen van de kans van optreden van een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd door een ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PL bepaald worden door de kans lager in te schalen. In dat geval dient de kans van optreden nauwkeurig te worden bepaald. Een verkeerde bepaling kan nare gevolgen hebben. 6.1 Het toepassen van een risicograaf voor machines 6.1.1 De keuze van de risicograaf Voor machines kan worden gekozen uit twee normen: IEC 62061 of IEC 13849. Beide normen hebben een eigen risicograaf (Bijlage C en Bijlage D). Tabel 4 uit de norm 13849-1 geeft de overeenkomst tussen de Performance Levels uit de norm en de Safety Integrity Levels uit de normenfamilie 61508 weer:

Met deze tabel zijn de resultaten van de risicobeoordeling van beide normen aan elkaar gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaat moeten leiden. In Bijlage G is een risicobeoordeling uitgewerkt voor een machine SIF met gebruik van de risicograaf uit de norm ISO 13849 en vervolgens nogmaals met de risicograaf uit de norm IEC 62061. De uitkomst is niet gelijk. De PL is c (SIL 1) terwijl de SIL op 2 (PL d) uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van het effect te bepalen. Om verschil te voorkomen is het van belang om één risicograaf te gebruiken, voor het bepalen van zowel de SIL en de PL van een SIF. In de figuur is te zien dat bij de PL het zwaartepunt bij het effect ligt. De kansinvloed is veel beperkter. Dit wordt mede veroorzaakt doordat de PL maar twee effectgradaties kent: reversible injury en irreversible injury. De effect (injury)-keuze is eenvoudig. De kansbepaling is beperkt en relatief eenvoudig (zie ook Bijlage C). Het resultaat is een relatief eenvoudig toe te passen risicograaf. De mogelijkheden om het risico ook afhankelijk te laten zijn van menselijke invloeden als bijvoorbeeld training, niveau en gedrag zijn te beperkt bij de PL risicograaf. Het gevolg kan zijn een onacceptabel lage beveiliging voor het gevaar van reversibele verwonding of een onnodig zware beveiliging bij gevaar voor irreversibele verwonding. De SIL risicograaf laat vooral in het veel voorkomende effectgebied van serieuze verwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat de

werkelijke SIL mede bepaald wordt door de kans van voorkomen parameters. Dat geeft meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen. Zowel voor het bepalen van het PL als het SIL van een machine is het advies te kiezen voor de risicograaf uit de IEC 62061 norm (Bijlage D). 6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen voor de gezondheid (Se-Severity factor): 6.1.3 Bepaling van de kans op schade met een bepaalde ernst De kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijk optreed is afhankelijk van de volgende drie factoren: - frequentie en duur van de blootstelling (Fr frequency) - mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability) - mogelijkheid om de schade te voorkomen of te beperken (Av avoiding)

Fr - frequentie en duur van de blootstelling Het inschatten van de frequentie en de duur van de blootstelling kan worden gedaan door met de volgende aspecten rekening te houden: - Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet alleen aan normale bedrijfsvoering, maar ook aan onderhoud, reparatie, storing, e.d.). - Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone (bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd product). Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en de Frfactor worden vastgesteld met behulp van onderstaande tabel: Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenis De mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door: - De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij is de betrouwbaarheid van de componenten, of - de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een gevaarlijke situatie. De Pr-factor kan worden bepaald met onderstaande tabel:

Av - mogelijkheid om de schade te voorkomen of te beperken De mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van de volgende factoren: - Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te signaleren en te ontwijken. - Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk is. Onderstaande tabel geeft de mogelijke Av-factoren weer:

