Functionele veiligheid EN ISO 13849-1 Auteur: Dirk Van Mechelen Versie: 2010
Wat doet Prosave? Ingenieursbureau voor technische veiligheid en preventie. Begeleiding, opleiding en expertise. dirk.vanmechelen@prosave.be 2
Agenda Inleidende begrippen in verband met functionele veiligheid Beschrijving categorieën EN 954-1 Performance level berekenen volgens EN ISO 13849-1 Stuurkringen ontwerpen volgens EN ISO 13849-1 Toelichting van Sistema software. 3
Inleiding De bestaande norm EN954-1 betreffende stuurkringen van machines zal nog slechts geharmoniseerd zijn tot het einde van 2011. De twee nieuwe normen, EN ISO 13849-1 en EN IEC 62061, hebben een andere benadering om stuurkringen van machines met een veiligheidsfunctie te ontwerpen en implementeren. Daar waar EN 954-1 de zaken eerder deterministisch benadert, zullen zijn opvolgers een eerder probabilistische koers gaan varen. 4
Inleiding Veiligheidsfunctie Functie van een machine waarvan een storing kan leiden tot een onmiddellijke toename van het (de) risico(s). (uit EN ISO12100-1) Voorbeelden: starten, stoppen, noodstop, hekbewaking, lichtscherm, tweehandenbediening Besturingssysteem met een veiligheidsfunctie Deel of onderdeel van een besturingssysteem dat reageert op ingangssignalen en dat uitgangssignalen met een veiligheidsfunctie genereert. 5
Voorbeelden Standaard immateriële beveiligingen lichtscherm scanner fotocellen 6
De Europese Richtlijn "Machines : Structuur Artikel 1 Artikel 2 Artikel 5 Artikel 7 Artikel 12 Artikel 13 Artikel 16 Toepassingsgebied Definities In de handel brengen en in bedrijf stellen Vermoeden van overeenstemming en geharmoniseerde normen Procedures voor de overeenstemmingsbeoordeling van machines Procedure voor niet voltooide machines CE-markering Bijlage I Essentiële veiligheids- en gezondheidseisen betreffende het ontwerp en de bouw van machines Bijlage II Bijlage III Bijlage IV Bijlage V Bijlage VI Bijlage VII Bijlage IX Bijlage X Verklaringen van overeenstemming CE-markering Potentiëel gevaarlijke machines Lijst van veiligheidscomponenten Montagehandleiding voor niet voltooide machines Technisch dossier & technische documenten voor niet voltooide machines EG type onderzoek Volledige kwaliteitsborging 7
Structuur van bijlage I Algemene beginselen 1. Essentiële veiligheids- en gezondheidseisen 1.1. Algemeen 1.2. Besturingssystemen 1.3. Beveiliging tegen mechanische gevaren 1.4. Vereiste kenmerken van de afschermingen en beveiligingsinrichtingen 1.5. Risico s ingevolge andere gevaren 1.6. Onderhoud 1.7. Informatie 2. Aanvullende veiligheidseisen voor bepaalde categorieën machines 2.1. Machines voor voedingsnijverheid en cosmetica, pharmacie 2.2. Met de hand vastgehouden en/of geleide draagbare machines 2.3. Machines voor de bewerking van hout en vergelijkbare materialen 3. Aanvullende eisen ivm de risico's te wijten aan de mobiliteit van machines 4. Aanvullende eisen ivm risico's te wijten aan hijs- en hefverrichtingen 5. Machines uitsluitend bestemd voor ondergrondse werkzaamheden 6. Aanvullende eisen ivm gevaren verbonden aan het heffen van personen 8
MRL: Bijlage I: Fundamentele Veiligheids- en gezondheidseisen 1.2. Besturingssystemen 1.2.1. Veiligheid en betrouwbaarheid van de besturingssystemen 1.2.2. Bedieningsorganen 1.2.3. In werking stellen 1.2.4. Stopinrichtingen Normale stopzetting Operationele stop Noodstop Complexe machines 1.2.5. Keuze van de bedienings- of bedrijfsmodus 1.2.6. Defecten in de energievoorziening 9
Geharmoniseerde normen: gebruik Richtlijn van «Nieuwe aanpak», geeft slechts doelstellingen, wel verplichtend! Normen vullen deze doelstellingen technisch in. Niet verplichtend, wel aangeraden. Kwaliteitsgericht. Geharmoniseerde norm geeft vermoeden van conformiteit Ontwikkeld door CEN/CENELEC in opdracht van de Europese Commissie 10
