Machinebouwers, pas op met SIL componenten uit de procesindustrie

29/08/17

Of het nu gaat om een machine, een auto, trein of een procesinstallatie, de invloed van het besturingssysteem op de veiligheid is de laatste jaren sterk gegroeid. Elke sector heeft zijn eigen bijzonderheden en typische componenten. De scheidslijn tussen deze sectoren kan heel dun zijn.

Een belangrijke eis uit de machinerichtlijn is:

‘De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt’.

Om te kunnen voldoen aan de eisen van de richtlijn kunnen geharmoniseerde normen gebruikt worden. Voor de veiligheidsgerelateerde delen van het besturingssysteem van machines kunnen we de normen EN ISO 13949-1/2 (PL) en EN IEC 62021 (SIL) gebruiken. In andere sectoren zoals o.a. rail, agriculture en automotive zijn ‘eigen‘ sectornormen in gebruik die de besturingstechnische veiligheid beschrijven en die ook gebruik maken van de termen PL of SIL. In de procesindustrie wordt de norm IEC 61511 toegepast voor functionele veiligheid. Omdat vooral deze SIL norm erg populair is, is in het verleden het misverstand ontstaan dat SIL alleen voor de procesindustrie is.
Al deze (sector)normen voor functionele veiligheid verwijzen naar de overkoepelende norm IEC 61508 die in de praktijk vooral gebruikt wordt door ontwikkelaars van veiligheidsgerelateerde hardware en (embedded) software. Een eindgebruiker zal zich slechts in bijzondere gevallen wenden tot deze ‘moedernorm’.

High en low demand

De veiligheidsvoorzieningen in machines worden relatief vaak gebruikt of aangesproken. Deuren worden geopend, lichtschermen doorbroken en aandrijvingen starten en stoppen regelmatig. We noemen dit ‘High Demand’ en berekenen de faalkans van de keten per uur (PFHd probability of dangerous failure per hour). Sensoren die de veiligheid uitvoeren worden ook in de gewone besturing gebruikt, trend is verdergaande integratie in veiligheidsPLC’s waarbij de informatie uit de veiligheidsbesturing ook in het reguliere PLC programma wordt gebruikt.
De veiligheidsvoorzieningen in de procesindustrie worden bij voorkeur nooit gebruikt. Dit noemen we ’Low Demand’ en dat komt omdat de veiligheid bij continu processen gelaagd is uitgevoerd. De eerste laag is de basis procesbesturing die bijvoorbeeld de druk in een vat regelt. De tweede laag is de operator die een knipperend vlakje op het scherm ziet en kan ingrijpen om de druk te verlagen. De derde laag is dan pas de veiligheidsbesturing. Deze laag noemen we een Safety Instrumented System en deze is volledig gescheiden van de basis procesbesturing en heeft eigen opnemers, logica  en actuatoren. De faalkans van deze keten wordt niet uitgedrukt in de kans op gevaarlijk falen per uur maar in kans dat het systeem faalt op het moment dat de functie nodig is (PFD, probabilty of failure on demand).

Architectural Constraints in de machinebouw

Omdat de faalkans van een enkelvoudig component soms spectaculair laag kan zijn is er ook een belangrijke rol weggelegd voor de architectuur van de veiligheidsfunctie. Het falen van een enkelvoudig subsysteem levert namelijk verlies van veiligheid op (ongeacht hoe klein deze kans is). Als een systeem niet voldoende redundantie en diagnose heeft, beperkt dat het te behalen SIL of PL level. Voor PL zijn deze architectuurbeperkingen opgenomen in de categorie (B, 1-4), voor SIL (machinebouw) is de term SILCL (SIL Claim Limit) geïntroduceerd waarmee aangegeven wordt welk SIL level met dit subsysteem maximaal kan worden behaald (geclaimd) op grond van de architectuur. Een eenvoudige vuistregel is dat tot en met SIL1 of PL = c een subsysteem met een beproefd component enkelvoudig zou kunnen zijn uitgevoerd (PL: categorie 1, SIL: HFT0) en daarboven redundant. (PL categorie 3/4, SIL HFT1).
Tussen de enkelvoudige en redundante systemen bevindt zich echter nog een vreemde eend in de bijt namelijk het enkelvoudige systeem met diagnose (PL Categorie 2; SIL HFT0 DC>= 90%) dit systeem mag echter alleen worden toegepast onder strikte voorwaarden. Als een fout wordt gedetecteerd door het diagnose-systeem, dan moet er een specifieke actie zijn die ervoor zorgt dat de machine (nadat de fout in het enkelvoudige systeem is gedetecteerd) tóch in een veilige toestand komt. (SIL: ‘specified fault reaction’ / PL: ‘appropriate control action’). Dat is in machines vaak moeilijk. Plakken van een magneetschakelaar welke een motor inschakelt, kan met grote zekerheid worden gedetecteerd maar de motor blijft draaien en de machine komt niet in een veilige toestand. Als een specifieke foutreactie niet uitgevoerd kan worden is het ook toegestaan om de diagnosetest tenminste 100x zo vaak als de veiligheidsfunctie uit te voeren wat  in veel machines ook onmogelijk is.

