• Save
Martijn Drost - Pilz
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Martijn Drost - Pilz

on

  • 1,635 views

 

Statistics

Views

Total Views
1,635
Views on SlideShare
1,635
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Martijn Drost - Pilz Document Transcript

  • 1. SIL & PL De Praktijk… PL: D P ktijk Themadag Mikrocentrum 15 december 2012 Martijn Drost Teamleader Pilz Consultancy 1 15-12-2011 Themadag Mikrocentrum 2012 SIL & PL: Themadag Inhoudsopgave• Uitvoeren van SIL & PL berekeningen met PAScal  Tips & Tricks, bij gebruik PAScal  De case, blokschema’s  PAScal 2 15-12-2011 Themadag Mikrocentrum 2012
  • 2.  SIL & PL: Themadag Proces Tip 1…. 1: Bepaal de te nemen veiligheidsmaatregelen Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc. 3: Bepaal de vereiste betrouwbaarheid Dit is: PL required uit ISO 13849 / SIL uit IEC 62061 4: Maak een architectuur/component keuze PL: Figuur 5: Categorie, MTTFd, DC SIL: Tabel 5 (en 6), HFT en SFF 5: Ontwerp het veiligheidscircuit Aan de hand van de architectuur, de betrouwbaarheid en de diagnose mogelijkheden kan een veiligheidscircuit worden opgebouwd 6: Valideer de betrouwbaarheid van het systeem Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te komen. Wanneer dit niet het geval is dient een andere architectuur/component keuze te worden gemaakt. 7: Documenteer de gegevens in het TD Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de veiligheidscircuits te worden verzameld in het 3 15-12-2011 Themadag Mikrocentrum 2012 Technisch Dossier SIL & PL: Themadag Tips & Tricks• Tips & Tricks:  Gebruik uw verstand! Denk logisch na  Garbage in = Garbage out  Denk in blokschema’s!!  Maak gebruik van de data vanuit de de Sistema bibliotheken  Gebruik het resultaatoverzicht om de zwakste schakel te identificeren – Rood = Niet goed – Oranje = Er missen onderdelen – Groen = Goed!  Gebruik de workflow (evt.. de online help) voor het invoeren van een loop 4 15-12-2011 Themadag Mikrocentrum 2012
  • 3.  SIL & PL: Themadag Vereenvoudigd schemaNoodstop S2 Noodstoprelais K1 Reset S1 K3 K4 Hekschakelaar S3 Hekbewakingsrelais K2 Autoreset Stop K3 Start K4 K4 K3 K4 M 5 15-12-2011 Themadag Mikrocentrum 2012 SIL & PL: Themadag Blokschema Noodstop S2 Sensor Logic Actuator Noodstoprelais Noodstop K1 S2 K1.1 K3 DC in = 0% Reset S1 K3 DC out = 99% K1.2 K1 2 K4 K4 Sensor Logic Actuator HekbewakingHekschakelaar S3 DC in = 99% S3.1 K2.1 K3 DC out = 0% Hekbewakingsrelais K2 S3.2 K2.2 K4 Autoreset Stop K3 Start K4 K4 K3 K4 M 6 15-12-2011 Themadag Mikrocentrum 2012
  • 4.  SIL & PL: Themadag Blokschema - Verbetering Noodstop S2 Noodstoprelais K1 Autoreset Hekschakelaar S3 Hekbewakingsrelais K2 Autoreset Verzamelrelais K5 Reset S1 K3 K4Plaatsen verzamelrelais (K5): Stop K3-Terugmelding & Reset-Afvangen van inputsignalen Start K4 K4 K3 K4 M 7 15-12-2011 Themadag Mikrocentrum 2012
  • 5. Voorbeeld PL - MikrocentrumProject name Eplan Usergroup - WikkelaarSafety standard EN ISO 13849-1(PL)Author MDCompany name Pilz NederlandCompany address Havenweg 22 4131 NM Vianen 06 109 480 63Version 1.0Creation date May 3, 2011 8:18:34 PM CESTLast modified date May 6, 2011 3:16:15 PM CESTPilz PAScal Version v1.5.2 Build008Using Version 3.0 of the calculation algorithm in accordance with EN ISO 13849-1Using Version 3.0 of the calculation algorithm in accordance with EN/IEC 62061 Voorbeeld Performance Level - M.Drost 1/ 16Dec 13, 2011 9:51 AM
  • 6. Voorbeeld PL - MikrocentrumSRP/CS overviewSystem/Module Target PL Result CCF Factor PFHd Achieved PLNoodstop: Origineel d Target Not Achieved Target Not Achieved 1.17E-06 cNoodstop: Verbeterd d Target Achieved Target Achieved 7.14E-08 eDeurbewaking: Origineel d Target Not Achieved Target Achieved 1.17E-06 cDeurbewaking: d Target Achieved Target Achieved 5.40E-08 eVerbeterdDetails: Noodstop: OrigineelName Noodstop: OrigineelTarget PL dResult Target Not AchievedCCF Factor Target Not AchievedPFHd 1.17E-06Achieved PL cCCF resultSeparation/segregation Point(s):0/151 No (0)Diversity Point(s):0/202 No (0)Design/application/experience Point(s):0/203.1 No (0)3.2 No (0)Assessment/analysis Point(s):0/54 No (0)Competence/training Point(s):0/55 No (0)Environmental Point(s):0/356.1 No (0) Voorbeeld Performance Level - M.Drost 2/ 16Dec 13, 2011 9:51 AM
  • 7. Voorbeeld PL - Mikrocentrum6.2 No (0) Voorbeeld Performance Level - M.Drost 3/ 16Dec 13, 2011 9:51 AM
  • 8. Voorbeeld PL - MikrocentrumSubsystem details: Noodstop: OrigineelSubsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)] 100 test rate (Category 2)Subsystem 1 Sensor One1.1.1.1 - Double Contact 1.0 24 365 1 month(s) 20.00 None 0.00 No 76712328.77EmergencyStop - 3SB3400-0M[1] [***]Subsystem 2 Logic One1.2.1.1 - Sirius Single / Dual 1.0 - - - 20.00 None - No -Safety Relay - channel3TK2825-1BB40[2] [***]Subsystem 3 Actuator TwoComment #.1 K3 schakelt in hoofdstroom motoren (blad 10) #.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)1.3.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44[3] [***] -channel1.3.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40[3] [***] -channel[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for detailsPL/PFHd Calculation DataSubsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF Channel 1 Channel 2Noodstop: Origineel c 1.17E-061.1.1.1 - Emergency Stop - c 1.14E-06 1 0.00% 100.00 years 76712328.77 76712328.77 years 0.00% 20.00years3SB3400-0M years1.2.1.1 - Sirius Safety Relay - e 1.50E-09 4 20.00years3TK2825-1BB40Contactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 0 Voorbeeld Performance Level - M.Drost 4/ 16Dec 13, 2011 9:52 AM
  • 9. Voorbeeld PL - Mikrocentrum1.3.1.1 - DILM7 35616.44 years 99.00% 20.00 years1.3.2.1 - DILM7 148.40 years 99.00% 14.84 years Voorbeeld Performance Level - M.Drost 5/ 16Dec 13, 2011 9:52 AM
  • 10. Voorbeeld PL - MikrocentrumDetails: Noodstop: VerbeterdName Noodstop: VerbeterdTarget PL dResult Target AchievedCCF Factor Target AchievedPFHd 7.14E-08Achieved PL eCCF resultSeparation/segregation Point(s):15/151 Yes (15)Diversity Point(s):0/202 No (0)Design/application/experience Point(s):20/203.1 Yes (15)3.2 Yes (5)Assessment/analysis Point(s):0/54 No (0)Competence/training Point(s):0/55 No (0)Environmental Point(s):35/356.1 Yes (25)6.2 Yes (10) Voorbeeld Performance Level - M.Drost 6/ 16Dec 13, 2011 9:51 AM
  • 11. Voorbeeld PL - MikrocentrumSubsystem details: Noodstop: VerbeterdSubsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)] 100 test rate (Category 2)Subsystem 1 Sensor One2.1.1.1 - Double Contact 1.0 24 365 1 month(s) 20.00 Detection of shorts 90.00 No 76712328.77Emergency across contactsStop - 3SB3400-0M[1] [**] [***]Subsystem 2 Logic One2.2.1.1 - Sirius Single / Dual 1.0 - - - 20.00 None - No -Safety Relay - channel3TK2825-1BB40[2] [***]Subsystem 3 Logic OneComment Verzamelrelais2.3.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -X3[4] [***] modes (2-ch with position monitoring)Subsystem 4 Actuator TwoComment #.1 K3 schakelt in hoofdstroom motoren (blad 10) #.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)2.4.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44[3] [***] -channel2.4.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40[3] [***] -channel[**]The user has changed the value specified by PAScal for diagnostic coverage. PAScal uses this parameter to calculate the safety-related characteristic data. If the diagnostic coverage is incorrect, PAScal may calculate thesafety level of SRP/CS to be higher than it actually is.[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for detailsPL/PFHd Calculation Data Voorbeeld Performance Level - M.Drost 7/ 16Dec 13, 2011 9:52 AM