Normen in verband met stuurkringen EN 954-1: 1996 Safety of machinery - Safety related parts of control systems - Part 1 : General principles for design. (Geharmoniseerd tot 30-11-2011) EN 954-2 - Part 2 : Validation EN ISO 13849-1: 2006 Safety of machinery - Safety related parts of control systems - Part 1 : General principles for design. (Geharmoniseerd vanaf 8-05-2007) EN ISO 13849-2 - Part 2 : 2003 Validation (Geharmoniseerd vanaf 20-4-2004) EN IEC 62061: 2005 Safety of machinery - Functional safety of safety-related electrical, electronic and programmable control systems (Geharmoniseerd vanaf 31-12-2005) EN 60204-1 Safety of machinery - Electrical equipment of industrial machines - Part 1 : General requirements (Geharmoniseerd) ISO/CD 14119 Safety of machinery Interlocking devices associated with guards Principles for design and selection (EN 1088) (werkdocument) 11
Verband tussen andere relevante normen Fig 1 uit IEC 62061
EN954-1: Algemeen Type B-norm, geldig voor alle machines (veiligheidsaspect) Wordt naar verwezen door product normen (C-norm) Niet technologie gebonden (elektrisch, mechanisch, pneumatischn hydraulisch) Definiëert 5 categorieën Categorieën hebben klassificatie naar hun functie om fouten te weerstaan, gebaseerd op basis van betrouwbaarheid en/of architectuur van de onderdelen Houdt geen rekening met mogelijk falen van deze onderdelen gedurende hun life cycle => nieuwe benadering in EN ISO 13849-1 en EN IEC 62061. 13
EN954-1: Beveiligingscategorieën 5 categorieën: B: basis 1: gebruik van veiligheidsbeproefde componenten en systemen 2: periodische controle van de veiligheidsfunctie 3: een enkele fout leidt niet tot het verlies van de veiligheidsfunctie, en de enkele fout moet in de mate van het mogelijke worden gedetecteerd 4: een enkele fout leidt niet tot het verlies van de veiligheidsfunctie, en de enkele fout wordt gedetecteerd voor volgende behoefte 14
Categorie B (Basis) Besturingssystemen zijn gebouwd volgens geldende normen in functie van de te verwachten uitwendige invloeden. Er is mogelijk verlies van de veiligheidsfunctie Niet geschikt voor veiligheidstoepassingen. 15
EN954-1: Categorie B Electronisch Werking: - bewegingen worden gestuurd door eenkanalige logica als een functie van sensoren - De veilige werking vervalt bij ieder falen van een component. - Veiligheid = f(componenten) - Er is geen foutdetectie Well tried principle : - De reactie wordt terug ingelezen en in geval van twijfel wordt stilstand uitgevoerd - Bestemd tegen industriele omgevingen 16
Categorie 1 Idem als categorie B, maar mits gebruik te maken van beproefde componenten en veiligheidsprincipes. bv. dwangmatig openende contacten, gesloten kring. Geeft een grotere bedrijfszekerheid maar er is mogelijks verlies van de veiligheidsfunctie. Mag gebruikt voor veiligheidstoepassingen 17
EN954-1: Categorie 1 Electro mechanisch Werking: - Gevaarlijke beweging gestopt met noodstopdrukker - Noodstop onderbreekt K1 Well tried principle : - Gesloten keten - Noostop en O gedwongen aktie - Aarding - K1 is een well tried component 18
Categorie 2 Als categorie B,+ beproefde veiligheidsprincipes maar met periodische controle door het besturingssysteem, besturingssysteem automatisch of manueel opgestart Een fout wordt gedetecteerd bij iedere test. Tussen twee tests is de veiligheidsfunctie niet gewaarborgd. 19
EN954-1: Categorie 2 Electronisch Werking : - Bewegingen gestuurd in functie van de signaalgever - testen van de veiligheids functies bij opstart en tijdens werking. Well tried principle : - tweede onafhankelijk pad om te stoppen Ventilatie van een drukpers om explosiegevoelige atmospheer te vermijden - In ventilatiekanaal een onderdrukmeting plaatsen - Bij opstart motor ON-OFF-ON en onderdruk inlezen 20
