Waarom kiezen tussen PL en SIL?

09/10/12

Functional safety voor gevorderden

Hoewel de meeste machinebouwers Performance Level (PL) gebruiken om aan te tonen dat veiligheidsfuncties voldoende kwaliteit hebben is het zonder meer aan te bevelen om ook de Safety Integrity Level (SIL)  norm toe te passen. SIL en PL lijken namelijk erg veel op elkaar, SIL heeft wat meer variabelen en lastiger formules, PL is wat vereenvoudigd en maakt gebruik van de oude vertrouwde veiligheidscategorieën. Maar degenen die beide normen beheersen zien meer overeenkomsten dan verschillen en kunnen beide normen dan ook optimaal benutten.

Verschillen tussen SIL en PL

Met name op het gebied van documenteren en vastleggen is SIL completer dan PL, denk aan de management activiteiten en het opstellen van een functional safety plan. Er zijn steeds meer opdrachtgevers die om deze informatie en rapportage vragen. In dit artikel gaan we het verder alleen over techniek hebben. De meeste PL gebruikers zullen categorie 1 en 3/4 architecturen gebruiken, voor enkelvoudige en redundante systemen. Binnen SIL zijn deze architecturen ook beschikbaar (subsysteem architectuur ‘A’ en ‘D’ ). Even los van de formules en tabellen (die zien we zelden want we gebruiken toch een computertool) maakt het niet zoveel uit of PL of SIL gebruikt wordt.

Een belangrijk verschil tussen de redundante SIL en PL architecturen is dat PL meerdere componenten per redundant kanaal toestaat. Binnen de subsysteem D architectuur van SIL kan dat niet. Bij pneumatische of hydraulische subsystemen worden vaak meerdere componenten in één kanaal opgenomen en in dat geval is SIL niet goed toepasbaar.
Een ander verschil tussen PL en SIL is te vinden bij de enkelvoudige architecturen met feedback. Denk aan categorie 2 binnen PL. Falen van een component betekent verlies van veiligheid, maar er is een reële kans dat dit tijdens een test wordt ontdekt. Belangrijke PL vereiste is de verhouding 1 op 100 tussen demandrate en testrate. Om die reden is gebruik van cat2 binnen PL alleen nog in specifieke gevallen mogelijk. SIL werkt niet met categorieën maar brengt de architectuureisen onder in de volgende tabel: 

Voor HFT=1 (redundante systemen) zijn de architectural constraints duidelijk en vergelijkbaar met PL. Het interessante deel van de tabel is de HFT=0 kolom en dan met name de twee onderste claim limits. Met SFF = 90% is SIL 2 haalbaar; met 99% SFF zelfs SIL 3! SFF is het deel van de fouten dat veilig is, en daar horen ook de gevaarlijke maar wel gedetecteerde fouten bij. Neem bijvoorbeeld een motorcontactor. Door gebruik te maken van een terugmeldcontact (verbreker) kan een eventueel plakken van de contactor met grote zekerheid worden gedetecteerd (DC=99%). Binnen SIL hebben we dus de mogelijkheid om SIL3 te halen met één enkele motorcontactor, zoals de architectural constraints al aangeven.

Bij PL moeten we 100x testen tussen twee keer gebruiken van de veiligheidsfunctie om ten hoogste PL d te bereiken, hoe zit het dan bij SIL?

Moedernorm IEC 61508 voor functional safety

De norm IEC 61508 is de moedernorm voor functional safety waaruit zowel de PL als SIL normen voor de machinebouw zijn afgeleid:
IEC 61508-2; 7.4.4.1.4 When estimating the safe failure fraction of an element, intended to be used in a subsystem having a hardware fault tolerance of 0, and which is implementing a safety function, or part of a safety function, operating in high demand mode or continuous mode of operation, credit shall only be taken for the diagnostics if:

  • the sum of the diagnostic test interval and the time to perform the specified action to
    achieve or maintain a safe state is less than the process safety time; or,
  • when operating in high demand mode of operation, the ratio of the diagnostic test rate to
    the demand rate equals or exceeds 100.

IEC 61508-4; 3.6.20
process safety time
period of time between a failure, that has the potential to give rise to a hazardous event,
occurring in the EUC or EUC control system and the time by which action has to be completed
in the EUC to prevent the hazardous event occurring (EUC = equipment under control)

IEC 61508-4; 3.8.7
diagnostic test interval
interval between on-line tests to detect faults in a safety-related system that has a specified
diagnostic coverage

Uit bovenstaande artikelen is op te maken dat voor systemen zonder redundantie (HFT=0) de hoge DC waarden alleen mogen worden meegenomen in de berekeningen mits er een specifieke actie is die de machine tijdig naar een veilige toestand kan brengen, of mits de test 100x zo vaak wordt uitgevoerd als de veiligheidsfunctie. Enkel het tweede streepje met de bekende 100x factor is opgenomen in de PL norm. Toepassen van SIL maakt het andere streepje mogelijk.
Dus we gaan een niet redundant systeem gebruiken waarbij een hoog percentage van de gevaarlijke fouten gedetecteerd wordt. Dat mag dan alleen als er ´iets´ is dat ervoor zorgt dat zodra de fout wordt gedetecteerd de machine in een veilige staat komt of blijft.

