1. SIL & PL De Praktijk…
PL: D P ktijk
Themadag Mikrocentrum 15 december 2012
Martijn Drost
Teamleader
Pilz Consultancy
1 15-12-2011 Themadag Mikrocentrum 2012
SIL & PL: Themadag
Inhoudsopgave
• Uitvoeren van SIL & PL berekeningen met PAScal
Tips & Tricks, bij gebruik PAScal
De case, blokschema’s
PAScal
2 15-12-2011 Themadag Mikrocentrum 2012
2. SIL & PL: Themadag
Proces
Tip 1….
1: Bepaal de te nemen veiligheidsmaatregelen
Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010
2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen
Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc.
3: Bepaal de vereiste betrouwbaarheid
Dit is: PL required uit ISO 13849 / SIL uit IEC 62061
4: Maak een architectuur/component keuze
PL: Figuur 5: Categorie, MTTFd, DC SIL: Tabel 5 (en 6), HFT en SFF
5: Ontwerp het veiligheidscircuit
Aan de hand van de architectuur, de betrouwbaarheid en de diagnose mogelijkheden kan een veiligheidscircuit worden opgebouwd
6: Valideer de betrouwbaarheid van het systeem
Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te komen. Wanneer dit niet het
geval is dient een andere architectuur/component keuze te worden gemaakt.
7: Documenteer de gegevens in het TD
Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de veiligheidscircuits te worden verzameld in het
3 15-12-2011 Themadag Mikrocentrum 2012
Technisch Dossier
SIL & PL: Themadag
Tips & Tricks
• Tips & Tricks:
Gebruik uw verstand! Denk logisch na
Garbage in = Garbage out
Denk in blokschema’s!!
Maak gebruik van de data vanuit de de Sistema
bibliotheken
Gebruik het resultaatoverzicht om de zwakste schakel te
identificeren
– Rood = Niet goed
– Oranje = Er missen onderdelen
– Groen = Goed!
Gebruik de workflow (evt.. de online help) voor het invoeren
van een loop
4 15-12-2011 Themadag Mikrocentrum 2012
3. SIL & PL: Themadag
Vereenvoudigd schemaNoodstop S2
Noodstoprelais
K1
Reset S1
K3
K4
Hekschakelaar S3
Hekbewakingsrelais
K2
Autoreset
Stop K3
Start K4
K4
K3 K4 M
5 15-12-2011 Themadag Mikrocentrum 2012
SIL & PL: Themadag
Blokschema
Noodstop S2
Sensor Logic Actuator
Noodstoprelais Noodstop
K1 S2 K1.1 K3 DC in = 0%
Reset S1
K3
DC out = 99%
K1.2
K1 2 K4
K4
Sensor Logic Actuator Hekbewaking
Hekschakelaar S3 DC in = 99%
S3.1 K2.1 K3 DC out = 0%
Hekbewakingsrelais
K2 S3.2 K2.2 K4
Autoreset
Stop K3
Start K4
K4
K3 K4 M
6 15-12-2011 Themadag Mikrocentrum 2012
5. Voorbeeld PL - Mikrocentrum
Project name Eplan Usergroup - Wikkelaar
Safety standard EN ISO 13849-1(PL)
Author MD
Company name Pilz Nederland
Company address Havenweg 22
4131 NM Vianen
06 109 480 63
Version 1.0
Creation date May 3, 2011 8:18:34 PM CEST
Last modified date May 6, 2011 3:16:15 PM CEST
Pilz PAScal Version v1.5.2 Build008
Using Version 3.0 of the calculation algorithm in accordance with EN ISO 13849-1
Using Version 3.0 of the calculation algorithm in accordance with EN/IEC 62061
Voorbeeld Performance Level - M.Drost 1/ 16
Dec 13, 2011 9:51 AM
6. Voorbeeld PL - Mikrocentrum
SRP/CS overview
System/Module Target PL Result CCF Factor PFHd Achieved PL
Noodstop: Origineel d Target Not Achieved Target Not Achieved 1.17E-06 c
Noodstop: Verbeterd d Target Achieved Target Achieved 7.14E-08 e
Deurbewaking: Origineel d Target Not Achieved Target Achieved 1.17E-06 c
Deurbewaking: d Target Achieved Target Achieved 5.40E-08 e
Verbeterd
Details: Noodstop: Origineel
Name Noodstop: Origineel
Target PL d
Result Target Not Achieved
CCF Factor Target Not Achieved
PFHd 1.17E-06
Achieved PL c
CCF result
Separation/segregation Point(s):0/15
1 No (0)
Diversity Point(s):0/20
2 No (0)
Design/application/experience Point(s):0/20
3.1 No (0)
3.2 No (0)
Assessment/analysis Point(s):0/5
4 No (0)
Competence/training Point(s):0/5
5 No (0)
Environmental Point(s):0/35
6.1 No (0)
Voorbeeld Performance Level - M.Drost 2/ 16
Dec 13, 2011 9:51 AM
7. Voorbeeld PL - Mikrocentrum
6.2 No (0)
Voorbeeld Performance Level - M.Drost 3/ 16
Dec 13, 2011 9:51 AM
8. Voorbeeld PL - Mikrocentrum
Subsystem details: Noodstop: Origineel
Subsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year
elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)]
100 test rate
(Category 2)
Subsystem 1 Sensor One
1.1.1.1 - Double Contact 1.0 24 365 1 month(s) 20.00 None 0.00 No 76712328.77
Emergency
Stop - 3SB3400
-0M[1] [***]
Subsystem 2 Logic One
1.2.1.1 - Sirius Single / Dual 1.0 - - - 20.00 None - No -
Safety Relay - channel
3TK2825-
1BB40[2] [***]
Subsystem 3 Actuator Two
Comment #.1 K3 schakelt in hoofdstroom motoren (blad 10)
#.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)
1.3.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44
[3] [***] -channel
1.3.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40
[3] [***] -channel
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
PL/PFHd Calculation Data
Subsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF
Channel 1 Channel 2
Noodstop: Origineel c 1.17E-06
1.1.1.1 - Emergency Stop - c 1.14E-06 1 0.00% 100.00 years 76712328.77 76712328.77 years 0.00% 20.00years
3SB3400-0M years
1.2.1.1 - Sirius Safety Relay - e 1.50E-09 4 20.00years
3TK2825-1BB40
Contactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 0
Voorbeeld Performance Level - M.Drost 4/ 16
Dec 13, 2011 9:52 AM
9. Voorbeeld PL - Mikrocentrum
1.3.1.1 - DILM7 35616.44 years 99.00% 20.00 years
1.3.2.1 - DILM7 148.40 years 99.00% 14.84 years
Voorbeeld Performance Level - M.Drost 5/ 16
Dec 13, 2011 9:52 AM
10. Voorbeeld PL - Mikrocentrum
Details: Noodstop: Verbeterd
Name Noodstop: Verbeterd
Target PL d
Result Target Achieved
CCF Factor Target Achieved
PFHd 7.14E-08
Achieved PL e
CCF result
Separation/segregation Point(s):15/15
1 Yes (15)
Diversity Point(s):0/20
2 No (0)
Design/application/experience Point(s):20/20
3.1 Yes (15)
3.2 Yes (5)
Assessment/analysis Point(s):0/5
4 No (0)
Competence/training Point(s):0/5
5 No (0)
Environmental Point(s):35/35
6.1 Yes (25)
6.2 Yes (10)
Voorbeeld Performance Level - M.Drost 6/ 16
Dec 13, 2011 9:51 AM
11. Voorbeeld PL - Mikrocentrum
Subsystem details: Noodstop: Verbeterd
Subsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year
elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)]
100 test rate
(Category 2)
Subsystem 1 Sensor One
2.1.1.1 - Double Contact 1.0 24 365 1 month(s) 20.00 Detection of shorts 90.00 No 76712328.77
Emergency across contacts
Stop - 3SB3400
-0M[1] [**] [***]
Subsystem 2 Logic One
2.2.1.1 - Sirius Single / Dual 1.0 - - - 20.00 None - No -
Safety Relay - channel
3TK2825-
1BB40[2] [***]
Subsystem 3 Logic One
Comment Verzamelrelais
2.3.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -
X3[4] [***] modes (2-ch with
position
monitoring)
Subsystem 4 Actuator Two
Comment #.1 K3 schakelt in hoofdstroom motoren (blad 10)
#.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)
2.4.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44
[3] [***] -channel
2.4.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40
[3] [***] -channel
[**]The user has changed the value specified by PAScal for diagnostic coverage. PAScal uses this parameter to calculate the safety-related characteristic data. If the diagnostic coverage is incorrect, PAScal may calculate the
safety level of SRP/CS to be higher than it actually is.