Architectural Constraints in de procesindustrie

In de procesindustrie zijn ook architectuureisen kan kracht. Hier worden enkelvoudige systemen met diagnose echter veel vaker toegepast. In de recent vernieuwde norm IEC 61511-1:2016 is in paragraaf 11.4.6 de volgende zin opgenomen: ‘Fault tolerance is the preferred solution to achieve the required confidence that a robust architecture has been achieved’. Desondanks kan volgens tabel 6 van deze norm een SIL2 veiligheidsketen in low demand met een enkelvoudige architectuur (dus niet redundant) worden gerealiseerd. Daarnaast zijn er mogelijkheden om onder voorwaarden de redundatie met één te verminderen. Deze waren in de vorige versie van de norm nog evidenter aanwezig. Daar stond weliswaar in tabel 6 dat SIL2 redundant zou moeten worden gerealiseerd maar werd de redundantie van sensoren en final elements vaak verlaagd met als argument o.a. ‘Prior use’ (IEC 61511-1: 2003, 11.4.4). Zonder verder teveel in detail te treden volstaan we hier met de constatering dat in de procesindustrie, voor veel veiligheidscomponenten, SIL2 behaald kan worden met een enkelvoudige architectuur.

SISTEMA

Hoewel de machinebouw en de procesindustrie gescheiden werelden zijn is er altijd overlap. Het bepalen van een niveau of druk is in machine soms ook nodig. De huidige tools zoals SISTEMA 2.0 (IFA) bieden ook de mogelijkheid om voor PL berekeningen faalkansgegevens zoals MTBF of λ in te voeren. Het is zelfs mogelijk om direct voor een subsysteem een SIL level op te geven. Op zich is dat een goede ontwikkeling omdat het gemakkelijker wordt om voor de machinebouw atypische componenten in veiligheidsketens te integreren. Het gevaar wat hierin schuilt is dat de ontwerper zich blind staart op een ‘SIL2’ kwalificatie in de datasheet zonder dat er een controle is op de juiste normverwijzing. Het resultaat hiervan kan zijn dat een veiligheidsfunctie wordt gerealiseerd waarvan uit de (kwantitatieve) berekening onterecht volgt dat deze SIL2 is. Daarom volgt nu een aantal voorbeelden uit de praktijk om dit probleem te illustreren.

Volg de training Performance Level en Sistema 2.0 en ga stap voor stap door de SISTEMA tool. Klik hier voor meer informatie.

Voorbeeld Veiligheidrelais

Op blad 1 van de datasheet van een veiligheidsrelais staat de volgende commerciële samenvatting:

Datasheet veiligheidsrelais
Als de bladzijde wordt omgeslagen staat er de volgende tabel:

Tabel veiligheidsrelais
Tussen de SIL 2 verwijzingen naar andere normen zijn ook de normen voor de machinebouw opgenomen. Hier staat duidelijk dat het component ook in machines gebruikt kan worden maar dan is het te bereiken niveau PL=c (EN ISO 13849-1) of SILCL1 (EN IEC 62061).

We hebben bovenstaande datasheet met de leverancier besproken, waarbij deze opmerkte: ‘zeg maar wat er fout is, dan passen we het aan’. Maar de tabel klopt en de conclusie is dat de tekst in de datasheet wel wat commercieel is maar dat de oorzaak van het foutief gebruik ligt bij ontwerpers die onvoldoende kennis hebben of niet verder kijken dan de ‘SIL2’ aanduiding.