Categorie 3 Als categorie B, + beproefde veiligheidsprincipes. Eén enkele fout leidt niet tot verlies veiligheidsfunctie. Indien mogelijk wordt een enkelvoudige fout gedetecteerd. Meervoudig, niet gedetecteerde fouten leiden tot verlies van veiligheidsfunctie 21
EN954-1: Categorie 3 Electro mechanisch Werking: - combinatie van NO en NC contacten - Start na hek open-dicht Well tried principle : - niet fraudeerbaar (S2) - 1 fout, blijft werken - meeste fouten worden gedetecteerd - K1 en K2 met mechanisch gelinkte contacten - draden naar de schakelaars zijn gescheiden 22
EN954-1: Categorie 3 Electro mechanisch Werking: - combinatie van NO en NC - falen van S1 en S2 opgemenkt in de PLC - fouten in K1 en PLC worden niet opgemerkt Well tried principle : - S1 met positieve aktie (EN1088) - draden van de eindeloop schakelaars zijn afzonderlijk of beschermd. 23
Categorie 4 Als categorie B, + beproefde veiligheidsprincipes. Eén enkele fout leidt niet tot verlies veiligheidsfunctie en de enkelvoudige fout wordt gedetecteerd voor of tijdens het volgend gebruik van de veiligheidsfunctie. Meervoudige fouten leiden niet tot verlies van de veiligheidsfunctie 24
EN954-1: Categorie 4 Electro mechanisch HEKBEWAKING 25
EN954-1: Categorie 4 Electronisch Werking: twee onafhankelijke kanalen, foutdetectie door vergelijking v/d twee kanalen Well tried principles: diodes om de ingangen te ontkoppelen 26
EN ISO 13849-1 Safety of machinery - Safety-related parts of control systems-part 1: General principles for design 27
EN ISO 13849-1 EN ISO 13849-1: 2006 Safety of machinery Safety-related parts of control systems Part 1: General principles for design Part 2: Validation Part 100: Guidelines for the use and application of ISO 13849-1 [Technical Report] Part 1 geeft vermoeden van overeenstemming met EVGE 1.2.1 (betrouwbaarheid) 28
EN ISO 13849-1: definities Safety-related parts of control systems (SRP/CS) : Delen van de machine automatisering (control system) die bestemd zijn om veiligheidsfuncties uit te voeren. Performance levels (PL): Duidt de mogelijkheid om de veiligheidsfunctie onder voorzienbare omstandigheden te vervullen aan. Is verdeeld in vijf niveaus, welke gekenmerkt worden door een kans op gevaarlijk falen per uur. (probability of dangerous failure per hour, PFHD). Nota: het gebruik van programmatuur bij de implementatie van veiligheidsfuncties wordt niet toegelicht in deze korte presentatie. 29
EN ISO 13849-1: Performance Levels (PL) Performance level (PL) is een discreet niveau, gedefinieerd in kans op gevaarlijk falen per uur. Er zijn 5 niveaus bepaald (PLa tot PLe) met gedefinieerde bereiken van kans op gevaarlijk falen per uur. 30
EN ISO 13849-1 31
EN ISO 13849-1 De kans op een gevaarlijk falen wordt bepaald door: Diagnostic Coverage (DC) (mechanisme van foutdetectie) Mean Time To dangerous Failure (MTTFd) (betrouwbaarheid van componenten) Common Cause Failure (CCF) (fout van meer dan 1 component met gezamelijk oorzaak) Om het behaalde PL niveau te evalueren wordt een methode voorgesteld die gebaseerd is op de definitie van vijf architecturen. Deze worden worden Categories B, 1, 2, 3 and 4 genoemd. 32
EN ISO 13849-1 Het PL en de categorieën kunnen worden toegepast op: : SRP/CS zoals Beschermende voorzieningen (vb. Tweehanden bediening of blokkeerinrichting), ESPD zoals lichtschermen, drukmatten, etc. Besturingseenheid (vb. veiligheidsrelais, data processor, etc. ), en Vermogen besturingselementen (vb. contactor, hydraulische kleppen, etc). maar ook op besturingssystemen met een veiligheidsfuntie voor allerhande machines (vb. Inpakinstallatie, drukpers, plooibank). 33
Ontwerp van SRP/CS Een typische veiligheidsfunctie bestaat uit: Ingangen, sensors Logische verwerkingseenheid (vb. PLC) Uitgangen, actuatoren Verbindingen, bedrading 34