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
PL/PFHd Calculation Data
Voorbeeld Performance Level - M.Drost 7/ 16
Dec 13, 2011 9:52 AM
12. Voorbeeld PL - Mikrocentrum
Subsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF
Channel 1 Channel 2
Noodstop: Verbeterd e 7.14E-08
Sensor e 4.29E-08 3 90.00% 100.00 years 76712328.77 76712328.77 years 76712328.77 years 70
years
2.1.1.1 - Emergency Stop - 76712328.77 years 90.00% 20.00 years
3SB3400-0M
2.1.1.1 - Emergency Stop - 76712328.77 years 90.00% 20.00 years
3SB3400-0M
2.2.1.1 - Sirius Safety Relay - e 1.50E-09 4 20.00years
3TK2825-1BB40
2.3.1.1 - PNOZ X3 e 2.31E-09 4 20.00years
Contactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 70
2.4.1.1 - DILM7 35616.44 years 99.00% 20.00 years
2.4.2.1 - DILM7 148.40 years 99.00% 14.84 years
Voorbeeld Performance Level - M.Drost 8/ 16
Dec 13, 2011 9:52 AM
13. Voorbeeld PL - Mikrocentrum
Details: Deurbewaking: Origineel
Name Deurbewaking: Origineel
Target PL d
Result Target Not Achieved
CCF Factor Target Achieved
PFHd 1.17E-06
Achieved PL c
CCF result
Separation/segregation Point(s):15/15
1 Yes (15)
Diversity Point(s):0/20
2 No (0)
Design/application/experience Point(s):20/20
3.1 Yes (15)
3.2 Yes (5)
Assessment/analysis Point(s):0/5
4 No (0)
Competence/training Point(s):0/5
5 No (0)
Environmental Point(s):35/35
6.1 Yes (25)
6.2 Yes (10)
Voorbeeld Performance Level - M.Drost 9/ 16
Dec 13, 2011 9:51 AM
14. Voorbeeld PL - Mikrocentrum
Subsystem details: Deurbewaking: Origineel
Subsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year
elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)]
100 test rate
(Category 2)
Subsystem 1 Sensor One
3.1.1.1 - PSEN dual-channel (2- 2.0 24 365 1 day(s) 20.00 Detection of shorts 99.00 No 13698.63
1.1a/b-20[5] [***] ch with across contacts
plausibility check)
Subsystem 2 Logic One
3.2.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -
X3[4] [***] modes (2-ch with
position
monitoring)
Subsystem 3 Actuator Two
Comment #.1 K3 schakelt in hoofdstroom motoren (blad 10)
#.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)
3.3.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 0.00 No 35616.44
[3] [***] -channel
3.3.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 0.00 No 148.40
[3] [***] -channel
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
PL/PFHd Calculation Data
Subsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF
Channel 1 Channel 2
Deurbewaking: Origineel c 1.17E-06
Sensor e 2.47E-08 4 99.00% 100.00 years 13698.63 years 13698.63 years 13698.63 years 70
3.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years
3.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years
3.2.1.1 - PNOZ X3 e 2.31E-09 4 20.00years
Contactors: K3 - K4: Actuator c 1.14E-06 1 0.00% 100.00 years 23744.70 years 35616.44 years 148.40 years
Voorbeeld Performance Level - M.Drost 10 / 16
Dec 13, 2011 9:52 AM
15. Voorbeeld PL - Mikrocentrum
3.3.1.1 - DILM7 35616.44 years 0.00% 20.00 years
3.3.2.1 - DILM7 148.40 years 0.00% 14.84 years
Voorbeeld Performance Level - M.Drost 11 / 16
Dec 13, 2011 9:52 AM
16. Voorbeeld PL - Mikrocentrum
Details: Deurbewaking: Verbeterd
Name Deurbewaking: Verbeterd
Target PL d
Result Target Achieved
CCF Factor Target Achieved
PFHd 5.40E-08
Achieved PL e
CCF result
Separation/segregation Point(s):15/15
1 Yes (15)
Diversity Point(s):0/20
2 No (0)
Design/application/experience Point(s):20/20
3.1 Yes (15)
3.2 Yes (5)
Assessment/analysis Point(s):0/5
4 No (0)
Competence/training Point(s):0/5
5 No (0)
Environmental Point(s):35/35
6.1 Yes (25)
6.2 Yes (10)
Voorbeeld Performance Level - M.Drost 12 / 16
Dec 13, 2011 9:51 AM
17. Voorbeeld PL - Mikrocentrum
Subsystem details: Deurbewaking: Verbeterd
Subsystem Type Number of physical Application Version Operating Operating Time between Mission time Wiring Diagnostic Demand MTTFd [year
elements/channels hours per day days per year two operations [year(s)] configuration coverage [%] mode <= 1/ (s)]
100 test rate
(Category 2)
Subsystem 1 Sensor One
4.1.1.1 - PSEN dual-channel (2- 2.0 24 365 1 day(s) 20.00 Detection of shorts 99.00 No 13698.63
1.1a/b-20[5] [***] ch with across contacts
plausibility check)
Subsystem 2 Logic One
4.2.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -
X3[4] [***] modes (2-ch with
position
monitoring)
Subsystem 3 Logic One
Comment Verzamelrelais
4.3.1.1 - PNOZ all operating 6.1 - - - 20.00 None 0.00 No -
X3[4] [***] modes (2-ch with
position
monitoring)
Subsystem 4 Actuator Two
Comment #.1 K3 schakelt in hoofdstroom motoren (blad 10)
#.2 K4 schakelt in hoofdstroom motor wikkelarm (blad 15)
4.4.1.1 - DILM7 DILM7 (0) - Single 1.0 24 365 1 day(s) 20.00 None 99.00 No 35616.44
[3] [***] -channel
4.4.2.1 - DILM7 DILM7 (0) - Single 1.0 24 365 0.1 hour(s) 14.84 None 99.00 No 148.40
[3] [***] -channel
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
PL/PFHd Calculation Data
Subsystem/channel PL PFHd Cat. DCavg MTTFd: Limited MTTFd: sym. MTTFd values for MTTFd values for DC Mission time CCF
Channel 1 Channel 2
Deurbewaking: Verbeterd e 5.40E-08
Voorbeeld Performance Level - M.Drost 13 / 16
Dec 13, 2011 9:52 AM
18. Voorbeeld PL - Mikrocentrum
Sensor e 2.47E-08 4 99.00% 100.00 years 13698.63 years 13698.63 years 13698.63 years 70
4.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years
4.1.1.1 - PSEN 1.1a/b-20 13698.63 years 99.00% 20.00 years
4.2.1.1 - PNOZ X3 e 2.31E-09 4 20.00years
4.3.1.1 - PNOZ X3 e 2.31E-09 4 20.00years
Contactors: K3 - K4: Actuator e 2.47E-08 4 99.00% 100.00 years 23744.70 years 35616.44 years 148.40 years 70
4.4.1.1 - DILM7 35616.44 years 99.00% 20.00 years
4.4.2.1 - DILM7 148.40 years 99.00% 14.84 years
Component data
Number Component Type Name Application Version B10d MTTFd [year(s)] PFHd [per hour] PL Wiring Bus connection