Bij berekeningen met de Siemens Safety Evaluation Tool komt de volgende waarschuwing in beeld bij HFT = 0 en DC > 90:

SET:
For a single channel architecture (hardware fault tolerance of 0)and DC ≥ 90% SIL CL 2 or 3 only can be achieved with supplement measures. That means a safe condition of the machine shall be initiated by performing a specified fault reaction when a fault will be detected.

De onderbouwing hiervan is te vinden in de SIL norm waarbij ook de link naar de moedernorm goed herkenbaar is:

  • EN IEC 62061; 6.3.2 Where a diagnostic function(s) is necessary to achieve the required probability of
    dangerous random hardware failure and the subsystem has a hardware fault tolerance of
    zero, then the fault detection and specified fault reaction shall be performed before the
    hazardous situation addressed by the SRCF can occur.
  • EXCEPTION to 6.3.2: In the case of a subsystem implementing a particular SRCF where
    the hardware fault tolerance is zero and the ratio of the diagnostic test rate to the demand
    rate exceeds 100, then the diagnostic test interval of that subsystem shall be such as to
    enable the subsystem to meet the requirement for the probability of dangerous random
    hardware failure.

Een voorbeeld

We bekijken een zware transportband voor het transporteren van erts. De band heeft 10 aandrijfmotoren. Aan de kant van de keerrol is een afscherming geplaatst in de vorm van een hek met een toegangsdeur. Soms (1x per shift) moet een operator door deze deur voor werkzaamheden. De veiligheidsfunctie is: “De band moet stoppen en/of in stilstand blijven als de deur geopend wordt”.

PL required = d of target SIL = 2.

Voor elke aandrijving is één contactor voorzien met een mechanisch gedwongen verbreekcontact als feedback. De band in kwestie heeft de voor dit voorbeeld essentiële eigenschap dat één aandrijving onvoldoende koppel kan leveren om de band in beweging te zetten of te houden. Als één aandrijving start zal de band niet lopen en zal deze aandrijving uiteindelijk thermisch uitvallen.

Als dit met PL (cat2) zou worden uitgevoerd moet de transportband 100x starten en stoppen tussen twee keer openen van het hek, dat is in de praktijk zelden een optie. Redundantie in de vorm van extra magneetschakelaars is dan een oplossing.

Binnen SIL definiëren we een subsysteem C architectuur, meerdere enkelvoudige systemen met feedback. We hebben dan te maken met de keiharde eis dat zodra de fout gedetecteerd wordt, er een foutreactie is die de machine naar een veilige toestand brengt. Hier is de ‘specified fault reaction’ het stilstaan van de resterende 9 aandrijvingen die nog wel foutloos functioneren. De machine is op die manier nog steeds in een ’safe state’.

Deze benadering lijkt op een ‘9 out of 10’ redundantie maar daar voorziet de norm natuurlijk niet in. Het is slechts een conservatieve benadering van een dergelijk systeem. Let er op dat het gaat om de ‘specified fault reaction’ en zorg dat dit op een goede manier wordt vastgelegd en aangetoond. Let er ook op dat systematische fouten op de loer liggen. Als een ijverige servicemonteur een kapotte motor vervangt door een ander type, de nieuwste ‘high torque’ motor, kan het hele verhaal op de schop. Dit is natuurlijk wel ondervangen omdat er een modificatie procedure in het functional safety plan wordt opgenomen. U kunt natuurlijk alleen de grenzen van een norm opzoeken als u de gehele norm toepast.

Conclusie

Veiligheidsfuncties lijken lang niet altijd op het standaardvoorbeeld waar het openen van een hek één motor uitschakelt. Het beheersen van zowel de PL als de SIL norm brengt grote voordelen met zich mee. Pneumatiek en hydrauliek, zeker combinaties van meerdere ventielen, zijn het beste met PL aan te pakken. Voor andere systemen is SIL weer handiger. Als u al bekend bent met PL is de stap naar SIL goed te doen en kan deze kennis veel voordelen bieden. De komende jaren zullen beide normen naast elkaar blijven bestaan, doe er uw voordeel mee!

Over de auteur

Gerald van Engeland is TÜV gecertificeerd functional safety engineer voor het vakgebied machinebouw en werkt als adviseur en trainer bij D&F Consulting (www.denf.nl)

Dit artikel is in oktober 2012 gepuliceerd in vakblad de Constructeur. Klik hier om het gepubliceerde artikel te downloaden.

 

Neem contact met mij op

versturen

Of bel ons direct op

076 5040 340