  • 12. Voorbeeld PL - MikrocentrumSubsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF Channel 1 Channel 2Noodstop: Verbeterd e 7.14E-08Sensor e 4.29E-08 3 90.00% 100.00 years 76712328.77 76712328.77 years 76712328.77 years 70 years2.1.1.1 - Emergency Stop - 76712328.77 years 90.00% 20.00 years3SB3400-0M2.1.1.1 - Emergency Stop - 76712328.77 years 90.00% 20.00 years3SB3400-0M2.2.1.1 - Sirius Safety Relay - e 1.50E-09 4 20.00years3TK2825-1BB402.3.1.1 - PNOZ X3 e 2.31E-09 4 20.00yearsContactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 702.4.1.1 - DILM7 35616.44 years 99.00% 20.00 years2.4.2.1 - DILM7 148.40 years 99.00% 14.84 years Voorbeeld Performance Level - M.Drost 8/ 16Dec 13, 2011 9:52 AM
  • 13. Voorbeeld PL - MikrocentrumDetails: Deurbewaking: OrigineelName Deurbewaking: OrigineelTarget PL dResult Target Not AchievedCCF Factor Target AchievedPFHd 1.17E-06Achieved PL cCCF resultSeparation/segregation Point(s):15/151 Yes (15)Diversity Point(s):0/202 No (0)Design/application/experience Point(s):20/203.1 Yes (15)3.2 Yes (5)Assessment/analysis Point(s):0/54 No (0)Competence/training Point(s):0/55 No (0)Environmental Point(s):35/356.1 Yes (25)6.2 Yes (10) Voorbeeld Performance Level - M.Drost 9/ 16Dec 13, 2011 9:51 AM
  • 14. Voorbeeld PL - MikrocentrumSubsystem details: Deurbewaking: OrigineelSubsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)] 100 test rate (Category 2)Subsystem 1 Sensor One3.1.1.1 - PSEN dual-channel (2- 2.0 24 365 1 day(s) 20.00 Detection of shorts 99.00 No 13698.631.1a/b-20[5] [***] ch with across contacts plausibility check)Subsystem 2 Logic One3.2.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -X3[4] [***] modes (2-ch with position monitoring)Subsystem 3 Actuator TwoComment #.1 K3 schakelt in hoofdstroom motoren (blad 10) #.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)3.3.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 0.00 No 35616.44[3] [***] -channel3.3.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 0.00 No 148.40[3] [***] -channel[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for detailsPL/PFHd Calculation DataSubsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF Channel 1 Channel 2Deurbewaking: Origineel c 1.17E-06Sensor e 2.47E-08 4 99.00% 100.00 years 13698.63 years 13698.63 years 13698.63 years 703.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years3.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years3.2.1.1 - PNOZ X3 e 2.31E-09 4 20.00yearsContactors: K3 - K4: Actuator c 1.14E-06 1 0.00% 100.00 years 23744.70 years 35616.44 years 148.40 years Voorbeeld Performance Level - M.Drost 10 / 16Dec 13, 2011 9:52 AM
  • 15. Voorbeeld PL - Mikrocentrum3.3.1.1 - DILM7 35616.44 years 0.00% 20.00 years3.3.2.1 - DILM7 148.40 years 0.00% 14.84 years Voorbeeld Performance Level - M.Drost 11 / 16Dec 13, 2011 9:52 AM
  • 16. Voorbeeld PL - MikrocentrumDetails: Deurbewaking: VerbeterdName Deurbewaking: VerbeterdTarget PL dResult Target AchievedCCF Factor Target AchievedPFHd 5.40E-08Achieved PL eCCF resultSeparation/segregation Point(s):15/151 Yes (15)Diversity Point(s):0/202 No (0)Design/application/experience Point(s):20/203.1 Yes (15)3.2 Yes (5)Assessment/analysis Point(s):0/54 No (0)Competence/training Point(s):0/55 No (0)Environmental Point(s):35/356.1 Yes (25)6.2 Yes (10) Voorbeeld Performance Level - M.Drost 12 / 16Dec 13, 2011 9:51 AM
  • 17. Voorbeeld PL - MikrocentrumSubsystem details: Deurbewaking: VerbeterdSubsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)] 100 test rate (Category 2)Subsystem 1 Sensor One4.1.1.1 - PSEN dual-channel (2- 2.0 24 365 1 day(s) 20.00 Detection of shorts 99.00 No 13698.631.1a/b-20[5] [***] ch with across contacts plausibility check)Subsystem 2 Logic One4.2.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -X3[4] [***] modes (2-ch with position monitoring)Subsystem 3 Logic OneComment Verzamelrelais4.3.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -X3[4] [***] modes (2-ch with position monitoring)Subsystem 4 Actuator TwoComment #.1 K3 schakelt in hoofdstroom motoren (blad 10) #.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)4.4.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44[3] [***] -channel4.4.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40[3] [***] -channel[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for detailsPL/PFHd Calculation DataSubsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF Channel 1 Channel 2Deurbewaking: Verbeterd e 5.40E-08 Voorbeeld Performance Level - M.Drost 13 / 16Dec 13, 2011 9:52 AM
  • 18. Voorbeeld PL - MikrocentrumSensor e 2.47E-08 4 99.00% 100.00 years 13698.63 years 13698.63 years 13698.63 years 704.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years4.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years4.2.1.1 - PNOZ X3 e 2.31E-09 4 20.00years4.3.1.1 - PNOZ X3 e 2.31E-09 4 20.00yearsContactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 704.4.1.1 - DILM7 35616.44 years 99.00% 20.00 years4.4.2.1 - DILM7 148.40 years 99.00% 14.84 yearsComponent dataNumber Component Type Name Application Version B10d MTTFd [year(s)] PFHd [per hour] PL Wiring Bus connection configuration required required1 Siemens Emergency Stop - Double Contact 1.0 100,000,000 - - - Yes No 3SB3400-0M2 Siemens Sirius Safety Relay Single / Dual 1.0 - - 1.5E-9 e No No - 3TK2825-1BB40 channel3 DILM DILM7 DILM7 (0) - Single- 1.0 1,300,000 - - - No No channel4 PNOZ X PNOZ X3 all operating 6.1 - - 2.31E-9 e No No modes (2-ch with position monitoring) Order number 774310 v6.1, 774311 v6.1, 774312 v6.1, 774314 v6.1, 774315 v6.1, 774316 v6.1, 774318 v6.1, 774319 v6.15 PSEN 1.xy PSEN 1.1a/b-20 dual-channel (2-ch 2.0 500,000 - - - No No with plausibility check) Order number 504226 v2.0, 504227 v2.0 Voorbeeld Performance Level - M.Drost 14 / 16Dec 13, 2011 9:52 AM
  • 19. Voorbeeld PL - MikrocentrumCCF questions (EN ISO 13849-1) ID Group Question 1 Separation / segregation Physical separation between signal paths e.g. separation in wiring/piping, e.g. sufficient clearances and creepage distances on printed-circuit boards 2 Diversity Different technologies/design or physical principles are used e.g. first channel programmable electronic and second channel hardwired e.g. kind of initiation e.g. pressure and temperature Measuring of distance and pressure e.g. digital and analogue Components of different manufacturers. 3.1 Design / application / Protection against over-voltage, over-pressure, over-current, etc. experience 3.2 Components used are well-tried. 4 Assessment / analysis Are the results of a failure mode and effect analysis taken into account to avoid common-cause failures in design? 5 Competence / training Have designers/maintainers been trained to understand the causes and consequences of common-cause failures? 