configuration required
required
1 Siemens Emergency Stop - Double Contact 1.0 100,000,000 - - - Yes No
3SB3400-0M
2 Siemens Sirius Safety Relay Single / Dual 1.0 - - 1.5E-9 e No No
- 3TK2825-1BB40 channel
3 DILM DILM7 DILM7 (0) - Single- 1.0 1,300,000 - - - No No
channel
4 PNOZ X PNOZ X3 all operating 6.1 - - 2.31E-9 e No No
modes (2-ch with
position monitoring)
Order number 774310 v6.1, 774311 v6.1, 774312 v6.1, 774314 v6.1, 774315 v6.1, 774316 v6.1, 774318 v6.1, 774319 v6.1
5 PSEN 1.xy PSEN 1.1a/b-20 dual-channel (2-ch 2.0 500,000 - - - No No
with plausibility
check)
Order number 504226 v2.0, 504227 v2.0
Voorbeeld Performance Level - M.Drost 14 / 16
Dec 13, 2011 9:52 AM
19. Voorbeeld PL - Mikrocentrum
CCF questions (EN ISO 13849-1)
ID Group Question
1 Separation / segregation Physical separation between signal paths
e.g. separation in wiring/piping,
e.g. sufficient clearances and creepage distances on printed-circuit boards
2 Diversity Different technologies/design or physical principles are used
e.g. first channel programmable electronic and second channel hardwired
e.g. kind of initiation
e.g. pressure and temperature
Measuring of distance and pressure
e.g. digital and analogue
Components of different manufacturers.
3.1 Design / application / Protection against over-voltage, over-pressure, over-current, etc.
experience
3.2 Components used are well-tried.
4 Assessment / analysis Are the results of a failure mode and effect analysis taken into account to avoid common-cause failures in design?
5 Competence / training Have designers/maintainers been trained to understand the causes and consequences of common-cause failures?
6.1 Environmental Prevention of contamination and electromagnetic compatibility (EMC) against CCF in accordance with appropriate
standards.
Fluidic systems: filtration of the pressure medium, prevention of dirt intake, drainage of compressed air, e.g. in
compliance with the component manufacturers' requirements concerning purity of the pressure medium.
Electric systems: Has the system been checked for electromagnetic immunity, e.g. as specified in relevant
standards against CCF?
For combined fluidic and electric systems, both aspects should be considered.
6.2 Other influences:
Are the requirements for immunity to all relevant environmental influences such as, temperature, shock, vibration,
humidity (e.g. as specified in relevant standards) considered?
Questions about risk analysis (EN ISO 13849-1)
Risk parameter Examination Evaluation
Severity Severity of Injury Slight (normally reversible injury)
Serious (normally irreversible injury including death)
Frequency/Exposure Frequency and/or exposure to a hazard Seldom to less often and/or the exposure time is short
Frequent to continuous and/or the exposure time is long
Possibility of Avoidance Possibility of avoiding the hazard or limiting the harm Possible under specific conditions
Scarcely Possible
Explanation of category (EN ISO 13849-1)
The results of the calculation will only be valid if the following requirements are also met.
For category Requirements
B Fundamental safety principles have been used.
1 Fundamental safety principles have been used.
Proven components have been used.
Proven safety principles have been used.
2 Fundamental safety principles have been used.
Proven safety principles have been used.
3 Fundamental safety principles have been used.
Proven safety principles have been used.
A single fault does not lead to the loss of the safety function.
4 Fundamental safety principles have been used.
Proven safety principles have been used.
A single fault does not lead to the loss of the safety function.
An accumulation of faults does not lead to the loss of the safety function.
Voorbeeld Performance Level - M.Drost 15 / 16
Dec 13, 2011 9:51 AM
20. Voorbeeld PL - Mikrocentrum
END USER DISCLAIMER FOR PASCAL
The PAScal calculation tool can help you to define the Performance Level in accordance with EN ISO 13849-1 and the SIL in accordance with EN/IEC
62061. Additional requirements of the standards (e.g. requirements for safety-related software and systematic safety integrity) must be considered
separately. Knowledge and correct application of the relevant standards and directives, in particular EN ISO 13849-1, EN/IEC 62061 and IEC 61508 are
therefore a requirement for using this tool. Warranty and liability claims will be rendered invalid if damages can be attributed to a failure to follow the
guidelines in the operating manual, if the libraries used are not current, or if the user of this software is not suitably qualified.
All calculations are made in accordance with the current status of the standards and to the best of our knowledge and belief. While every effort has been
made to ensure the information provided is accurate, we cannot accept liability for the accuracy and entirety of the information provided, except in the
case of gross negligence. In particular it should be noted that the calculation results do not have the legal quality of assurances or assured properties.
The plausibility of these results should therefore be validated.
The following libraries are used to calculate the safety functions:
Library Version Date Format
MOELLER_DILM_ENG_V111_DEC09 1.0 May 4, 2011 8:58 AM SISTEMA
Pilz 1.19 Nov 12, 2010 4:02 PM PAScal
Use only libraries of trusted sources. Make sure to verify the origin of the used libraries. Confirm the device data against documentation and certificates
provided by device manufacturers.
Please note: Latest versions of the libraries in PAScal format are available on:www.pilz.com/PAScal_Lib
Libraries in other formats are typically available directly on the device manufacturers' web sites.