Ontwerp van SRP/CS Na identificatie van de te realiseren veiligheidsfuncties: Volgende stappen dienen te worden uitgevoerd voor iedere veiligheidsfunctie 1. 2. 3. 4. 5. 6. 7. Bepaal PLr Bepaal de structuur (bepaal de architectuur) Bepaal MTTFd Bepaal DC Bepaal CCF Verifieer of het behaalde PL groter is dan het gewenste PLr Valideer (zijn alle eisen vervuld) 35
Welke betrouwbaarheid nodig? Basis: risicograaf in bijlage van EN ISO 13849-1 bepaalt PLr C-normen Vb. EN ISO 10218-2: Robots for the industrial environments Safety requirements Part 2: Robot system and integration 36
Bepalen van het benodigde PLr Bijlage A: Ernst S1 schaafwonden, snijwonden, brandwonden S2 amputatie, niet reversibele verwonding Frequentie F1 slechts van tijd tot tijd F2 continue of regelmatig blootstelling Mogelijkheid tot ontwijken P1 slechs bij een realistische kans op ontwijken P2 indien niet zeker is dat risico kan worden ontweken 37
Continue beweging die afvalt bij het openen van een scherm, vb. deegkneder. S = S2 breuk van de voorarm of pols F = F2 meerdere malen per shift, wel kortstondig P = P1 want je ziet dat de beweging niet stopt? low Risk Bepalen van PL a P1 F1 P2 S1 Start b P1 F2 P2 c P1 Required Performance Level F1 P2 S2 P1 d P2 e F2 S: Severity of the injury F: Frequency of interaction P: Possibility to avoid danger High Risk 38
Procedure om PL te realiseren Gebaseerd op bepaalde architectuur, categorie. Categorie B, 1, 2, 3 of 4 PL is functie van : Architectuur MTTFd zoals categorie bij EN 954-1 DCavg CCF eisen vervuld? Dus verdere nuancering t.o.v. EN 954-1. Hoe betrouwbaar is de stuurkring an sich eigenlijk? Zal hij nooit falen? 39
Vereenvoudigde procedure om PL te bepalen 40
Categorie B I Im L Im O Geen diagnostic coverage (DCavg) Lage tot gemiddelde MTTFd CCF niet relevant Normaal één kanaal Gebruik van basis veiligheidsbeginselen Optreden van een fout kan tot verlies van de functie leiden Maximum Performance Level te realiseren = b 41
Categorie 1 I Im L Im O Zoals Categorie B, én Beproefde componenten en veiligheidsprincipes Veelvuldig en succesvol gebruikt in het verleden of Gemaakt volgens codes van goede praktijk voor veilgheidstoepassingen Hoge MTTFd CCF niet relevant en geen DCavg Normaal één kanaal Optreden van een enkele fout kan tot verlies van de functie leiden Maximum Performance Level te realiseren = c 42
Categorie 2 I Im L Im O Im OTE m TE Zoals Categorie B, beproefde veiligheidsprincipes én De werking zal regelmatig gecontroleerd worden door de machinesturing Bij opstarten en voorafgaand de initiatie van een gevaarlijke situatie De controle mag automatisch starten, leidt tot opstart indien geen fouten gedetecterd of genereert een controle actie DCavg is laag tot gemiddeld, MTTFd is laag tot hoog, maatregelen tegen CCF nemen Maximum Performance Level te realiseren = PLd 43
Categorie 3 I1 Im L1 m Im O1 c I2 Im L2 m Im O2 Zoals Cat. B, beproefde veiligheidsprincipes én Een enkele fout leidt niet tot verlies van de veiligheidsfunctie DCavg is laag tot gemiddeld, MTTFd is laag tot hoog, maatregelen tegen CCF nemen 44
Categorie 4 I1 Im L1 m Im O1 c I2 Im L2 m Im O2 Zoals Cat. B, beproefde veiligheidsprincipes én Een enkele fout leidt niet tot verlies van de veiligheidsfunctie én De enkele fout wordt gedetecteerd bij of voor de volgende bevraging DCavg is hoog, MTTFd is hoog, maatregelen tegen CCF nemen 45
Overzicht verschillende Categorieën 46
Bepalen van het PL Het PL van de SRP/CS wordt bepaald door inschatting van volgende aspecten: Architectuur De MTTFd waarde voor afzonderlijke componenten; De DC; De CCF; Het gedrag onder foutcondities; Systematisch falen 47