6.1 Environmental Prevention of contamination and electromagnetic compatibility (EMC) against CCF in accordance with appropriate standards. Fluidic systems: filtration of the pressure medium, prevention of dirt intake, drainage of compressed air, e.g. in compliance with the component manufacturers requirements concerning purity of the pressure medium. Electric systems: Has the system been checked for electromagnetic immunity, e.g. as specified in relevant standards against CCF? For combined fluidic and electric systems, both aspects should be considered. 6.2 Other influences: Are the requirements for immunity to all relevant environmental influences such as, temperature, shock, vibration, humidity (e.g. as specified in relevant standards) considered?Questions about risk analysis (EN ISO 13849-1) Risk parameter Examination Evaluation Severity Severity of Injury Slight (normally reversible injury) Serious (normally irreversible injury including death) Frequency/Exposure Frequency and/or exposure to a hazard Seldom to less often and/or the exposure time is short Frequent to continuous and/or the exposure time is long Possibility of Avoidance Possibility of avoiding the hazard or limiting the harm Possible under specific conditions Scarcely PossibleExplanation of category (EN ISO 13849-1)The results of the calculation will only be valid if the following requirements are also met. For category Requirements B Fundamental safety principles have been used. 1 Fundamental safety principles have been used. Proven components have been used. Proven safety principles have been used. 2 Fundamental safety principles have been used. Proven safety principles have been used. 3 Fundamental safety principles have been used. Proven safety principles have been used. A single fault does not lead to the loss of the safety function. 4 Fundamental safety principles have been used. Proven safety principles have been used. A single fault does not lead to the loss of the safety function. An accumulation of faults does not lead to the loss of the safety function. Voorbeeld Performance Level - M.Drost 15 / 16Dec 13, 2011 9:51 AM
  • 20. Voorbeeld PL - Mikrocentrum END USER DISCLAIMER FOR PASCALThe PAScal calculation tool can help you to define the Performance Level in accordance with EN ISO 13849-1 and the SIL in accordance with EN/IEC62061. Additional requirements of the standards (e.g. requirements for safety-related software and systematic safety integrity) must be consideredseparately. Knowledge and correct application of the relevant standards and directives, in particular EN ISO 13849-1, EN/IEC 62061 and IEC 61508 aretherefore a requirement for using this tool. Warranty and liability claims will be rendered invalid if damages can be attributed to a failure to follow theguidelines in the operating manual, if the libraries used are not current, or if the user of this software is not suitably qualified.All calculations are made in accordance with the current status of the standards and to the best of our knowledge and belief. While every effort has beenmade to ensure the information provided is accurate, we cannot accept liability for the accuracy and entirety of the information provided, except in thecase of gross negligence. In particular it should be noted that the calculation results do not have the legal quality of assurances or assured properties.The plausibility of these results should therefore be validated.The following libraries are used to calculate the safety functions: Library Version Date Format MOELLER_DILM_ENG_V111_DEC09 1.0 May 4, 2011 8:58 AM SISTEMA Pilz 1.19 Nov 12, 2010 4:02 PM PAScalUse only libraries of trusted sources. Make sure to verify the origin of the used libraries. Confirm the device data against documentation and certificatesprovided by device manufacturers.Please note: Latest versions of the libraries in PAScal format are available on:www.pilz.com/PAScal_LibLibraries in other formats are typically available directly on the device manufacturers web sites.PAScal is a tool produced by PilzPilz GmbH & Co. KG Sichere AutomationFelix-Wankel-Straße 273760 OstfildernGermanyTel.: +49 711 3409-0Fax: +49 711 3409-133Web: www.pilz.de Voorbeeld Performance Level - M.Drost 16 / 16Dec 13, 2011 9:51 AM
  • 21. Mikrocentrum - Voorbeeld SILProject name Eplan Usergroup - Wikkelaar SILSafety standard EN/IEC 62061(SIL)AuthorCompany name Pilz NederlandCompany address Havenweg 22 4131 NM Vianen 06 109 480 63VersionCreation date May 4, 2011 12:02:43 PM CESTLast modified date May 6, 2011 3:15:50 PM CESTPilz PAScal Version v1.5.2 Build008Using Version 3.0 of the calculation algorithm in accordance with EN ISO 13849-1Using Version 3.0 of the calculation algorithm in accordance with EN/IEC 62061 Voorbeeld Safety Integrity Level - MD 1/ 9Dec 13, 2011 9:54 AM
  • 22. Mikrocentrum - Voorbeeld SILSRCF overviewSystem/Module Target SIL Result CCF Factor PFHd SIL/PFHd SILCL Reached SILNoodstop 2 Target Achieved 0.10 4.24E-08 3 3 3Deurbewaking 2 Target Achieved 0.10 4.41E-08 3 3 3Details: NoodstopName NoodstopTarget SIL 2Result Target AchievedCCF Factor 0.10PFHd 4.24E-08SIL/PFHd 3SILCL 3Reached SIL 3CCF resultSeparation/segregation Point(s):0/251a No (0)1b No (0)2 No (0)3 No (0)Diversity/redundancy Point(s):0/384 No (0)5 No (0)6 No (0)7 No (0)Complexity/design/application Point(s):0/28 No (0)Assessment/analysis Point(s):0/189 No (0)10 No (0) Voorbeeld Safety Integrity Level - MD 2/ 9Dec 13, 2011 9:54 AM
  • 23. Mikrocentrum - Voorbeeld SILTraining/competence Point(s):0/411 No (0)Environmental Control Point(s):0/1812 No (0)13 No (0) Voorbeeld Safety Integrity Level - MD 3/ 9Dec 13, 2011 9:54 AM
  • 24. Mikrocentrum - Voorbeeld SILSubsystem details: NoodstopSubsystem Type Number of physical Application Version Operating Operating Time T1: Proof T2: Mission Wiring Diagnostic Demand MTTFd [year elements/channels hours per days per between two test interval Diagnostic time [year configuration coverage [%] mode <= 1/ (s)] day year operations [year(s)] test interval (s)] 100 test [hour(s)] rate (Category 2)Subsystem 1 Sensor One 20 672Emergency Double Contact 1.0 24 365 1 month(s) - - 20.00 Detection of 90.00 No -Stop - shorts across3SB3400-0M contacts[1] [**] [***]Subsystem 2 Logic One - -Sirius Safety Single / Dual 1.0 - - 20.00 None - No -Relay - channel3TK2825-1BB40[2] [***]Subsystem 3 Logic One - -Comment VerzamelrelaisPNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -**] modes (2-ch with position monitoring)Subsystem 4 Actuator Two 20 24DILM7[4] [***] DILM7 (0) - 1.0 24 365 1 day(s) - - 20.00 None 99.00 No - Single-channelDILM7[4] [***] DILM7 (0) - 1.0 24 365 0.1 hour(s) - - 14.84 None 99.00 No - Single-channel[**]The user has changed the value specified by PAScal for diagnostic coverage. PAScal uses this parameter to calculate the safety-related characteristic data. If the diagnostic coverage is incorrect, PAScal may calculate thesafety level of SRCF to be higher than it actually is.[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for details Voorbeeld Safety Integrity Level - MD 4/ 9Dec 13, 2011 9:54 AM
  • 25. Mikrocentrum - Voorbeeld SILDetails: DeurbewakingName DeurbewakingTarget SIL 2Result Target AchievedCCF Factor 0.10PFHd 4.41E-08SIL/PFHd 3SILCL 3Reached SIL 3CCF resultSeparation/segregation Point(s):0/251a No (0)1b No (0)2 No (0)3 No (0)Diversity/redundancy Point(s):0/384 No (0)5 No (0)6 No (0)7 No (0)Complexity/design/application Point(s):0/28 No (0)Assessment/analysis Point(s):0/189 No (0)10 No (0)Training/competence Point(s):0/411 No (0)Environmental Control Point(s):0/1812 No (0)13 No (0) Voorbeeld Safety Integrity Level - MD 5/ 9Dec 13, 2011 9:54 AM