PAScal is a tool produced by Pilz
Pilz GmbH & Co. KG Sichere Automation
Felix-Wankel-Straße 2
73760 Ostfildern
Germany
Tel.: +49 711 3409-0
Fax: +49 711 3409-133
Web: www.pilz.de
Voorbeeld Performance Level - M.Drost 16 / 16
Dec 13, 2011 9:51 AM
21. Mikrocentrum - Voorbeeld SIL
Project name Eplan Usergroup - Wikkelaar SIL
Safety standard EN/IEC 62061(SIL)
Author
Company name Pilz Nederland
Company address Havenweg 22
4131 NM Vianen
06 109 480 63
Version
Creation date May 4, 2011 12:02:43 PM CEST
Last modified date May 6, 2011 3:15:50 PM CEST
Pilz PAScal Version v1.5.2 Build008
Using Version 3.0 of the calculation algorithm in accordance with EN ISO 13849-1
Using Version 3.0 of the calculation algorithm in accordance with EN/IEC 62061
Voorbeeld Safety Integrity Level - MD 1/ 9
Dec 13, 2011 9:54 AM
22. Mikrocentrum - Voorbeeld SIL
SRCF overview
System/Module Target SIL Result CCF Factor PFHd SIL/PFHd SILCL Reached SIL
Noodstop 2 Target Achieved 0.10 4.24E-08 3 3 3
Deurbewaking 2 Target Achieved 0.10 4.41E-08 3 3 3
Details: Noodstop
Name Noodstop
Target SIL 2
Result Target Achieved
CCF Factor 0.10
PFHd 4.24E-08
SIL/PFHd 3
SILCL 3
Reached SIL 3
CCF result
Separation/segregation Point(s):0/25
1a No (0)
1b No (0)
2 No (0)
3 No (0)
Diversity/redundancy Point(s):0/38
4 No (0)
5 No (0)
6 No (0)
7 No (0)
Complexity/design/application Point(s):0/2
8 No (0)
Assessment/analysis Point(s):0/18
9 No (0)
10 No (0)
Voorbeeld Safety Integrity Level - MD 2/ 9
Dec 13, 2011 9:54 AM
23. Mikrocentrum - Voorbeeld SIL
Training/competence Point(s):0/4
11 No (0)
Environmental Control Point(s):0/18
12 No (0)
13 No (0)
Voorbeeld Safety Integrity Level - MD 3/ 9
Dec 13, 2011 9:54 AM
24. Mikrocentrum - Voorbeeld SIL
Subsystem details: Noodstop
Subsystem Type Number of physical Application Version Operating Operating Time T1: Proof T2: Mission Wiring Diagnostic Demand MTTFd [year
elements/channels hours per days per between two test interval Diagnostic time [year configuration coverage [%] mode <= 1/ (s)]
day year operations [year(s)] test interval (s)] 100 test
[hour(s)] rate
(Category 2)
Subsystem 1 Sensor One 20 672
Emergency Double Contact 1.0 24 365 1 month(s) - - 20.00 Detection of 90.00 No -
Stop - shorts across
3SB3400-0M contacts
[1] [**] [***]
Subsystem 2 Logic One - -
Sirius Safety Single / Dual 1.0 - - 20.00 None - No -
Relay - channel
3TK2825-
1BB40[2] [***]
Subsystem 3 Logic One - -
Comment Verzamelrelais
PNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -
**] modes (2-ch
with position
monitoring)
Subsystem 4 Actuator Two 20 24
DILM7[4] [***] DILM7 (0) - 1.0 24 365 1 day(s) - - 20.00 None 99.00 No -
Single-channel
DILM7[4] [***] DILM7 (0) - 1.0 24 365 0.1 hour(s) - - 14.84 None 99.00 No -
Single-channel
[**]The user has changed the value specified by PAScal for diagnostic coverage. PAScal uses this parameter to calculate the safety-related characteristic data. If the diagnostic coverage is incorrect, PAScal may calculate the
safety level of SRCF to be higher than it actually is.
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
Voorbeeld Safety Integrity Level - MD 4/ 9
Dec 13, 2011 9:54 AM
25. Mikrocentrum - Voorbeeld SIL
Details: Deurbewaking
Name Deurbewaking
Target SIL 2
Result Target Achieved
CCF Factor 0.10
PFHd 4.41E-08
SIL/PFHd 3
SILCL 3
Reached SIL 3
CCF result
Separation/segregation Point(s):0/25
1a No (0)
1b No (0)
2 No (0)
3 No (0)
Diversity/redundancy Point(s):0/38
4 No (0)
5 No (0)
6 No (0)
7 No (0)
Complexity/design/application Point(s):0/2
8 No (0)
Assessment/analysis Point(s):0/18
9 No (0)
10 No (0)
Training/competence Point(s):0/4
11 No (0)
Environmental Control Point(s):0/18
12 No (0)
13 No (0)
Voorbeeld Safety Integrity Level - MD 5/ 9
Dec 13, 2011 9:54 AM
26. Mikrocentrum - Voorbeeld SIL
Subsystem details: Deurbewaking
Subsystem Type Number of physical Application Version Operating Operating Time T1: Proof T2: Mission Wiring Diagnostic Demand MTTFd [year
elements/channels hours per days per between two test interval Diagnostic time [year configuration coverage [%] mode <= 1/ (s)]
day year operations [year(s)] test interval (s)] 100 test
[hour(s)] rate
(Category 2)
Subsystem 1 Sensor One 20 24
PSEN 1.1a/b dual-channel (2 2.0 24 365 1 day(s) - - 20.00 Detection of 99.00 No -
-20[5] [***] -ch with shorts across
plausibility contacts
check)
Subsystem 2 Logic One - -
PNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -
**] modes (2-ch
with position
monitoring)
Subsystem 3 Logic One - -
Comment Verzamelrelais
PNOZ X3[3] [* all operating 6.1 - - 20.00 None 0.00 No -
**] modes (2-ch
with position
monitoring)
Subsystem 4 Actuator Two 20 24
DILM7[4] [***] DILM7 (0) - 1.0 24 365 1 day(s) - - 20.00 None 99.00 No -
Single-channel
DILM7[4] [***] DILM7 (0) - 1.0 24 365 0.1 hour(s) - - 14.84 None 99.00 No -
Single-channel
[***]Replace the components after the specified number of years. Please include this in your user manual.
[Number] : See component data for details
Component data
Number Component Name Application Version B10d MTTFd [year(s)] PFHd [per hour] SILCL d/ (% of Wiring Bus connection
Type dangerous configuration required
failures) required
Voorbeeld Safety Integrity Level - MD 6/ 9
Dec 13, 2011 9:54 AM
27. Mikrocentrum - Voorbeeld SIL
1 Siemens Emergency Stop Double Contact 1.0 100,000,000 - - - 20.00% Yes No
- 3SB3400-0M
2 Siemens Sirius Safety Single / Dual 1.0 - - 1.5E-9 3 - No No
Relay - 3TK2825- channel
1BB40
3 PNOZ X PNOZ X3 all operating 6.1 - - 2.31E-9 3 - No No
modes (2-ch
with position
monitoring)
Order number 774310 v6.1, 774311 v6.1, 774312 v6.1, 774314 v6.1, 774315 v6.1, 774316 v6.1, 774318 v6.1, 774319 v6.1
4 DILM DILM7 DILM7 (0) - Single 1.0 1,300,000 - - - 65.00% No No
-channel
5 PSEN 1.xy PSEN 1.1a/b-20 dual-channel (2- 2.0 500,000 - - - 90.00% No No
ch with
plausibility check)
Order number 504226 v2.0, 504227 v2.0
Voorbeeld Safety Integrity Level - MD 7/ 9
Dec 13, 2011 9:54 AM
28. Mikrocentrum - Voorbeeld SIL
CCF questions (EN/IEC 62061)
ID Group Question
1a Separation / segregation Are SRECS signal cables for the individual channels routed separately from other channels at all positions or
sufficiently shielded?
1b Where information encoding/decoding is used, is it sufficient for the detection of signal transmission errors?
2 Are SRECS signal and electrical energy power cables separated at all positions or sufficiently shielded?
3 If subsystem elements can contribute to a CCF, are they provided as physically separate devices in their local
enclosures?
4 Diversity / redundancy Does the subsystem employ different electrical technologies for example, one electronic or programmable
electronic and the other an electromechanical relay?
5 Does the subsystem employ elements that use different physical principles (e.g. sensing elements at a guard door
that use mechanical and magnetic sensing techniques)?
6 Does the subsystem employ elements with temporal differences in functional operation and/or failure modes?
7 Do the subsystem elements have a diagnostic test interval of <= 1 min?
8 Complexity / design / Is cross-connection between channels of the subsystem prevented with the exception of that used for diagnostic
application testing purposes?
