Hoe gevaarlijk is gevaarlijk?

06/11/12

De machinerichtlijn (2006-42-EG) is opgenomen in de warenwet. Iedere fabrikant – en dat kan ook een gebruiker zijn die machines wijzigt – heeft dus de wettelijke plicht om machines te ontwerpen en te bouwen in overeenstemming met de machinerichtlijn. Deze eist dat 'de fabrikant van een machine of diens gemachtigde' garandeert dat een risicobeoordeling  wordt uitgevoerd om na te gaan welke veiligheids- en gezondheidseisen op die machine van toepassing zijn. De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan. Meer bepaald moeten zij zodanig ontworpen en gebouwd zijn dat een storing in de apparatuur of de programmatuur van het  besturingssysteem niet tot een gevaarlijke situatie leidt.’ Dat roept vragen op. Wat als de storing bijna niet kan voorkomen? Hoe gevaarlijk is gevaarlijk?

Normen geven een praktische uitleg van de richtlijn volgens de stand der techniek. Voor deze eis werd de norm EN 954-1 gebruikt, waarin de veiligheidscategorieën (B-1-2-3-4) worden omschreven. Deze norm is inmiddels opgevolgd door de Performance Level-norm (EN Iso 13849-1, PL) en er is een alternatief voorhanden: de Safety Integrity Levelnorm (EN IEC 62061, Sil). Op dit moment zijn PL en Sil hot in de machinebouw, maar om te voorkomen dat we ons massaal storten op de bijbehorende faalkansberekeningen is het belangrijk eerst de juiste stappen uit de machinerichtlijn
te volgen. Ik zie nogal eens een Sil 2 in een bestek staan zonder dat de opdrachtgever een risicobeoordeling heeft uitgevoerd. Of ik word uitgenodigd aan een tafel vol tekeningen en krijg de vraag wat het Performance Level van de machine is.

Risicobeoordeling

  1. De risicobeoordeling die de fabrikant van een machine uitvoert, begint bij de bepaling van de grenzen van de machine.
    Waarvoor is de machine bedoeld?
    Wie werkt ermee?
    Hoe wordt de machine gebruikt en onderhouden?
    Wat zijn de omgevingsomstandigheden omgevingsomstandigheden, de invloeden van het materiaal dat door de machine wordt verwerkt?
    Hoe lang is de levensduur van de machine en de (slijtage)onderdelen?
  2. De tweede stap is het opstellen van een lijst van gevaren. Gevaar voor beknellen, intrekgevaar, ergonomie, hoge geluidsniveaus, blootstelling aan gevaarlijke stoffen en ga zo maar door. Ook hier moeten we weer opletten. Maak alleen een lijst met gevaren en ga nog niet in discussie over de oplossing.
  3. Daarna volgt het inschatten van de risico’s per gevaar. Hiervoor zijn diverse methodes beschikbaar die allemaal de hoogte van het risico bepalen met behulp van een aantal argumenten zoals ernst van het letsel, frequentie en duur van de blootstelling en waarschijnlijkheid en afwendbaarheid van de gevaarlijke situatie.
  4. Vervolgens wordt elk risico geëvalueerd om te bepalen of het risico mogelijk aanvaardbaar is of dat maatregelen noodzakelijk zijn.

Risico's reduceren

Het reduceren van het risico gaat dan in drie stappen waarbij een stap pas mag worden toegepast als de voorgaande stappen
geen verdere risicoreductie meer kunnen opleveren.

  1. De eerste stap is bronaanpak, waarbij je het ontwerp wijzigt zodat het risico wordt verminderd.
  2. De tweede optie is beveiligen bijvoorbeeld door het plaatsen van een afscherming.
  3. Als dat het probleem niet oplost, blijft er niets anders over dan de gebruiker te waarschuwen voor restrisico’s.

Als een beveiliging bestaat uit een vaste afscherming is PL of Sil niet van toepassing. Pas als de gekozen beveiliging afhankelijk is van een besturingssysteem spreken we van een veiligheidsfunctie en noemen we het vakgebied functional safety. Een veiligheidsfunctie zou kunnen zijn: ‘openen van toegangsdeur 1 stopt de aandrijving van motor 1’ of ‘de sluisdeuren van het benedenhoofd mogen pas openen als de deuren van het bovenhoofd zijn gesloten’. Afhankelijk van het risico dat door de veiligheidsfunctie wordt gereduceerd, wordt een benodigd PL- of Sil-niveau toegewezen aan die veiligheidsfunctie.

Een machine heeft vrijwel altijd meerdere veiligheidsfuncties, met vaak ook verschillende PL- of Sil-niveaus. De PL-norm heet ‘Safety-related parts of control systems’ en beschrijft dus de delen van het besturingssysteem die worden gebruikt in de veiligheidsfuncties. Een hek heeft geen PL, een elektromotor of een complete machine evenmin. Denk bij veiligheidsgerelateerde delen van het besturingssysteem aan:

  • schakelaars
  • lichtschermen
  • veiligheids-PLC’s
  • veiligheidsrelais
  • motorcontactors
  • of hydraulische en pneumatische ventielen.

Safety Requirements Specification (SRS)

Naast de risicobeoordeling is het belangrijk om de lijst met veiligheidsfuncties goed te documenteren in een Safety Requirements Specification (SRS). Omschrijf de veiligheidsfuncties, zorg voor duidelijke benamingen, inclusief de benodigde PL- of Sil-levels. Leg ook de gebruiks- en omgevingsomstandigheden vast in de SRS. Het is natuurlijk alleen zinvol om te gaan rekenen aan veiligheidsfuncties als we hebben gecontroleerd of we geschikte componenten hebben toegepast en of deze componenten ook worden gebruikt zoals de leverancier voorschrijft.

Over de auteur

Gerald van Engeland is Tüv-gecertificeerd functional safety-engineer voor het vakgebied machinebouw en werkt als adviseur en trainer bij D&F Consulting (www.denf.nl).

Dit artikel is onlangs gepubliceerd in het vakblad: Mechatronica en machinebouw, nummer 5. 

Neem contact met mij op

versturen

Of bel ons direct op

076 5040 340