  • 26. Mikrocentrum - Voorbeeld SILSubsystem details: DeurbewakingSubsystem Type Number of physical Application Version Operating Operating Time T1: Proof T2: Mission Wiring Diagnostic Demand MTTFd [year elements/channels hours per days per between two test interval Diagnostic time [year configuration coverage [%] mode <= 1/ (s)] day year operations [year(s)] test interval (s)] 100 test [hour(s)] rate (Category 2)Subsystem 1 Sensor One 20 24PSEN 1.1a/b dual-channel (2 2.0 24 365 1 day(s) - - 20.00 Detection of 99.00 No --20[5] [***] -ch with shorts across plausibility contacts check)Subsystem 2 Logic One - -PNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -**] modes (2-ch with position monitoring)Subsystem 3 Logic One - -Comment VerzamelrelaisPNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -**] modes (2-ch with position monitoring)Subsystem 4 Actuator Two 20 24DILM7[4] [***] DILM7 (0) - 1.0 24 365 1 day(s) - - 20.00 None 99.00 No - Single-channelDILM7[4] [***] DILM7 (0) - 1.0 24 365 0.1 hour(s) - - 14.84 None 99.00 No - Single-channel[***]Replace the components after the specified number of years. Please include this in your user manual.[Number] : See component data for detailsComponent dataNumber Component Name Application Version B10d MTTFd [year(s)] PFHd [per hour] SILCL d/ (% of Wiring Bus connection Type dangerous configuration required failures) required Voorbeeld Safety Integrity Level - MD 6/ 9Dec 13, 2011 9:54 AM
  • 27. Mikrocentrum - Voorbeeld SIL1 Siemens Emergency Stop Double Contact 1.0 100,000,000 - - - 20.00% Yes No - 3SB3400-0M2 Siemens Sirius Safety Single / Dual 1.0 - - 1.5E-9 3 - No No Relay - 3TK2825- channel 1BB403 PNOZ X PNOZ X3 all operating 6.1 - - 2.31E-9 3 - No No modes (2-ch with position monitoring) Order number 774310 v6.1, 774311 v6.1, 774312 v6.1, 774314 v6.1, 774315 v6.1, 774316 v6.1, 774318 v6.1, 774319 v6.14 DILM DILM7 DILM7 (0) - Single 1.0 1,300,000 - - - 65.00% No No -channel5 PSEN 1.xy PSEN 1.1a/b-20 dual-channel (2- 2.0 500,000 - - - 90.00% No No ch with plausibility check) Order number 504226 v2.0, 504227 v2.0 Voorbeeld Safety Integrity Level - MD 7/ 9Dec 13, 2011 9:54 AM
  • 28. Mikrocentrum - Voorbeeld SILCCF questions (EN/IEC 62061) ID Group Question 1a Separation / segregation Are SRECS signal cables for the individual channels routed separately from other channels at all positions or sufficiently shielded? 1b Where information encoding/decoding is used, is it sufficient for the detection of signal transmission errors? 2 Are SRECS signal and electrical energy power cables separated at all positions or sufficiently shielded? 3 If subsystem elements can contribute to a CCF, are they provided as physically separate devices in their local enclosures? 4 Diversity / redundancy Does the subsystem employ different electrical technologies for example, one electronic or programmable electronic and the other an electromechanical relay? 5 Does the subsystem employ elements that use different physical principles (e.g. sensing elements at a guard door that use mechanical and magnetic sensing techniques)? 6 Does the subsystem employ elements with temporal differences in functional operation and/or failure modes? 7 Do the subsystem elements have a diagnostic test interval of <= 1 min? 8 Complexity / design / Is cross-connection between channels of the subsystem prevented with the exception of that used for diagnostic application testing purposes? 9 Assessment / analysis Have the results of the failure modes and effects analysis been examined to establish sources of common cause failure and have predetermined sources of common cause failure been eliminated by design? 10 Are field failures analysed with feedback into the design? 11 Training / competence Do subsystem designers understand the causes and consequences of common cause failures? 12 Environmental Control Are the subsystem elements likely to operate always within the range of temperature, humidity, corrosion, dust, vibration, etc. over which it has been tested, without the use of external environmental control? 13 Is the subsystem immune to adverse influences from electromagnetic interference up to and including the limits specified in Annex E?Questions about risk analysis (EN/IEC 62061) Risk parameter Examination Evaluation Severity Severity of injury Irreversible: death, losing an eye or arm Irreversible: broken limb(s), losing a finger(s) Reversible: requiring attention from a medical practitioner Reversible: requiring first aid Frequency/Duration Duration of exposure < 10 minutes? Frequency and duration of exposure to the hazard An hour or less Between an hour and a day Between a day and two weeks Between two weeks and a year More than a year Occurrence Probability of occurence of dangerous event Very high Likely Possible Rarely Scarcely possible Avoidance Probability of avoiding or limiting harm Impossible Rarely Likely Voorbeeld Safety Integrity Level - MD 8/ 9Dec 13, 2011 9:54 AM
  • 29. Mikrocentrum - Voorbeeld SIL END USER DISCLAIMER FOR PASCALThe PAScal calculation tool can help you to define the Performance Level in accordance with EN ISO 13849-1 and the SIL in accordance with EN/IEC62061. Additional requirements of the standards (e.g. requirements for safety-related software and systematic safety integrity) must be consideredseparately. Knowledge and correct application of the relevant standards and directives, in particular EN ISO 13849-1, EN/IEC 62061 and IEC 61508 aretherefore a requirement for using this tool. Warranty and liability claims will be rendered invalid if damages can be attributed to a failure to follow theguidelines in the operating manual, if the libraries used are not current, or if the user of this software is not suitably qualified.All calculations are made in accordance with the current status of the standards and to the best of our knowledge and belief. While every effort has beenmade to ensure the information provided is accurate, we cannot accept liability for the accuracy and entirety of the information provided, except in thecase of gross negligence. In particular it should be noted that the calculation results do not have the legal quality of assurances or assured properties.The plausibility of these results should therefore be validated.The following libraries are used to calculate the safety functions: Library Version Date Format Pilz 1.19 Nov 12, 2010 4:02 PM PAScal MOELLER_DILM_ENG_V111_DEC09 1.0 May 4, 2011 8:58 AM SISTEMAUse only libraries of trusted sources. Make sure to verify the origin of the used libraries. Confirm the device data against documentation and certificatesprovided by device manufacturers.Please note: Latest versions of the libraries in PAScal format are available on:www.pilz.com/PAScal_LibLibraries in other formats are typically available directly on the device manufacturers web sites.PAScal is a tool produced by PilzPilz GmbH & Co. KG Sichere AutomationFelix-Wankel-Straße 273760 OstfildernGermanyTel.: +49 711 3409-0Fax: +49 711 3409-133Web: www.pilz.de Voorbeeld Safety Integrity Level - MD 9/ 9Dec 13, 2011 9:54 AM