9 Assessment / analysis Have the results of the failure modes and effects analysis been examined to establish sources of common cause
failure and have predetermined sources of common cause failure been eliminated by design?
10 Are field failures analysed with feedback into the design?
11 Training / competence Do subsystem designers understand the causes and consequences of common cause failures?
12 Environmental Control Are the subsystem elements likely to operate always within the range of temperature, humidity, corrosion, dust,
vibration, etc. over which it has been tested, without the use of external environmental control?
13 Is the subsystem immune to adverse influences from electromagnetic interference up to and including the limits
specified in Annex E?
Questions about risk analysis (EN/IEC 62061)
Risk parameter Examination Evaluation
Severity Severity of injury Irreversible: death, losing an eye or arm
Irreversible: broken limb(s), losing a finger(s)
Reversible: requiring attention from a medical practitioner
Reversible: requiring first aid
Frequency/Duration Duration of exposure < 10 minutes?
Frequency and duration of exposure to the hazard An hour or less
Between an hour and a day
Between a day and two weeks
Between two weeks and a year
More than a year
Occurrence Probability of occurence of dangerous event Very high
Likely
Possible
Rarely
Scarcely possible
Avoidance Probability of avoiding or limiting harm Impossible
Rarely
Likely
Voorbeeld Safety Integrity Level - MD 8/ 9
Dec 13, 2011 9:54 AM
29. Mikrocentrum - Voorbeeld SIL
END USER DISCLAIMER FOR PASCAL
The PAScal calculation tool can help you to define the Performance Level in accordance with EN ISO 13849-1 and the SIL in accordance with EN/IEC
62061. Additional requirements of the standards (e.g. requirements for safety-related software and systematic safety integrity) must be considered
separately. Knowledge and correct application of the relevant standards and directives, in particular EN ISO 13849-1, EN/IEC 62061 and IEC 61508 are
therefore a requirement for using this tool. Warranty and liability claims will be rendered invalid if damages can be attributed to a failure to follow the
guidelines in the operating manual, if the libraries used are not current, or if the user of this software is not suitably qualified.
All calculations are made in accordance with the current status of the standards and to the best of our knowledge and belief. While every effort has been
made to ensure the information provided is accurate, we cannot accept liability for the accuracy and entirety of the information provided, except in the
case of gross negligence. In particular it should be noted that the calculation results do not have the legal quality of assurances or assured properties.
The plausibility of these results should therefore be validated.
The following libraries are used to calculate the safety functions:
Library Version Date Format
Pilz 1.19 Nov 12, 2010 4:02 PM PAScal
MOELLER_DILM_ENG_V111_DEC09 1.0 May 4, 2011 8:58 AM SISTEMA
Use only libraries of trusted sources. Make sure to verify the origin of the used libraries. Confirm the device data against documentation and certificates
provided by device manufacturers.
Please note: Latest versions of the libraries in PAScal format are available on:www.pilz.com/PAScal_Lib
Libraries in other formats are typically available directly on the device manufacturers' web sites.
PAScal is a tool produced by Pilz
Pilz GmbH & Co. KG Sichere Automation
Felix-Wankel-Straße 2
73760 Ostfildern
Germany
Tel.: +49 711 3409-0
Fax: +49 711 3409-133
Web: www.pilz.de
Voorbeeld Safety Integrity Level - MD 9/ 9
Dec 13, 2011 9:54 AM
31. Inleiding
Voor u ligt het stappenplan Functional Safety wat u kunt gebruiken om uw circuit te kunnen verifiëren
volgens ISO 13849-1 en IEC 62061. Het boekje vormt echter geen volledige uitleg van de norm. Voor
diepgaande tekst en uitleg dient u altijd de normen zelf te hanteren. Dit document gaat niet in op de
basis waarop de beveiligingen gebaseerd dienen te worden, de risicoanalyse. Er wordt vanuit gegaan
dat u de risicoanalyse ter beschikking hebt. Wanneer u niet de beschikking hierover hebt wordt in stap
1 een methodiek aangereikt waarmee u verder kunt.
Dit stappenplan gaat er vanuit dat u gebruik maakt van het software tool PAScal (vanaf versie 1.5.2).
Volgens een zevental stappen wordt u uitgelegd hoe u vanuit de risicoanalyse naar een geverifieerd
veiligheidsysteem kunt werken. Let er op dat u per veiligheidsfunctie (bijvoorbeeld, lichtschermen,
noodstoppen, blokkeerschermen) deze stappen dient te doorlopen. Immers kan elke veiligheidsfunctie
een eigen niveau hebben of u maakt gebruik van verschillende componenten.
Deze zeven stappen worden voorafgaand aan de werkelijke stappen in een flow-chart bondig
beschreven. Daarna zal in elke stap beschreven worden hoe u op basis van het benodigde
Performance Level (ISO 13849-1) of Safety Integrity Level (IEC 62061) het systeem op een juiste
manier vorm kunt geven.
Het is van belang om deze gegevens zo accuraat mogelijk te documenteren. Deze gegevens vormen
immers uw bewijslast. Uiteindelijk is het van belang dat u aan kunt tonen hoe u een bepaald resultaat
behaald heeft.
Met vriendelijke groet,
Martijn Drost
Pilz Nederland
Figuur 1: Stappen wanneer functional safety
Let op:
Dit document is geen vervanging voor de
normen ISO 13849-1 of IEC 62061
Dit biedt alleen een handreiking hoe met deze
normen gewerkt kan worden.
Project : Stappenplan Functional Safety Pagina 2
Auteur: Martijn Drost
Versie: 1.5
32. Inhoudsopgave
Inleiding .................................................................................................................................................. 2
Inhoudsopgave ...................................................................................................................................... 3
Zeven stappen naar PL (volgens ISO 13849-1)................................................................................... 4
Zeven stappen naar SIL (volgens IEC 62061) ..................................................................................... 5
Stap 1: Bepaal de te nemen veiligheidsmaatregelen ......................................................................... 6
Stap 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen .................................................. 7
Systematische fouten en willekeurige hardware fouten ...................................................................... 8
Stap 3: Bepaal de vereiste betrouwbaarheid ...................................................................................... 9
Bepaling van het Performance Level (volgens ISO 13849-1) ............................................................. 9
Bepaling van het Safety Integrity Level (volgens IEC 62061) ........................................................... 10
Stap 4: Maak een architectuur/component keuze ............................................................................ 11
Architectuur/component keuze volgens ISO 13849-1 ..................................................................... 12
Leg per veiligheidssysteem de parameters vast: .............................................................................. 12
Architectuur/component keuze volgens IEC 62061 ......................................................................... 14
Leg per veiligheidssysteem de parameters vast: .............................................................................. 14
Diagnostic Test Interval (testpuls / testfrequentie) ............................................................................ 14
Stap 5: Ontwerp het veiligheidscircuit .............................................................................................. 15
ISO 13849-1: ..................................................................................................................................... 15
IEC 62061: ......................................................................................................................................... 16
Bepaal structuur ................................................................................................................................ 16
Bepaal invulling van componenten .................................................................................................... 16
Overzicht parameters componenten: ................................................................................................ 16
Stap 6: Valideer de betrouwbaarheid van het systeem ................................................................... 17
Stap 7: Documenteer de gegevens in het TD ................................................................................... 17
Bijlage A. Designated Architectures – ISO 13849-1 .................................................................. 18
Bijlage B. Subsystems – IEC 62061 ............................................................................................ 20
Bijlage C. Figuur 5 – ISO 13849-1 ................................................................................................ 24
Formules: ........................................................................................................................................... 24
Bijlage D. IEC 62061 ...................................................................................................................... 26
Bijlage E. 14-Punten Risicograaf ................................................................................................. 27
Bijlage E.1 Parameteronderbouwing: .......................................................................................... 28
Bijlage E.2 Koppeling 14-punten risicograaf – ISO 13849-1 / IEC 62061 ................................... 29
Bijlage F. ISO 13849-1 – Diagnostic Coverage .......................................................................... 30
Bijlage G. Common Cause - ISO 13849-1.................................................................................... 31
Bijlage H. Common Cause - IEC 62061 ....................................................................................... 32
Project : Stappenplan Functional Safety Pagina 3
Auteur: Martijn Drost
Versie: 1.5
33. Zeven stappen naar PL (volgens ISO 13849-1)
Om te komen tot een juist veiligheidsniveau van de veiligheidsfunctie volgens ISO 13849-1 kan
gebruik gemaakt worden van het onderstaande stappenplan.