Mean time to dangerous failure MTTFd MTTF gaat ervan uit dat ieder systeem faalt als je maar lang genoeg wacht De MTTF is benaderend de tijd tot 63 % van de componenten faalt Er zijn drie niveau s van MTTFd voor ieder kanaal gedefiniëerd 48
Mean time to dangerous failure MTTFd Om de MTTFd te bepalen zijn er drie methoden Data van de fabrikant Methoden uit Bijlage C en D van de norm Kies 10 jaar. 49
Diagnostic coverage (DC) DC is een maat voor de effectiviteit van de diagnose DC wordt bepaald als de verhouding tussen vastgestelde gevaarlijke falingen en het totaal aantal gevaarlijke falingen Er zijn vier niveau s van DC gedefiniëerd 50
Diagnostic Coverage DC Voorbeelden om DC in te schatten 51
Diagnostic Coverage DC Voorbeelden om DC in te schatten 52
Common Cause Failure (CCF) Bijlage F (informatief) geeft een methode om te verifiëren of de gemeenschappelijke mode faalwijzen voldoende beheerst zijn. Score moet 65 of beter zijn. 53
Ontwerp van veiligheidsfuncties door combinatie van SRP/CS De veiligheidsfunctie bestaat uit verschillende SRP/CS: Ingangen: Cat. 2 PLc lichtscherm Logische verwerkingseenheid: Cat. 3 PLd PLC Uitgangen, actuatoren: Cat.1 PLc hydraulische klep 54
Combinatie van SRP/CS om PL te realizeren Een veiligheidsfunctie kan men realiseren door een combinatie van SRP/CS Vb. Ingang, verwerking, uitgang Deze SRP/CS kunnen tot verschillende categorieën behoren. WERKWIJZE: De SRP/CS met laagste PL wordt PLlow Nlow is aantal SRP/CS met PL= PLlow Hoe vaak komt Nlow voor? Lees af in tabel 11 wat PL wordt. 55
Ontwerp van complexe veiligheidsfuncties Blokmethode Minder geschikt als eenvoudige componenten naast complexe veiligheidsmodules gebruikt worden Voor complexe met elkaar verweven SRP/CS (Voorbeeld B uit bijlage I) 56
Voorbeeld: Afscherming met blokkeerinrichting De blokkeerinrichting wordt op volgende manier uitgewerkt: 1) 2) 3) Ingangen uitgevoerd met twee veiligheidscontacten (NZ van Euchner), Logica door een veiligheidsrelais (ESA4 van Phoenix) en Twee contactoren (3RT van Siemens) als vermogenschakelelement, Voor de veiligheidsfuncties geldt: De gevaarlijke beweging stopt als de afscherming geopend wordt, door afschakelen van de electromotor. PLr = d omdat S=S2, F=F1, P=P2 57
Schema van de veiligheidsfunctie S1 en S2: Schakelaar type NZ van de firma Euchner Veiligheidsrelais type ESA4 van de firma Phoenix K1 en K2: Contactor type 3RT van de firma Siemens 58
Voorbeeld: Ingang Input zijn twee schakelaars van het merk Euchner 59
Voorbeeld: Ingang Mean time to dangerous failure MTTFd Gebaseerd op aantal cycli tot 10 % van de componenten gevaarlijk falen (B10d) B10d wordt bepaald door de fabrikant volgens normen. Met nop aantal operaties per jaar, MTTFd wordt : En met hop gemiddeld gebruik in uur/dag dop gemiddeld gebruik in dagen/jaar tcycle gem. tijd tussen begin twee cycli 60
Voorbeeld: Ingang Mean time to dangerous failure MTTFd B10 d ( K ) = 30.000.000 nop = d op hop 3600 hs MTTFdK = tcycle 250d 16h 3600 hs = = 144.000 100 s B10 d 30.000.000 = = 2083,3 jaar = hoog 0.1 nop 0.1 144.0000 61
Voorbeeld: Ingang Mean time to dangerous failure MTTFd De gebruiksduur van de component wordt begrensd tot T10d, de gemiddelde tijd tot 10 % van de componenten gevaarlijk faalt. Dan wordt de maximale levensduur begrenst tot 208 jaar, praktisch tot 20 jaar 62
Voorbeeld: Ingang MTTFd = hoog Diagnostic Coverage (DC) DCInput = 99% NO en NC contacten met gelinkte bediening (tabel E1) DCInput = hoog CCF? > 65 Categorie 4 PL = e 63
Voorbeeld: Veiligheidsrelais Logic wordt uitgevoerd met een ESA4 veiligheidsrelais 64
Voorbeeld: Uitgang Output wordt uitgevoerd met twee relais 65
Voorbeeld: Uitgang Mean time to dangerous failure MTTFd B10 d ( K ) = 10.000.000 nop = d op hop 3600 hs MTTFdK = tcycle 250d 16h 3600 hs = = 144.000 100 s B10 d 10.000.000 = = 694 jaar = hoog 0.1 nop 0.1 144.000 66