  • 30. Functional SafetyStappenplan –FaalkansrekenenStappenplan voor gebruik bij ISO 13849-1 / IEC 62061 WS.1S1 K1.1 K1 M Stuurstroom Hoofdstroom Project : Stappenplan Functional Safety Pagina 1 Auteur: Martijn Drost Versie: 1.5
  • 31. InleidingVoor u ligt het stappenplan Functional Safety wat u kunt gebruiken om uw circuit te kunnen verifiërenvolgens ISO 13849-1 en IEC 62061. Het boekje vormt echter geen volledige uitleg van de norm. Voordiepgaande tekst en uitleg dient u altijd de normen zelf te hanteren. Dit document gaat niet in op debasis waarop de beveiligingen gebaseerd dienen te worden, de risicoanalyse. Er wordt vanuit gegaandat u de risicoanalyse ter beschikking hebt. Wanneer u niet de beschikking hierover hebt wordt in stap1 een methodiek aangereikt waarmee u verder kunt.Dit stappenplan gaat er vanuit dat u gebruik maakt van het software tool PAScal (vanaf versie 1.5.2).Volgens een zevental stappen wordt u uitgelegd hoe u vanuit de risicoanalyse naar een geverifieerdveiligheidsysteem kunt werken. Let er op dat u per veiligheidsfunctie (bijvoorbeeld, lichtschermen,noodstoppen, blokkeerschermen) deze stappen dient te doorlopen. Immers kan elke veiligheidsfunctieeen eigen niveau hebben of u maakt gebruik van verschillende componenten.Deze zeven stappen worden voorafgaand aan de werkelijke stappen in een flow-chart bondigbeschreven. Daarna zal in elke stap beschreven worden hoe u op basis van het benodigdePerformance Level (ISO 13849-1) of Safety Integrity Level (IEC 62061) het systeem op een juistemanier vorm kunt geven.Het is van belang om deze gegevens zo accuraat mogelijk te documenteren. Deze gegevens vormenimmers uw bewijslast. Uiteindelijk is het van belang dat u aan kunt tonen hoe u een bepaald resultaatbehaald heeft.Met vriendelijke groet,Martijn DrostPilz Nederland Figuur 1: Stappen wanneer functional safety Let op: Dit document is geen vervanging voor de normen ISO 13849-1 of IEC 62061 Dit biedt alleen een handreiking hoe met deze normen gewerkt kan worden. Project : Stappenplan Functional Safety Pagina 2 Auteur: Martijn Drost Versie: 1.5
  • 32. InhoudsopgaveInleiding .................................................................................................................................................. 2Inhoudsopgave ...................................................................................................................................... 3Zeven stappen naar PL (volgens ISO 13849-1)................................................................................... 4Zeven stappen naar SIL (volgens IEC 62061) ..................................................................................... 5Stap 1: Bepaal de te nemen veiligheidsmaatregelen ......................................................................... 6Stap 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen .................................................. 7 Systematische fouten en willekeurige hardware fouten ...................................................................... 8Stap 3: Bepaal de vereiste betrouwbaarheid ...................................................................................... 9 Bepaling van het Performance Level (volgens ISO 13849-1) ............................................................. 9 Bepaling van het Safety Integrity Level (volgens IEC 62061) ........................................................... 10Stap 4: Maak een architectuur/component keuze ............................................................................ 11Architectuur/component keuze volgens ISO 13849-1 ..................................................................... 12 Leg per veiligheidssysteem de parameters vast: .............................................................................. 12Architectuur/component keuze volgens IEC 62061 ......................................................................... 14 Leg per veiligheidssysteem de parameters vast: .............................................................................. 14 Diagnostic Test Interval (testpuls / testfrequentie) ............................................................................ 14Stap 5: Ontwerp het veiligheidscircuit .............................................................................................. 15 ISO 13849-1: ..................................................................................................................................... 15 IEC 62061: ......................................................................................................................................... 16 Bepaal structuur ................................................................................................................................ 16 Bepaal invulling van componenten .................................................................................................... 16 Overzicht parameters componenten: ................................................................................................ 16Stap 6: Valideer de betrouwbaarheid van het systeem ................................................................... 17Stap 7: Documenteer de gegevens in het TD ................................................................................... 17Bijlage A. Designated Architectures – ISO 13849-1 .................................................................. 18Bijlage B. Subsystems – IEC 62061 ............................................................................................ 20Bijlage C. Figuur 5 – ISO 13849-1 ................................................................................................ 24 Formules: ........................................................................................................................................... 24Bijlage D. IEC 62061 ...................................................................................................................... 26Bijlage E. 14-Punten Risicograaf ................................................................................................. 27 Bijlage E.1 Parameteronderbouwing: .......................................................................................... 28 Bijlage E.2 Koppeling 14-punten risicograaf – ISO 13849-1 / IEC 62061 ................................... 29Bijlage F. ISO 13849-1 – Diagnostic Coverage .......................................................................... 30Bijlage G. Common Cause - ISO 13849-1.................................................................................... 31Bijlage H. Common Cause - IEC 62061 ....................................................................................... 32 Project : Stappenplan Functional Safety Pagina 3 Auteur: Martijn Drost Versie: 1.5