Bijlage A Lijst met afkortingen ALARP As low as reasonably practicable; (ALARA - As low as reasonably achievable) The ALARP principle recommends that risks be reduced so far as is reasonably practicable, or to a level which is As Low As Reasonably Practicable. Bevi Besluit Externe Veiligheid Inrichtingen 2004 (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer). BRZO Besluit risico s zware ongevallen - 1999 (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer). CEN European Committee for Standardization EN Europese Norm HSE Health and Safety Executive (Britse veiligheid- en gezondheidsorganisatie vergelijkbaar met de Arbeidsinspectie) IEC International Electrotechnical Commission ISO International Organization for Standardization NEN Nederlandse Norm NEN Nederlands Normalisatie Instituut PL Performance Level SIL Safety Integrity Level SIF Safety instrumented function Safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function. N.B.: Tevens de gekozen afkorting voor automatische veiligheidsfuncties in dit rapport. SIS Safety Instrumented System Instrumented system used to implement one or more safety instrumented functions. An SIS is composed of any combination of sensor (s), logic solver (s), and final elements(s). N.B.: Tevens de gekozen afkorting voor automatische veiligheidssystemen in dit rapport. SRCF Safety-Related Control Function Control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s). SRECS Safety-Related Electrical Control System Electrical control system of a machine whose failure can result in an immediate increase of the risk(s). SRP/CS Safety-related part of a control system Part of a control system that responds to safety related input signals and generates safety related output signals.

Bijlage G Vergelijking risicobeoordeling volgens ISO 13849 en IEC 62061 De machine: In een installatie die een poedermengsel verwerkt tot een granulaat staat een zeefmolen om poederdeeltjes te verkleinen en te zeven. De machine wordt bediend door ervaren en getrainde procesoperators. Het gevaar van de machine is bekend bij de operators. Gemiddeld 3x per dag gaat het inspectieluik van de zeefmolen open om te controleren of het product niet aankoekt aan de molen. De controle duurt maximaal enkele minuten. Binnen een armlengte kan de molen geraakt worden. De molen draait met hoge snelheid in de zeef rond. Vingers kunnen worden gegrepen met verlies van vingers en zelfs een deel van de hand. Beveiliging: Het inspectieluik is niet beveiligd. Als het geopend wordt draait de zeefmolen door. De operators hebben de instructie om de zeefmolen eerst af te schakelen alvorens de molen te inspecteren. Risicobeoordeling: Om het luik te kunnen beveiligen met een SIF wordt het PL bepaald met behulp van de risicograaf uit de norm ISO 13849 (Bijlage C) en vervolgens het SIL bepaald met behulp van de risicograaf uit de norm IEC 62061 (Bijlage D). ISO 13849 S Ernst S2 Vingers en deel van de hand / deel arm kan afgerukt worden irreversibel F Frequentie en/of blootstelling aan gevaar F1 Cyclische handeling met een gemiddelde frequentie. Tijdsduur van handeling is kort. Het is niet nodig om arm in het apparaat te steken. P Mogelijkheid voorkomen of beperken schade P1 Mogelijkheid voorkomen of beperken schade Resultaat PL c

IEC 62061 Se Ernst 4 Significant irreversibel mogelijk verlies meerdere vingers en zelfs deel van de hand, waardoor het gebruik van de hand gelimiteerd wordt. Fr Pr Av Frequentie en duur scenario Mogelijkheid van optreden gevaarlijke gebeurtenis Mogelijkheid voorkomen of beperken van schade 4 3x per werkdag korter dan 10 minuten 2 Rarely - Omdat alleen gekeken moet worden en niet met de arm in het gat hoeft te worden gewerkt is de kans dat iemand zijn arm in het gat steekt erg klein. Omdat het niet ondenkbaar is dat in een reactie men snel iets uit de zeef grijpt mag hier niet gekozen worden voor niet mogelijk maar voor niet te verwachten. 1 Voorkomen gevaar mogelijk - hand hoeft niet in het gat gestoken te worden; alleen kijken. Operators zijn getraind en ervaren. Gevaar is zichtbaar en herkenbaar. Het is goed mogelijk om het gevaar te voorkomen. Cl Waarschijnlijkheidsklasse 7 = Fr + Pr + Av Resultaat SIL 2 Volgens onderstaande tabel uit de norm ISO 13849 stelt een PL c classificatie lagere beschikbaarheideisen aan de SIF dan een SIL 2 classificatie. In dit voorbeeld stelt de beoordeling met de ISO 13849 risicograaf dus lagere eisen aan de SIF dan de beoordeling met de IEC 62061 risicograaf. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van het effect te bepalen.

links machineveiligheid http://wiki.edulab.nl/(s(g215skfbgk4sug55tcf42dua))/links%20industrielle%20veiligheid.ashx