Voorbeeld Inductieve opnemer

Een inductieve opnemer met de volgende gegevens:

Inductieve opnemer
Hier kwam een klant met de vraag: "Mag ik deze opnemer in een veiligheidsfunctie van een machine gebruiken?" De datasheet maakt alleen een referentie naar IEC 61508. Natuurlijk is het beter en makkelijker om in veiligheidsfuncties van machines sensoren te gebruiken waarvan de fabrikant verwijst naar de juiste SIL of PL norm. In dit geval is het echter een bijzondere sensor vanwege het toegestane temperatuurgebied en is het voor deze machine een sensor die uitermate geschikt is. Ons advies is om deze sensor gewoon toe te passen omdat de omgevingsomstandigheden dit rechtvaardigen maar niet uit de gaan van de kort door de bocht SIL2 specificatie. Dit component heeft geen enkele redundantie. Door twee redundante sensoren toe te passen waarbij de veiligheidsPLC de diagnose verzorgt, ontstaat een robuuste architectuur. Omdat er in de datasheet ook een MTTF gegeven is, is het verwerken van dit subsysteem in SISTEMA eenvoudig mogelijk. 

Voorbeeld niveausensor

Een niveausensor die een vloeistofniveau meet. De datasheet is wederom optimistisch:

Datasheet niveausensor

In de datasheet staat de volgende tekst:
‘The measuring system can be used for process pressure or level measurement of gases, vapours and liquids which meet the specific requirements of the safety technology. Due to the reliability this van be implemented in a single channel architecture (1oo1D) up to SIL2 and in a multi-channel diversitary redundant architecture up to SIL3’

1oo1D : This architecture consists of a single channel connected to an independent diagnostic circuit (not self-diagnostics). If the diagnostic circuit detects a hidden fault in the channel it asserts the safe state via a means independent of the channel.

Deze niveauopnemer behaalt SIL2 met een enkelvoudige architectuur. De PFH is opgegeven dus de berekening is snel gemaakt. Bij dit component is echter nergens een verwijzing naar de machinebouw en de daarbij horende SIL of PL norm gemaakt. Dus ook hier is het niet te onderbouwen dat enkelvoudig toepassen van dit component geschikt is voor een SIL2 of PL=d functie in een machine.

Conclusie

Gebruik in een machine bij voorkeur veiligheidscomponenten die verwijzen naar de PL (EN ISO 13849-1) of SIL (EN IEC 62061) normen voor de machinebouw (en voorzien zijn van een CE markering volgens de Machinerichtlijn). Het is echter minstens zo belangrijk dat componenten worden toegepast die goed geschikt zijn voor de taken die ze uitvoeren en de omgevingsomstandigheden die daar heersen. Als dat betekent dat een component uit de procesindustrie beter geschikt is, kies dan voor deze oplossing. Let er dan wel op dat de SIL2 op de eerste bladzijde van de datasheet waarschijnlijk niet van toepassing is. Machinebouwers zullen dan vaak zelf de redundantie moeten realiseren door twee componenten te combineren. Kortom, staar je niet blind op alleen een SIL niveau op een veiligheidscomponent!

Dit artikel is onderdeel van een driedelige serie over de nieuwe PL-norm en Sistema 2.0 omdat Sistema 2.0 het integreren van SIL-componenten erg eenvoudig maakt. Ook machinebouwers die geen PL of Sistema gebruiken kunnen hier hun voordeel mee doen.

Binnenkort verschijnen beide andere delen: ‘Nieuwe ontwikkelingen in de
PL-norm en de lancering van Sistema 2.0’ en ‘VDMAbibliotheken voor faalkansberekeningen’.

Gerald van Engeland, trainer D&F Consulting B.V.

 

Dit artikel is geschreven door Gerald van Engeland, TÜV-gecertificeerd Functional Safety Engineer bij D&F consulting B.V. en tevens gepubliceerd in de vakbladen 'Aandrijven en Besturen' en 'Constructeur'. 

D&F is uw expert voor SIL en PL  

D&F heeft meerdere experts op het gebied van SIL & PL. Neem geheel vrijblijvend contact op met een van onze veiligheidsadviseurs:

  • telefonisch contact via (076) 50 40 340
  • stel uw vraag direct via het contactformulier

Trainingen over SIL en PL

D&F geeft zeer praktijkgerichte trainingen over elektrische installaties van machines en veiligheidsbesturingen, SIL en PL, compleet met praktische tips om zelfstandig te werken met Sistema. De veiligheidstrainingen variëren van basis tot zeer diepgaand:

Bekijk hier het volledige trainingsaanbod.

Infosheet Functionele Veiligheid (gratis)

Deze infosheet schept duidelijkheid in de projectaanpak. U kunt de infosheet gratis bij ons opvragen en krijgt deze vervolgens binnen enkele werkdagen toegestuurd per post.

 

Neem contact met mij op

versturen

Of bel ons direct op

076 5040 340