  • 33. Zeven stappen naar PL (volgens ISO 13849-1)Om te komen tot een juist veiligheidsniveau van de veiligheidsfunctie volgens ISO 13849-1 kangebruik gemaakt worden van het onderstaande stappenplan. 1: Bepaal de te nemen veiligheidsmaatregelen Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010 (ISO 14121-1) 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc. 3: Bepaal de vereiste betrouwbaarheid Dit is de PL required uit ISO 13849-1 4: Maak een architectuur/component keuze Hieruit volgt de te gebruiken categorie, de betrouwbaarheid (MTTFd) en diagnosemogelijkheden (DC) van het systeem 5: Ontwerp het veiligheidscircuit Aan de hand van de architectuur, de betrouwbaarheid en de diagnose mogelijkheden kan een veiligheidscircuit worden opgebouwd 6: Valideer de betrouwbaarheid van het systeem Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te komen. Wanneer dit niet het geval is moet een andere architectuur/component keuze worden gemaakt. 7: Documenteer de gegevens in het TD Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de veiligheidscircuits te worden verzameld in het Technisch Dossier Figuur 2: Zeven stappen naar PL volgens ISO 13849-1 Project : Stappenplan Functional Safety Pagina 4 Auteur: Martijn Drost Versie: 1.5
  • 34. Zeven stappen naar SIL (volgens IEC 62061)Om te komen tot een juiste veiligheids niveau van de veiligheidsfunctie kan gebruik gemaakt wordenvan het onderstaande stappenplan. 1: Bepaal de te nemen veiligheidsmaatregelen Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010 (ISO 14121-1) 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc. 3: Bepaal de vereiste betrouwbaarheid Dit is het Safety Integrity Level volgens IEC 62061 4: Maak een architectuur/component keuze Maak gebruik van tabel 5 uit de IEC 62061 voor de Hardware Fault Tolerance (HFT) en de Safe Failure Fraction (SFF) van het systeem. 5: Ontwerp het veiligheidscircuit Aan de hand van de architectuur en de betrouwbaarheid kan een veiligheidscircuit worden opgebouwd. 6: Valideer de betrouwbaarheid van het systeem Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te komen. Wanneer dit niet het geval is dient een andere architectuur/component keuze te worden gemaakt. 7: Documenteer de gegevens in het TD Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de veiligheidscircuits te worden verzameld in het Technisch Dossier. Figuur 3 Zeven stappen naar SIL volgens IEC 62061 Project : Stappenplan Functional Safety Pagina 5 Auteur: Martijn Drost Versie: 1.5
  • 35. Stap 1: Bepaal de te nemen veiligheidsmaatregelenEen risicobeoordeling is verplicht vanuit zowel de Europese Machinerichtlijn als de Arbeidsmiddelen-richtlijn (in Nederland verwerkt in de Arbowet). Voor het uitvoeren van een risicobeoordeling kunt u alsleidraad de norm NEN-EN-ISO 12100:2010 (14121-1) gebruiken; hierin staat beschreven hoe eenrisicobeoordeling dient te worden opgezet en uitgevoerd.Indien u deze risicobeoordeling reeds heeft uitgevoerd, controleer dan het volgende: Heeft u per risico de parameters (Effect, Blootstelling en Frequentie, Gevaarsafwending, Waarschijnlijkheid) bepaald en onderbouwd? Weet u welke reductiemaatregelen per risico u gaat nemen? Heeft u reeds besturingstechnische veiligheidsfuncties?Als u aan bovenstaande voorwaarden heeft voldaan kunt u deze stap overslaan en doorgaan met devolgende stap (stap 2), kunt u onderstaande overslaan.Belangrijk:Wanneer u van uw opdrachtgever geen onderbouwde risicobeoordeling ontvangt, zult u debelangrijkste risico’s zélf moeten identificeren. Dit verdient niet de voorkeur! U zult dit ook duidelijk metuw opdrachtgever moeten communiceren.Hieronder wordt geen volledige beoordeling beschreven, maar volgt een toelichting hoe bepaald kanworden wat voor veiligheidsmaatregelen er noodzakelijk zijn.De volgende stappen moeten worden genomen:1. Waar zitten de gevaarlijke situaties in de machine?2. Welke risico’s brengen deze gevaren met zich mee?3. Bepaal de grootste risico’s en werk deze uit volgens het principe van risicobeoordeling. ∗Een risico kan worden gedefinieerd als de kans dat een gevaarlijke situatie optreedt waarbij letsel zaloptreden. De kans wordt bepaald door de blootstelling aan het gevaar, de waarschijnlijkheid dat eengevaarlijke situatie optreedt, en de mogelijkheid om het gevaar af te wenden. Per risico dienen dezeparameters te worden beschouwd.Hierbij gaat het juist niet om de invulling van de parameters, maar de beschrijving hoe u aan deparameters komt. U dient aan te geven wat de ernst is bijvoorbeeld, breuk aan vingers. Dit voert u uitvoor alle parameters.Parameter OmschrijvingRisico Een risico kan worden omschreven als de kans dat letsel kan optreden vermenigvuldigd met de mate van verwonding door het beschouwde gevaarEffect De mate van verwonding door het beschouwde gevaar (licht, ernstig, dood)Blootstelling frequentie en duur van aanwezigheid in de buurt van het gevaar (Vaak, weinig)Waarschijnlijkheid Waarschijnlijkheid van optreden gevaarlijke gebeurtenis (zeer waarschijnlijk, nauwelijks waarschijnlijk)Gevaarsafwending Mogelijkheid om schade te vermijden of te beperken (niet mogelijk, goed mogelijk) Tabel 1: parameters voor risicobeoordelingVoor een uitgebreide omschrijving van de parameters zoals die gebruikt worden in de methodiek vande 14-punten risicograaf raadpleegt u Bijlage E Project : Stappenplan Functional Safety Pagina 6 Auteur: Martijn Drost Versie: 1.5
  • 36. Stap 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelenIn deze stap wordt beknopt beschreven hoe de eisen aan de veiligheidsmaatregelen kunnen wordenbepaald. Elke veiligheidsmaatregel dient afzonderlijk te worden bekeken.Stel per veiligheidsfunctie de eisen op (ISO 13849-1 § 5.1, IEC 62061 §5.2.2)De volgende parameters zijn ten minste van belang voor eisen aan de veiligheidsfunctie: Parameter Omschrijving Soort De soort veiligheidsfunctie: bijv. lichtscherm, deurschakelaar (blokkeerscherm), noodstop etc. Bedrijfsmodus De bedrijfsmodus waarin de beveiliging actief moet zijn zoals: volautomatisch bedrijf, handmatig bedrijf, onderhoud, instellen etc. Responstijd De tijd waarbinnen de veiligheidsfunctie moet ingrijpen om het gevaar af te wenden. Locatie/ Locatie en omgevingsfactoren van de veiligheidsfunctie zoals omgevingsfactoren temperatuur, vochtigheidsgraad, etc. Interactie met Interactie van personen met de machine (zoals reparaties, instellen, personen schoonmaken etc.) Interactie tussen De (mogelijke) interactie van de veiligheidsfunctie met andere veiligheidsfuncties veiligheidsfuncties Reactie Omschrijving hoe de veiligheidsfunctie werkt, hoe het systeem gaat reageren en het gevaar dat hiermee wordt afgewend. Prioriteit De prioriteit die wordt gegeven aan de veiligheidsfunctie in combinatie met andere veiligheidsfuncties. Onderstaande zijn per functie altijd noodzakelijk! Cyclustijd Tijd tussen twee aanvragen/acties van de veiligheidsfunctie (seconden) Bedrijfsuren Hierin wordt beschreven de gemiddelde actieve tijd per dag (uren per dag) en het aantal dagen per jaar dat de veiligheidsfunctie actief moet zijn. Bedrijfsdagen Zie bedrijfsuren Tabel 2: Eisen aan de beschrijving van de veiligheidsfunctieHet is van belang om de functionele eisen en de veiligheidseisen van de veiligheidsfunctie zocompleet en accuraat mogelijk te beschrijven. Wanneer gegevens bij de ontwerpfase nog niet bekendzijn kan het noodzakelijk zijn om later de eisen aan de specificaties aan te passen en of toe te voegen.Dit is onderdeel van een iteratief ontwerpproces. Deze informatie is ook belangrijk voor de handleidingen het Technisch Dossier (de bewijslast). Project : Stappenplan Functional Safety Pagina 7 Auteur: Martijn Drost Versie: 1.5