1: Bepaal de te nemen veiligheidsmaatregelen
Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010 (ISO 14121-1)
2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen
Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc.
3: Bepaal de vereiste betrouwbaarheid
Dit is de PL required uit ISO 13849-1
4: Maak een architectuur/component keuze
Hieruit volgt de te gebruiken categorie, de betrouwbaarheid (MTTFd) en
diagnosemogelijkheden (DC) van het systeem
5: Ontwerp het veiligheidscircuit
Aan de hand van de architectuur, de betrouwbaarheid en de diagnose mogelijkheden kan een
veiligheidscircuit worden opgebouwd
6: Valideer de betrouwbaarheid van het systeem
Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te
komen. Wanneer dit niet het geval is moet een andere architectuur/component keuze worden gemaakt.
7: Documenteer de gegevens in het TD
Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de
veiligheidscircuits te worden verzameld in het Technisch Dossier
Figuur 2: Zeven stappen naar PL volgens ISO 13849-1
Project : Stappenplan Functional Safety Pagina 4
Auteur: Martijn Drost
Versie: 1.5
34. Zeven stappen naar SIL (volgens IEC 62061)
Om te komen tot een juiste veiligheids niveau van de veiligheidsfunctie kan gebruik gemaakt worden
van het onderstaande stappenplan.
1: Bepaal de te nemen veiligheidsmaatregelen
Deze volgen uit de risicoanalyse conform NEN-EN-ISO 12100:2010 (ISO 14121-1)
2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen
Hierbij moet worden gedacht aan bijvoorbeeld positie, reactietijden etc.
3: Bepaal de vereiste betrouwbaarheid
Dit is het Safety Integrity Level volgens IEC 62061
4: Maak een architectuur/component keuze
Maak gebruik van tabel 5 uit de IEC 62061 voor de Hardware Fault Tolerance (HFT) en de Safe
Failure Fraction (SFF) van het systeem.
5: Ontwerp het veiligheidscircuit
Aan de hand van de architectuur en de betrouwbaarheid kan een veiligheidscircuit worden
opgebouwd.
6: Valideer de betrouwbaarheid van het systeem
Bij berekening met PAScal dient de berekende en vereiste betrouwbaarheid van het systeem overeen te
komen. Wanneer dit niet het geval is dient een andere architectuur/component keuze te worden gemaakt.
7: Documenteer de gegevens in het TD
Volgens de Machinerichtlijn dienen de berekeningen en schema’s die zijn gemaakt van de veiligheidscircuits te
worden verzameld in het Technisch Dossier.
Figuur 3 Zeven stappen naar SIL volgens IEC 62061
Project : Stappenplan Functional Safety Pagina 5
Auteur: Martijn Drost
Versie: 1.5
35. Stap 1: Bepaal de te nemen veiligheidsmaatregelen
Een risicobeoordeling is verplicht vanuit zowel de Europese Machinerichtlijn als de Arbeidsmiddelen-
richtlijn (in Nederland verwerkt in de Arbowet). Voor het uitvoeren van een risicobeoordeling kunt u als
leidraad de norm NEN-EN-ISO 12100:2010 (14121-1) gebruiken; hierin staat beschreven hoe een
risicobeoordeling dient te worden opgezet en uitgevoerd.
Indien u deze risicobeoordeling reeds heeft uitgevoerd, controleer dan het volgende:
Heeft u per risico de parameters (Effect, Blootstelling en Frequentie, Gevaarsafwending,
Waarschijnlijkheid) bepaald en onderbouwd?
Weet u welke reductiemaatregelen per risico u gaat nemen?
Heeft u reeds besturingstechnische veiligheidsfuncties?
Als u aan bovenstaande voorwaarden heeft voldaan kunt u deze stap overslaan en doorgaan met de
volgende stap (stap 2), kunt u onderstaande overslaan.
Belangrijk:
Wanneer u van uw opdrachtgever geen onderbouwde risicobeoordeling ontvangt, zult u de
belangrijkste risico’s zélf moeten identificeren. Dit verdient niet de voorkeur! U zult dit ook duidelijk met
uw opdrachtgever moeten communiceren.
Hieronder wordt geen volledige beoordeling beschreven, maar volgt een toelichting hoe bepaald kan
worden wat voor veiligheidsmaatregelen er noodzakelijk zijn.
De volgende stappen moeten worden genomen:
1. Waar zitten de gevaarlijke situaties in de machine?
2. Welke risico’s brengen deze gevaren met zich mee?
3. Bepaal de grootste risico’s en werk deze uit volgens het principe van risicobeoordeling.
∗
Een risico kan worden gedefinieerd als de kans dat een gevaarlijke situatie optreedt waarbij letsel zal
optreden. De kans wordt bepaald door de blootstelling aan het gevaar, de waarschijnlijkheid dat een
gevaarlijke situatie optreedt, en de mogelijkheid om het gevaar af te wenden. Per risico dienen deze
parameters te worden beschouwd.
Hierbij gaat het juist niet om de invulling van de parameters, maar de beschrijving hoe u aan de
parameters komt. U dient aan te geven wat de ernst is bijvoorbeeld, breuk aan vingers. Dit voert u uit
voor alle parameters.
Parameter Omschrijving
Risico Een risico kan worden omschreven als de kans dat letsel kan optreden
vermenigvuldigd met de mate van verwonding door het beschouwde gevaar
Effect De mate van verwonding door het beschouwde gevaar (licht, ernstig, dood)
Blootstelling frequentie en duur van aanwezigheid in de buurt van het gevaar (Vaak,
weinig)
Waarschijnlijkheid Waarschijnlijkheid van optreden gevaarlijke gebeurtenis (zeer waarschijnlijk,
nauwelijks waarschijnlijk)
Gevaarsafwending Mogelijkheid om schade te vermijden of te beperken (niet mogelijk, goed
mogelijk)
Tabel 1: parameters voor risicobeoordeling
Voor een uitgebreide omschrijving van de parameters zoals die gebruikt worden in de methodiek van
de 14-punten risicograaf raadpleegt u Bijlage E
Project : Stappenplan Functional Safety Pagina 6
Auteur: Martijn Drost
Versie: 1.5
36. Stap 2: Bepaal de eisen aan de te nemen veiligheidsmaatregelen
In deze stap wordt beknopt beschreven hoe de eisen aan de veiligheidsmaatregelen kunnen worden
bepaald. Elke veiligheidsmaatregel dient afzonderlijk te worden bekeken.
