SIL en PL in machinebouw: hoe past u dit toe? Deel 1

SIL en PL in machinebouw: hoe past u dit toe? Deel 1

De machinebouw heeft meer dan 15 jaar ervaring met de toepassing van de EN 62061 en/of de EN-ISO 13849-1 voor functionele veiligheid. Maar veel engineeringsbedrijven worstelen nog altijd met de toepassing van PL en SIL.

In 2005 werd de EN 62061 aangenomen, een jaar later de EN-ISO 13849-1. Deze normen classificeren respectievelijk het veiligheidsniveau in een Safety Integrity Level (SIL) en een Performance Level (PL). Beiden zijn kort daarna geharmoniseerd onder de Machinerichtlijn 2006/42/EG. Toepassing ervan geeft het zogenaamde ‘vermoeden van overeenstemming’.

Oorzaken bij het falen van een machinebesturing

In het verleden werden machinebesturingen veelal uitgevoerd in elektromechanische relais, maar tegenwoordig wordt gebruikgemaakt van PLC- of PC-systemen met of zonder remote I/O. Ofschoon dergelijke systemen op dit moment als betrouwbaar worden ervaren, heeft bijna elke engineer of onderhoudsman wel eens meegemaakt dat een machine onverwacht opstartte of een onverwachte beweging maakte.

Door de Engelse Arbeidsinspectie HSE zijn 34 gevallen onderzocht van een falend besturingssysteem. Uit het onderzoek ‘Out of Control’ blijkt dat meer dan 75 procent van de fouten in de specificatie-, ontwerp- en installatiefase van het veiligheidscircuit ontstaan. Uit resultaten van het onderzoek blijkt dat behalve ‘random hardware’ fouten (defect in hardware compo­nent), het merendeel van de fouten een systematisch karakter heeft. U kunt dus stellen dat deze ‘systematische’ fouten onbewust door de mens aan het veiligheidscircuit worden toegevoegd. De oorzaken zijn verschillend van aard, maar kunnen bijvoorbeeld ­liggen in een onduidelijke vastlegging van de functionaliteit/timing van de veiligheidsfunctie, een onjuiste risicoanalyse, onduidelijke documentatie, bugs in de applicatie software enzovoorts.

Getallengoochelaars

Er zijn op dit moment diverse marktpartijen, zoals trainings­instituten en productleveranciers, die een SIL/PL-training aanbieden, waarbij wordt geleerd hoe de kans op gevaarlijk falen per uur (Probability of Dangerous Failure Hour, PFHd) kan worden berekend. Voor de berekening van deze PFHd is in beide normen voor elk type architectuur een aantal basisformules voorhanden. Bijvoorbeeld, de formule uit EN 62061 voor een niet-redundant systeem kan worden berekend met de formule PFHd = λDU x 1h. Hierbij is λDU de faalfrequentie van de gevaarlijke niet gedetecteerde fouten (DU = dangerous undetected).

Softwaretools om SIL/PL bere­keningen te maken

Er zijn intussen diverse softwaretools voorhanden waarmee de SIL/PL bere­keningen kunnen worden gemaakt. De bekende tools zijn de Siemens Safety Evaluation Tool, de Pilz PAScal Safety Calculator en de IFA SISTEMA tool. Een aantal tools wordt kosteloos ter beschikking gesteld en een aantal tegen geringe kosten. De Pilz tool PAScal en de Siemens tool SET kunnen behalve de SIL-berekening ook de PL-berekening uitvoeren.

Veel adviesbureaus en bedrijven storten zich nu op de SIL/PL berekening met een dergelijke tool, maar vergeten de systematische fouten die in het ontworpen veiligheidscircuit kunnen sluipen. Na de uitleg van systematische fouten hieronder zal een echt voorbeeld uit de dagelijkse praktijk worden besproken.

Systematische fouten en de oorzaak ervan

Een systematische fout is in veel gevallen een verborgen fout in het ontwerp of de implementatie van het ontwerp. Systematische fouten kunnen zowel in hard- als software en in elke fase van de levenscyclus van een veiligheidssysteem optreden. Enkele voorbeelden zijn de keuze van een verkeerde ontwerpschakeling uit de leverancierscatalogus, het niet afzekeren van veiligheidscontacten van een veiligheidscircuit of het terugplaatsen van een foutieve zekering na een storing.