  • 37. Systematische fouten en willekeurige hardware foutenHet stappenplan is grofweg op te splitsen in een tweetal delen:Stap 1 t/m 5 en 7 vallen voor een groot deel onder de systematische fouten.Onder stap 5 en 6 komen de random hardware fouten naar voren. Op dit gebied bevind zich hetfaalkansrekenen. Dit onderdeel maakt dus maar een klein onderdeel uit van het totale proces.Dit betekent echter ook dat fouten gemaakt in de beslisfase later zullen leiden tot een fout in derandom hardware fouten! Bezint eer ge begint is in deze dan ook een toepasselijk spreekwoord. Eenveel voorkomende denkfout die wordt gemaakt is dat door het rekenen aan de faalkans van hetsysteem de fouten vanzelf naar voren komen. Dit is niet geheel waar. Een bijvoorbeeld verkeerdgedimensioneerde magneetschakelaar zal bij te hoge belasting verkleefd raken, terwijl de faalkanszeer klein zou zijn. De berekening houdt geen rekening met de faalkans, maar gaat er vanuit dat hetcomponent volgens specificatie is ingezet.Op de systematische fouten zal in dit stappenplan niet verder worden ingegaan. Figuur 4 Systematic Failures – Random Hardware F il Project : Stappenplan Functional Safety Pagina 8 Auteur: Martijn Drost Versie: 1.5
  • 38. Stap 3: Bepaal de vereiste betrouwbaarheidDe vereiste betrouwbaarheid wordt bepaald door het resultaat van de risico analyse. Perveiligheidsfunctie kan dit verschillen. Controleer parameters uit risicobeoordeling, converteer dezenaar onderstaande risicograaf. Gebruik de onderbouwing van de parameters om de parameters vande ISO 13849-1 of IEC 62061 in te vullen.Voor de risicoanalyse maakt het niet uit welke methodiek u hanteert (bijvoorbeeld 14-punten risicograaf of Fine & Kinney). Zolang er een onderbouwing is van de parameters kunt u de parameters uitde ISO 13849-1 of IEC 62061 invullen. Figuur 5 Onderbouwing per veiligheidsfunctieBepaling van het Performance Level (volgens ISO 13849-1)Bij de bepaling van het Performance Level volgens ISO 13849-1 zijn de volgende parameters vanbelang:Mate van verwonding (Severity of injury): Gebruik figuur A-1 uit de ISO 13849 om de S1 = Licht (zonder verzuim) of performance level te bepalen. S2 = Zwaar (met verzuim) / doodBlootstellings duur en frequentie(Frequency and/or exposure time) F1 = Zelden / soms F2 = Vaak / continu  F1 ≤ 2 keer per shift of < 15 min cumulatief per shift;  F2 > 2 keer per shift of > 15 min cumulatief per shift. Figuur 6: Risicograaf voor het bepalen van de PLr van de veiligheidsfunctieGevaarsafwending (Possibility of avoidingthe hazard) Volg de lijn voor de uitkomst van de PLr P1 = Mogelijk onder bepaalde omstandigheden P2 = Onmogelijk Project : Stappenplan Functional Safety Pagina 9 Auteur: Martijn Drost Versie: 1.5
  • 39. Bepaling van het Safety Integrity Level (volgens IEC 62061)Bij de bepaling van het Safety Integrity Level volgens IEC 62061 zijn de volgende parameters vanbelang:Let op dat de Class (CL) wordt opgeteld door de Fr, Pr en Av. De Se (Severity) staat hier los van.Figuur 7: SIL = Se & ClassFiguur 8: Class = Fr + Pr + Av Project : Stappenplan Functional Safety Pagina 10 Auteur: Martijn Drost Versie: 1.5
  • 40. Stap 4: Maak een architectuur/component keuzeDe eenvoudigste weg om tot een keuze van de componenten te komen is door te beginnen met dekeuze van de logic. Vanuit de logic kan dan de verdere keuze plaatsvinden voor de overigedeelsystemen (sensor, actuator).Kies type en soort logic, bijvoorbeeld: Veiligheidsrelais VeiligheidsPLCControleer van deze onderdelen (componenten) de veiligheidsparameters (controleer de datasheets),zoals maximaal te halen PL / SIL, structuur.Vanuit welke architectuur u uit moet gaan wordt in de nu volgende paragrafen behandeld.Let op: Dit is de maximaal haalbare waarde, afhankelijk van de keuzes gemaakt in het technischschema kan de uiteindelijke PL/SIL waarde lager zijn. (PLe+PLe+PLe≠PLe?). De normen controlerendit op basis van de faalkans en op basis van de structuur. Deze moeten minimaal met elkaarovereenkomen.Op basis van deze gegevens kan invulling gegeven worden aan de overige componenten.Officieel mag u PAScal pas gebruiken om het circuit door te kunnen rekenen, uiteraard kan PAScalook gebruikt worden om het circuit (deels) te ontwerpen om bijvoorbeeld te zien wat de invloed vanbepaalde componenten op het veiligheidssysteem is.Let op: PAScal is een rekentool en geen ontwerptool, dit betekent dat het vrijwel alles doet wat uvraagt. PAScal controleert niet of het schema wat u ontwerpt daadwerkelijk uitvoerbaar is. Project : Stappenplan Functional Safety Pagina 11 Auteur: Martijn Drost Versie: 1.5
  • 41. Architectuur/component keuze volgens ISO 13849-1Vanuit de PLr kan met figuur 5 (ISO 13849-1) een architectuur (designated architecture) gekozenworden. Deze architectuur hangt samen met de betrouwbaarheid (MTTFd) en de diagnosegraad (DC).De PLr staat vast.Een voorbeeld isVoor een veiligheidssysteem dat betrouwbaarheid PLd moet hebben kun je kiezen voor Cat 2, Cat 3of Cat 4.Stel dat Cat 3 wordt gekozen dan kan de DC avg low of medium zijn, de MTTFd is dan medium of highOp deze manier ontstaat een ruwe inschatting.Figuur 9: Fig. 5 uit de ISO 13849Let op: De volgende restricties gelden voor figuur 5: Mission time is 20 jaar; Constante failure rates gedurende de mission time; Voor categorie 2 moet de demand rate <= 1/100 test rate; Voor categorie 2 moet de MTTFd,TE > (1/2 * MTTFd,L)Leg per veiligheidssysteem de parameters vast: Structuur: Designated Architecture: Categorie: B / 1 / 2 / 3 / 4 DCAVG: MTTFd:Deze waarden vormen de basis voor het op te zetten blokschema en technische schema.De structuur ligt nu vast op basis van de gewenste categorie. Vanuit de norm mag hier niet vanafgeweken worden. Echter door gebruik te maken van PAScal kan hier wel van worden afgeweken. Zokan bijvoorbeeld een ingangscircuit opgebouwd worden volgens categorie 3, terwijl het uitgangscircuitwordt uitgevoerd als categorie 4. Project : Stappenplan Functional Safety Pagina 12 Auteur: Martijn Drost Versie: 1.5
  • 42. Tabel 3 MTTFd per kanaalTabel 4 Diagnostic coverage (DC) Project : Stappenplan Functional Safety Pagina 13 Auteur: Martijn Drost Versie: 1.5
  • 43. Architectuur/component keuze volgens IEC 62061Voor de bepaling van de architectuur en component keuze zijn de waarden van de HFT (redundantieis een HFT van 1) en SFF variabel, het gewenste SIL niveau staat vast. Met de onderstaande tabelkunnen beide waarden worden bepaald.Tabel 5, SIL componentkeuze, bepaling van HFT en SFFEen voorbeeld is dan:Een veiligheidssysteem met een betrouwbaarheid van SIL 2 kan een HFT hebben van 0, 1, of 2, deSFF kan dan <60% of 60%-<90% of 90%-<99%. Als gekozen wordt voor een HFT van 1 dan ligt deSFF tussen 60% en 90%. Dit moet per deelsysteem (sensor, logic, actuator) worden bepaald.Leg per veiligheidssysteem de parameters vast:Uitgaande van het gewenste SIL niveau worden de HFT en SFF per deelsysteem vastgelegd.Let op: De structuur mag afwijken per deel van het veiligheidssysteem (sensor, logic, actuator) Een SFF van >= 99% is zeer moeilijk te bereikenDiagnostic Test Interval (testpuls / testfrequentie)Hiervoor wordt aanbevolen om deze frequentie gelijk te houden aan de cyclustijd (het aanspreken vande beveiliging).Deze waarden vormen de basis voor het op te zetten blokschema en technische schema.De structuur ligt nu per deelsysteem vast. Vanuit de norm mag per systeem worden afgeweken. Zokan bijvoorbeeld een ingangscircuit redundant worden opgebouwd (HFT 1), terwijl het uitgangscircuitwordt uitgevoerd als niet redundant (HFT 0).CCF: ISO 13849-1 & IEC 62061 Let op:In geval van een redundant veilgheidssysteem: zal de Common Cause Factor bepaald moetenworden. Bijlage F (van de norm), bijlage G en H van dit document.Dit gebeurt op basis van een scoringstabel:ISO 13849-1: Let op score van tabel dient > 65 puntenIEC 62061: Let op score van tabel wordt meegenomen volgens verdeelsleutel in formule.Deze factor omhelst met name het ontwerpen op algemene schaal en behoort tot het ontwerpproces.Dit heeft vooral te maken met de systematische fouten en zet u aan tot structureren. Project : Stappenplan Functional Safety Pagina 14 Auteur: Martijn Drost Versie: 1.5