Stel per veiligheidsfunctie de eisen op (ISO 13849-1 § 5.1, IEC 62061 §5.2.2)
De volgende parameters zijn ten minste van belang voor eisen aan de veiligheidsfunctie:
Parameter Omschrijving
Soort De soort veiligheidsfunctie: bijv. lichtscherm, deurschakelaar
(blokkeerscherm), noodstop etc.
Bedrijfsmodus De bedrijfsmodus waarin de beveiliging actief moet zijn zoals:
volautomatisch bedrijf, handmatig bedrijf, onderhoud, instellen etc.
Responstijd De tijd waarbinnen de veiligheidsfunctie moet ingrijpen om het gevaar
af te wenden.
Locatie/ Locatie en omgevingsfactoren van de veiligheidsfunctie zoals
omgevingsfactoren temperatuur, vochtigheidsgraad, etc.
Interactie met Interactie van personen met de machine (zoals reparaties, instellen,
personen schoonmaken etc.)
Interactie tussen De (mogelijke) interactie van de veiligheidsfunctie met andere
veiligheidsfuncties veiligheidsfuncties
Reactie Omschrijving hoe de veiligheidsfunctie werkt, hoe het systeem gaat
reageren en het gevaar dat hiermee wordt afgewend.
Prioriteit De prioriteit die wordt gegeven aan de veiligheidsfunctie in combinatie
met andere veiligheidsfuncties.
Onderstaande zijn per functie altijd noodzakelijk!
Cyclustijd Tijd tussen twee aanvragen/acties van de veiligheidsfunctie (seconden)
Bedrijfsuren Hierin wordt beschreven de gemiddelde actieve tijd per dag (uren per
dag) en het aantal dagen per jaar dat de veiligheidsfunctie actief moet
zijn.
Bedrijfsdagen Zie bedrijfsuren
Tabel 2: Eisen aan de beschrijving van de veiligheidsfunctie
Het is van belang om de functionele eisen en de veiligheidseisen van de veiligheidsfunctie zo
compleet en accuraat mogelijk te beschrijven. Wanneer gegevens bij de ontwerpfase nog niet bekend
zijn kan het noodzakelijk zijn om later de eisen aan de specificaties aan te passen en of toe te voegen.
Dit is onderdeel van een iteratief ontwerpproces. Deze informatie is ook belangrijk voor de handleiding
en het Technisch Dossier (de bewijslast).
Project : Stappenplan Functional Safety Pagina 7
Auteur: Martijn Drost
Versie: 1.5
37. Systematische fouten en willekeurige hardware fouten
Het stappenplan is grofweg op te splitsen in een tweetal delen:
Stap 1 t/m 5 en 7 vallen voor een groot deel onder de systematische fouten.
Onder stap 5 en 6 komen de random hardware fouten naar voren. Op dit gebied bevind zich het
faalkansrekenen. Dit onderdeel maakt dus maar een klein onderdeel uit van het totale proces.
Dit betekent echter ook dat fouten gemaakt in de beslisfase later zullen leiden tot een fout in de
random hardware fouten! Bezint eer ge begint is in deze dan ook een toepasselijk spreekwoord. Een
veel voorkomende denkfout die wordt gemaakt is dat door het rekenen aan de faalkans van het
systeem de fouten vanzelf naar voren komen. Dit is niet geheel waar. Een bijvoorbeeld verkeerd
gedimensioneerde magneetschakelaar zal bij te hoge belasting verkleefd raken, terwijl de faalkans
zeer klein zou zijn. De berekening houdt geen rekening met de faalkans, maar gaat er vanuit dat het
component volgens specificatie is ingezet.
Op de systematische fouten zal in dit stappenplan niet verder worden ingegaan.
Figuur 4 Systematic Failures – Random Hardware
F il
Project : Stappenplan Functional Safety Pagina 8
Auteur: Martijn Drost
Versie: 1.5
38. Stap 3: Bepaal de vereiste betrouwbaarheid
De vereiste betrouwbaarheid wordt bepaald door het resultaat van de risico analyse. Per
veiligheidsfunctie kan dit verschillen. Controleer parameters uit risicobeoordeling, converteer deze
naar onderstaande risicograaf. Gebruik de onderbouwing van de parameters om de parameters van
de ISO 13849-1 of IEC 62061 in te vullen.
Voor de risicoanalyse maakt het niet uit welke methodiek u hanteert (bijvoorbeeld 14-punten risico
graaf of Fine & Kinney). Zolang er een onderbouwing is van de parameters kunt u de parameters uit
de ISO 13849-1 of IEC 62061 invullen.
Figuur 5 Onderbouwing per veiligheidsfunctie
Bepaling van het Performance Level (volgens ISO 13849-1)
Bij de bepaling van het Performance Level volgens ISO 13849-1 zijn de volgende parameters van
belang:
Mate van verwonding (Severity of injury): Gebruik figuur A-1 uit de ISO 13849 om de
S1 = Licht (zonder verzuim) of performance level te bepalen.
S2 = Zwaar (met verzuim) / dood
Blootstellings duur en frequentie
(Frequency and/or exposure time)
F1 = Zelden / soms
F2 = Vaak / continu
F1 ≤ 2 keer per shift of < 15 min cumulatief per
shift;
F2 > 2 keer per shift of > 15 min cumulatief per
shift.
Figuur 6: Risicograaf voor het bepalen van de
PLr van de veiligheidsfunctie
Gevaarsafwending (Possibility of avoiding
the hazard) Volg de lijn voor de uitkomst van de PLr
P1 = Mogelijk onder bepaalde
omstandigheden
P2 = Onmogelijk
Project : Stappenplan Functional Safety Pagina 9
Auteur: Martijn Drost
Versie: 1.5
39. Bepaling van het Safety Integrity Level (volgens IEC 62061)
Bij de bepaling van het Safety Integrity Level volgens IEC 62061 zijn de volgende parameters van
belang:
Let op dat de Class (CL) wordt opgeteld door de Fr, Pr en Av. De Se (Severity) staat hier los van.
Figuur 7: SIL = Se & Class
Figuur 8: Class = Fr + Pr + Av
Project : Stappenplan Functional Safety Pagina 10
Auteur: Martijn Drost
Versie: 1.5
40. Stap 4: Maak een architectuur/component keuze
De eenvoudigste weg om tot een keuze van de componenten te komen is door te beginnen met de
keuze van de logic. Vanuit de logic kan dan de verdere keuze plaatsvinden voor de overige
deelsystemen (sensor, actuator).
Kies type en soort logic, bijvoorbeeld:
Veiligheidsrelais
VeiligheidsPLC
Controleer van deze onderdelen (componenten) de veiligheidsparameters (controleer de datasheets),
zoals maximaal te halen PL / SIL, structuur.
Vanuit welke architectuur u uit moet gaan wordt in de nu volgende paragrafen behandeld.
Let op: Dit is de maximaal haalbare waarde, afhankelijk van de keuzes gemaakt in het technisch
schema kan de uiteindelijke PL/SIL waarde lager zijn. (PLe+PLe+PLe≠PLe?). De normen controleren
dit op basis van de faalkans en op basis van de structuur. Deze moeten minimaal met elkaar
overeenkomen.
Op basis van deze gegevens kan invulling gegeven worden aan de overige componenten.
Officieel mag u PAScal pas gebruiken om het circuit door te kunnen rekenen, uiteraard kan PAScal
ook gebruikt worden om het circuit (deels) te ontwerpen om bijvoorbeeld te zien wat de invloed van
bepaalde componenten op het veiligheidssysteem is.
Let op: PAScal is een rekentool en geen ontwerptool, dit betekent dat het vrijwel alles doet wat u
vraagt. PAScal controleert niet of het schema wat u ontwerpt daadwerkelijk uitvoerbaar is.