Voorbeeld: Uitgang Mean time to dangerous failure MTTFd De gebruiksduur van de component wordt begrensd tot T10d, de gemiddelde tijd tot 10 % van de componenten gevaarlijk faalt. Dan wordt de maximale levensduur begrenst tot 70 jaar (practisch 20 jaar)!!! 67
Voorbeeld: Uitgang MTTFd = high Diagnostic Coverage (DC) DCoutput = 99% Redundant afschakelen met test door logica (tabel E1) DCoutput = high CCF? > 65 Categorie 4 PL = e 68
Voorbeeld: Afscherming met blokkeerinrichting Ingang : PL = e Logica : PL = e Uitgang : PL = e PL = e 69
EN ISO 13849-2 Validation 70
Validatie Het doel van het validatieproces is aan te tonen dat de specificatie en conformiteit van de SRP/CS past binnen de algemene veiligheidsvereisten van de machine. Hiertoe zal men voor ieder veiligheidsonderdeel aantonen of het voldoet aan EN ISO 13849-1, met in het bijzonder: De veiligheidskenmerken van de veiligheidsfuncties zoals bedoeld in het ontwerp en De eisen gesteld aan de gekozen categorie. Validatie dient te gebeuren door onafhankelijke personen (moet niet derde partij zijn) Validatie kan door Analyse en/of Testen 71
Validatie - Technologie Onderstaande tabel geeft een overzicht van de inhoud van EN ISO 13849-2 Gebruikte technologieën Basis veiligheidsprincipes Beproefde veiligheidsprincipes Beproefde componenten Mogelijke fouten en fouten uitsluitingen 72
Validatie - Technologie 73
Validatie - Technologie 74
Sistema 75
Sistema www.dguv.de/ifa/de/pra/sistema/index.jsp (download versie 1.1.2) 76
Besluit Gebruik van EN 13849-1 bouwt verder op de kennis van EN 954-1, Eenvoudigde methode om veiligheidsfuncties samen te stellen indien voldoende gegevens beschikbaar zijn van de fabrikant, Alle C-normen worden herschreven naar PL en/of SIL. Geeft mogelijk problemen indien beide normen (PL en SIL) noodzakelijk blijken, Nog veel vragen uit de industrie hoe men veiligheidsfuncties omzet in blokdiagrammen. Andere normen stellen bijkomende eisen in verband met het gebruik van PL. 77
ISO/CD 14119 9.3 Assessment of mechanical faults An interlocking system with required PL e in accordance with ISO 13849-1 or SIL3 in accordance with IEC 62061 will need to incorporate a minimum fault tolerance of 1 (e.g. two conventional mechanical position switches) in order to achieve this level of performance since it is not normally justifiable to exclude faults, such as, broken switch actuators. However, it may be acceptable to exclude faults, such as short circuit of wiring within a control panel designed in accordance with relevant standards. The same applies for PL d and SIL2 unless a full justification is provided in accordance with ISO 13849-1 or IEC 62061. For applications using interlocking devices with automatic monitoring to achieve the required diagnostic coverage needed for the required PL, a functional test (see IEC 60204-1:2005, 9.4.2.4) can be carried out every time the device changes its state, e. g. at every access. If, in such a case, there is only infrequent access, the interlocking device shall be used with additional measures such as conditional guard unlocking (see Figure 4 b)), as between consecutive functional tests the probability of occurrence of an undetected fault is increased. When infrequent access is foreseeable a manual functional test to detect a possible accumulation of faults shall be made within the following test intervals: at least every month for PL e with category 3 or category 4 (according to ISO 13849-1) or SIL 3 with HFT = 1 (according to IEC 62061); at least every 12 months for PL d with category 3 (according to ISO 13849-1) or SIL 2 with HFT = 1 (according to IEC 62061).
Dank voor uw aandacht PROSAVE Churchilllaan 54 b 3 2900 Schoten T: 03/645 75 86 F: 03/248 27 75 M: 0475/86 91 14