  • 44. Stap 5: Ontwerp het veiligheidscircuitHet betrouwbaarheidsblokschema is gebaseerd op het succesvol kunnen doorlopen van een pad van1 naar 2.ISO 13849-1:Het blokschema is gebaseerd op basis van de desginated architectures, de categorieën uit de EN954-1. Deze structuur ligt in principe vast. Echter door gebruik te maken van PAScal kan hiervanworden afgeweken. Basis parameters uit zuilendiagram.Maak gebruik van de categorieën zoals deze vermeld zijn in bijlage A van dit document. Hanteer hetbijbehorende blokschema. Project : Stappenplan Functional Safety Pagina 15 Auteur: Martijn Drost Versie: 1.5
  • 45. IEC 62061:Het blokschema is gebaseerd op subsystems. Deze structuur is per deelsysteem (I, L. O) vrij naarkeuze. Basis tabel 5.Door gebruik te maken van de kennis van de categorieën (zie Bijlage A) uit de ISO 13849-1 kangemakkelijk een blokschema worden opgezet. Hierbij kan tevens tabel 6 uit deze norm als hulpmiddeldienen.Maak gebruik van de categorieën zoals deze vermeld zijn in bijlage A van dit document. Hanteer hetbijbehorende blokschema. U bent echter vrij om te interpreteren.Bepaal structuurZie voor de grafiek en tabellen ook Bijlage C en Bijlage DBepaal invulling van componentenKies per systeemdeel de componenten en controleer of deze geschikt zijn voor het betreffendesysteemdeel.Overzicht parameters componenten: Data van de fabrikant Data uit de toepassing Project : Stappenplan Functional Safety Pagina 16 Auteur: Martijn Drost Versie: 1.5
  • 46. Stap 6: Valideer de betrouwbaarheid van het systeem Controleer verkregen Veiligheidsniveau (PL / SIL) met te halen Veiligheidsniveau (PL / SIL); ISO 13894-1: Gebruik figuur 5 om waarden te controleren IEC 62061: Is SIL CL (tabel 5) gelijk aan SIL PFH (berekend) en komt dit overeen met SIL vereist? 3 Mogelijkheden: Verkregen: Behaald: PL / SIL = PL / SIL gevalideerd = OK PL / SIL > PL / SIL gevalideerd = OK, eventueel ‘mindere componenten’ PL / SIL < PL / SIL gevalideerd = Niet OK, herontwerp van de SF Wanneer het systeem niet voldoet kan terug worden gegaan naar stap 4 om van daaruit opnieuw te ontwerpen. Gebruik hiervoor het tool PAScal.Stap 7: Documenteer de gegevens in het TD De beslissingen uit alle voorgaande stappen dienen te worden verwerkt in het TD. U kunt hiervoor het software PAScal gebruiken om deze data vast te leggen. Project : Stappenplan Functional Safety Pagina 17 Auteur: Martijn Drost Versie: 1.5
  • 47. Bijlage A. Designated Architectures – ISO 13849-1 Project : Stappenplan Functional Safety Pagina 18 Auteur: Martijn Drost Versie: 1.5
  • 48. Project : Stappenplan Functional Safety Pagina 19Auteur: Martijn DrostVersie: 1.5
  • 49. Bijlage B. Subsystems – IEC 62061 Project : Stappenplan Functional Safety Pagina 20 Auteur: Martijn Drost Versie: 1.5
  • 50. Project : Stappenplan Functional Safety Pagina 21Auteur: Martijn DrostVersie: 1.5
  • 51. Project : Stappenplan Functional Safety Pagina 22Auteur: Martijn DrostVersie: 1.5
  • 52. Project : Stappenplan Functional Safety Pagina 23Auteur: Martijn DrostVersie: 1.5
  • 53. Bijlage C. Figuur 5 – ISO 13849-1Formules: Bepaling gemiddeld MTTF: gelijkwaardige kanalen Bepaling gemiddeld MTTF: diversitaire kanalen Project : Stappenplan Functional Safety Pagina 24 Auteur: Martijn Drost Versie: 1.5
  • 54. Bepaling Diagnostic Coverage: GemmiddeldProject : Stappenplan Functional Safety Pagina 25Auteur: Martijn DrostVersie: 1.5
  • 55. Bijlage D. IEC 62061  total = SD + SU + DD + DU  = Failure SD =Non dangerous detected failures SU =Non dangerous undetected failures DD =Dangerous detected failures DU =Dangerous undetected failures Diagnostic Coverage: DC =  DD /  Dtotal Safe Failure Fraction:   S    DD SFF    total Project : Stappenplan Functional Safety Pagina 26 Auteur: Martijn Drost Versie: 1.5
  • 56. Bijlage E. 14-Punten Risicograaf Project : Stappenplan Functional Safety Pagina 27 Auteur: Martijn Drost Versie: 1.5
  • 57. Bijlage E.1 Parameteronderbouwing: Factor: Afkorting: Criteria: Ernstgraad E-factor Mate van verwonding Effect E1 Lichte verwonding of schade aan de gezondheid (omkeerbaar) Bijvoorbeeld een schram of blauwe plek op de ledematen E2 Zware verwonding of schade aan de gezondheid (verzuim of onomkeerbaar) Bijvoorbeeld snijwonden, botbreuken, blijvende invaliditeit en beroepsziekten E3 Dood van een of meerdere personen Blootstelling B- factor De blootstelling, is opgebouwd uit twee parameters, namelijk: 1. De frequentie waaraan de bediener aan het gevaar wordt blootgesteld; 2. De tijdsduur van de bewuste blootstelling. Frequentie (f): Blootstellingtijd (b): B1 Zelden tot soms Slechts een korte tijd (bijvoorbeeld minder dan (bijvoorbeeld minder 1 maal per week of 2 x of dan 15 minuten per minder per shift) maand) Ook cumulatief B2 Vaak tot continu Langdurig (bijvoorbeeld meer dan 2 (bijvoorbeeld > dan 15 keer per shift)* minuten per shift)* Ook cumulatief Waarschijnlijkheid W- factor Voorspelt de kans op een gevaarlijke gebeurtenis W1 Laag (waarschijnlijk niet) W2 Gemiddeld (komt voor) W3 Hoog (komt vaak voor) Gevaarsafwending G- factor Geeft aan of het mogelijk is om het gevaar te ontwijken G1 gevaar afwenden mogelijk onder bepaalde omstandigheden G2 gevaar afwenden nauwelijks mogelijk * Bron: ISO/DTR 14121-2 Project : Stappenplan Functional Safety Pagina 28 Auteur: Martijn Drost Versie: 1.5
  • 58. Bijlage E.2 Koppeling 14-punten risicograaf – ISO 13849-1 / IEC 62061 In onderstaande tabel is de koppeling tussen de 14-punten risicograaf en beide norm parameters aangegeven. Let op: tabel is indicatief, dit is een Pilz methode, controleer deze altijd! Effect Blootstelling & Frequentie Gevaarsafwending Waarschijnlijkheid ISO 13849-1 ISO 13849-1 ISO 13849-1 ISO 13849-1Risicograaf Risicograaf Risicograaf Risicograaf IEC 62061 IEC 62061 IEC 62061 IEC 6206114-Punten 14-Punten 14-Punten 14-PuntenE S Se B F Fr G P Av W - PrE1 S1 Se 1 B1 F1 <= 1 x / uur = 5 G1 P1 Av 1 W1 N.V. Pr 1, T. 2 > 1x / uur tot <= 1 dag = 5*E2 S2 Se 2, 3 B2 F2 > 1x / dag tot <= 2 G2 P2 Av 3, 5 W2 Pr 3, weken = 4* 4E3 S2 Se 3, 4 > 2 weken tot <= W3 Pr 5 1 jaar = 3* > 1 x per jaar = 2* *B1 / B2 Principe scheiding op <1 dag, tweede toetsing op minder dan 10 minuten cumulatief, niveau -1 Project : Stappenplan Functional Safety Pagina 29 Auteur: Martijn Drost Versie: 1.5
  • 59. Bijlage F. ISO 13849-1 – Diagnostic Coverage Bepalen van Diagnostic Coverage Project : Stappenplan Functional Safety Pagina 30 Auteur: Martijn Drost Versie: 1.5
  • 60. Bijlage G. Common Cause - ISO 13849-1 Project : Stappenplan Functional Safety Pagina 31 Auteur: Martijn Drost Versie: 1.5
  • 61. Bijlage H. Common Cause - IEC 62061 Project : Stappenplan Functional Safety Pagina 32 Auteur: Martijn Drost Versie: 1.5