Project : Stappenplan Functional Safety Pagina 11
Auteur: Martijn Drost
Versie: 1.5
41. Architectuur/component keuze volgens ISO 13849-1
Vanuit de PLr kan met figuur 5 (ISO 13849-1) een architectuur (designated architecture) gekozen
worden. Deze architectuur hangt samen met de betrouwbaarheid (MTTFd) en de diagnosegraad (DC).
De PLr staat vast.
Een voorbeeld is
Voor een veiligheidssysteem dat betrouwbaarheid PLd moet hebben kun je kiezen voor Cat 2, Cat 3
of Cat 4.
Stel dat Cat 3 wordt gekozen dan kan de DC avg low of medium zijn, de MTTFd is dan medium of high
Op deze manier ontstaat een ruwe inschatting.
Figuur 9: Fig. 5 uit de ISO 13849
Let op: De volgende restricties gelden voor figuur 5:
Mission time is 20 jaar;
Constante failure rates gedurende de mission time;
Voor categorie 2 moet de demand rate <= 1/100 test rate;
Voor categorie 2 moet de MTTFd,TE > (1/2 * MTTFd,L)
Leg per veiligheidssysteem de parameters vast:
Structuur: Designated Architecture:
Categorie: B / 1 / 2 / 3 / 4
DCAVG:
MTTFd:
Deze waarden vormen de basis voor het op te zetten blokschema en technische schema.
De structuur ligt nu vast op basis van de gewenste categorie. Vanuit de norm mag hier niet vanaf
geweken worden. Echter door gebruik te maken van PAScal kan hier wel van worden afgeweken. Zo
kan bijvoorbeeld een ingangscircuit opgebouwd worden volgens categorie 3, terwijl het uitgangscircuit
wordt uitgevoerd als categorie 4.
Project : Stappenplan Functional Safety Pagina 12
Auteur: Martijn Drost
Versie: 1.5
43. Architectuur/component keuze volgens IEC 62061
Voor de bepaling van de architectuur en component keuze zijn de waarden van de HFT (redundantie
is een HFT van 1) en SFF variabel, het gewenste SIL niveau staat vast. Met de onderstaande tabel
kunnen beide waarden worden bepaald.
Tabel 5, SIL componentkeuze, bepaling van HFT en SFF
Een voorbeeld is dan:
Een veiligheidssysteem met een betrouwbaarheid van SIL 2 kan een HFT hebben van 0, 1, of 2, de
SFF kan dan <60% of 60%-<90% of 90%-<99%. Als gekozen wordt voor een HFT van 1 dan ligt de
SFF tussen 60% en 90%. Dit moet per deelsysteem (sensor, logic, actuator) worden bepaald.
Leg per veiligheidssysteem de parameters vast:
Uitgaande van het gewenste SIL niveau worden de HFT en SFF per deelsysteem vastgelegd.
Let op:
De structuur mag afwijken per deel van het veiligheidssysteem (sensor, logic, actuator)
Een SFF van >= 99% is zeer moeilijk te bereiken
Diagnostic Test Interval (testpuls / testfrequentie)
Hiervoor wordt aanbevolen om deze frequentie gelijk te houden aan de cyclustijd (het aanspreken van
de beveiliging).
Deze waarden vormen de basis voor het op te zetten blokschema en technische schema.
De structuur ligt nu per deelsysteem vast. Vanuit de norm mag per systeem worden afgeweken. Zo
kan bijvoorbeeld een ingangscircuit redundant worden opgebouwd (HFT 1), terwijl het uitgangscircuit
wordt uitgevoerd als niet redundant (HFT 0).
CCF: ISO 13849-1 & IEC 62061 Let op:
In geval van een redundant veilgheidssysteem: zal de Common Cause Factor bepaald moeten
worden. Bijlage F (van de norm), bijlage G en H van dit document.
Dit gebeurt op basis van een scoringstabel:
ISO 13849-1: Let op score van tabel dient > 65 punten
IEC 62061: Let op score van tabel wordt meegenomen volgens verdeelsleutel in formule.
Deze factor omhelst met name het ontwerpen op algemene schaal en behoort tot het ontwerpproces.
Dit heeft vooral te maken met de systematische fouten en zet u aan tot structureren.
Project : Stappenplan Functional Safety Pagina 14
Auteur: Martijn Drost
Versie: 1.5
44. Stap 5: Ontwerp het veiligheidscircuit
Het betrouwbaarheidsblokschema is gebaseerd op het succesvol kunnen doorlopen van een pad van
1 naar 2.
ISO 13849-1:
Het blokschema is gebaseerd op basis van de desginated architectures, de categorieën uit de EN
954-1. Deze structuur ligt in principe vast. Echter door gebruik te maken van PAScal kan hiervan
worden afgeweken. Basis parameters uit zuilendiagram.
Maak gebruik van de categorieën zoals deze vermeld zijn in bijlage A van dit document. Hanteer het
bijbehorende blokschema.
Project : Stappenplan Functional Safety Pagina 15
Auteur: Martijn Drost
Versie: 1.5
45. IEC 62061:
Het blokschema is gebaseerd op subsystems. Deze structuur is per deelsysteem (I, L. O) vrij naar
keuze. Basis tabel 5.
Door gebruik te maken van de kennis van de categorieën (zie Bijlage A) uit de ISO 13849-1 kan
gemakkelijk een blokschema worden opgezet. Hierbij kan tevens tabel 6 uit deze norm als hulpmiddel
dienen.
Maak gebruik van de categorieën zoals deze vermeld zijn in bijlage A van dit document. Hanteer het
bijbehorende blokschema. U bent echter vrij om te interpreteren.
Bepaal structuur
Zie voor de grafiek en tabellen ook Bijlage C en Bijlage D
Bepaal invulling van componenten
Kies per systeemdeel de componenten en controleer of deze geschikt zijn voor het betreffende
systeemdeel.
Overzicht parameters componenten:
Data van de fabrikant Data uit de toepassing
Project : Stappenplan Functional Safety Pagina 16
Auteur: Martijn Drost
Versie: 1.5
46. Stap 6: Valideer de betrouwbaarheid van het systeem
Controleer verkregen Veiligheidsniveau (PL / SIL) met te halen Veiligheidsniveau (PL / SIL);
ISO 13894-1: Gebruik figuur 5 om waarden te controleren
IEC 62061: Is SIL CL (tabel 5) gelijk aan SIL PFH (berekend) en komt dit overeen met SIL
vereist?
3 Mogelijkheden:
Verkregen: Behaald:
PL / SIL = PL / SIL gevalideerd = OK
PL / SIL > PL / SIL gevalideerd = OK, eventueel ‘mindere componenten’
PL / SIL < PL / SIL gevalideerd = Niet OK, herontwerp van de SF
Wanneer het systeem niet voldoet kan terug worden gegaan naar stap 4 om van daaruit opnieuw
te ontwerpen.
Gebruik hiervoor het tool PAScal.
Stap 7: Documenteer de gegevens in het TD
De beslissingen uit alle voorgaande stappen dienen te worden verwerkt in het TD. U kunt hiervoor
het software PAScal gebruiken om deze data vast te leggen.
Project : Stappenplan Functional Safety Pagina 17
Auteur: Martijn Drost
Versie: 1.5
47. Bijlage A. Designated Architectures – ISO 13849-1
Project : Stappenplan Functional Safety Pagina 18
Auteur: Martijn Drost
Versie: 1.5