Systematische fouten kunnen permanent aanwezig zijn of alleen onder bepaalde omstandigheden optreden (intermitterende systematische fout). Een voorbeeld van een permanent aanwezige fout is een programmeerfout in het veiligheidsprogramma. De veiligheidsfunctie moet worden uitgevoerd als ‘A OF B’ optreedt, terwijl de programmeur ‘A EN B’ heeft geprogrammeerd. Als er geen test is gespecificeerd, zal deze fout altijd in de software blijven zitten.

Intermitterende fouten: wanneer treden deze op?

Een intermitterende fout treedt daarentegen alleen op in bepaalde omstandigheden. Als die omstandigheden verdwijnen, zal de veiligheidsfunctie weer normaal functioneren. Een voorbeeld hiervan is een ‘bus communication overload’ in een veiligheidsveldbus. De veldbus is om een bepaalde reden overbelast en de veiligheidsfunctie is tijdelijk niet beschikbaar. Wanneer de overload verdwijnt, is alles weer normaal.

Hoe werkt een noodstopcircuit?

Een éénkanalig noodstopcircuit werkt op basis van het ruststroomprincipe. Dit is een beproefd principe en het betekent dat normaal (in rust) stroom loopt door het noodstopcontact (zie onderstaand figuur).

 

Figuur 1

Het noodstopcircuit is voor de eenvoud even voorgesteld als een noodstopknop met een LED lamp (lees: motor van de machine). De uitleg volgt van links naar rechts. Als de noodstopknop is uitgetrokken, is het verbreekcontact gesloten en loopt er stroom en licht de LED lamp op. Als de noodstop wordt ingedrukt, opent het verbreekcontact en wordt de stroom verbroken en gaat de lamp dus uit. Ook bij een onderbreking in de kabel gaat de lamp uit. Ook bij een sluiting naar de aarde (GND) onder het verbreekcontact gaat de lamp uit. Met andere woorden, het noodstopcircuit reageert op een onderbreking van de stroom door het contact en ook een sluiting naar aarde.

Signaalbewaking over het contact

Als een noodstop wordt gekoppeld aan een veiligheids-PLC is er sprake van signaalbewaking over het contact. Het contact wordt dan gevoed vanuit de fail-safe ingangskaart met een pulserend signaal (1Vs). De signaalvorm wordt teruggelezen op een fail-safe digitale ingang en bewaakt. Hierdoor worden behalve onderbrekingen ook sluitingen naar een vreemde spanning vroegtijdig gedetecteerd. In het onderstaande figuur is in het linkervoorbeeld een noodstopknop met een verbreekcontact getekend en in het rechtervoorbeeld een noodstopknop met een maakcontact. Het linkervoorbeeld is correct, omdat dit werkt volgens het ruststroomprincipe en door de signaalbewaking alle fouten, uitgezonderd een overbrugging in de kabel, worden gedetecteerd.

 

Figuur 2

Bij het rechter voorbeeld moet het ingangssignaal in de ­logica geïnverteerd worden om de goede werking te krijgen. Deze aansluitmethode is om meerdere redenen niet correct:

  1. De werking van het maakcontact berust op het ­arbeidsstroomprincipe.
  2. Een noodstopschakelaar heeft alleen mechanisch gedwongen verbreek­contacten. De juiste werking van maakcontacten is niet gegarandeerd. Ten derde, bij een onderbreking in de kabel zal bij ­indrukking van de noodstop geen afschakeling meer volgen.
  3. Tot slot wordt een sluiting naar de plus of naar de aarde aan de onderzijde van de schakelaar pas gedetecteerd bij indrukking.

 

Lees voor het tweede deel van deze vraag verder op: https://www.fusacon.nl/blog/sil-en-pl-in-machinebouw-hoe-past-u-dit-toe-deel-2/

Over de auteur

Nick de With

Plaats een reactie

Wil je de beste Fusacon content in je mailbox ontvangen?