Nieuwe ontwikkelingen in de PL-norm en de lancering van SISTEMA 2.0

26/09/17

December 2015 is door ISO de ‘nieuwe’ PL-norm (EN ISO 13849-1:2015) gepresenteerd met een aantal verfijningen en aanpassingen. De norm is in juni 2016 geharmoniseerd. Voor het gros van de gebruikers is dit inmiddels actueel omdat de nieuwe SISTEMA-versie (2.0) is gelanceerd. Met SISTEMA (Safety Integrity Software Tool for the Evaluation of Machine Applications) worden de faalkansberekeningen uitgevoerd en kan een belangrijk deel van de documentatie worden gerealiseerd. Een overzicht van een aantal belangrijke aanpassingen aan SISTEMA en een toelichting.

De methode om het benodigde PL-niveau (PLr, required) te bepalen is in de norm opgenomen in bijlage A. De bijlage is –net zoals in de vorige versie– informatief, de machinebouwer mag hiervan afwijken en een andere methode gebruiken. Het voor de hand liggende alternatief is gebruik maken van een C-norm voor specifieke machines die al een PL niveau voorschrijven. Dit was al zo in de oude norm maar dit is in de nieuwe norm nog eens extra benadrukt. De argumenten in de risicograaf (afbeelding 1) blijven:

  • S1 voor een lichte verwonding;
  • Afbeelding 1. De risicograaf om het benodigde PL-niveau (PLr, required) te bepalenS2 voor een zware verwonding;
  • F1 als blootstelling aan het gevaar zelden voorkomt;
  • F2 voor vaak tot continu blootstelling aan het gevaar;
  • P1 voor een onder voorwaarden afwendbaar gevaar;
  • P2 voor een niet afwendbaar gevaar.

De argumenten zijn niet exact en blijven lastig. Wanneer is een verwonding zwaar te noemen en wanneer is een blootstelling zelden? De norm laat hier ruimte voor de machinebouwer om een eigen inschatting te maken. Dat is op zich logisch omdat deze norm generiek gebruikt kan worden voor ‘machines’, van een draaideur in de openbare ruimte tot machines in de zware industrie. Voor het argument F1-F2 is in de norm een extra toelichting opgenomen. Er staat dat als het lastig is een keuze te maken (‘in case of no other justification’), F2 gekozen kan worden als de blootstelling vaker is dan een maal per 15 minuten (in de vorige versie van de norm stond een maal per uur). De blootstelling moet dan wel heel kort zijn want de cumulatieve blootstellingstijd mag voor F1 niet meer zijn dan 5% van het totaal.

Waarschijnlijkheid

Aan de methode voor het bepalen van het benodigde Performance Level (PLr) is de parameter ‘waarschijnlijkheid’ toegevoegd (afbeelding 2).

afbeelding 2. In SISTEMA 2.0 is het bij de bepaling van het benodigde PL-niveau mogelijk om de waarschijkheid in te voeren.
Afbeelding 2. In SISTEMA 2.0 is het bij de bepaling van het benodigde PL-niveau mogelijk om de waarschijnlijkheid in te voeren.

Hiermee komt de methode meer in lijn met de voor machinebouwers alom toegepaste norm EN ISO 12100. Als het niet waarschijnlijk is dat een gevaarlijke gebeurtenis zal optreden, biedt de nieuwe methodiek de mogelijkheid om op een lager benodigd PL uit te komen. Als gekozen wordt voor een lage waarschijnlijkheid wordt PLr één niveau verlaagd. SISTEMA biedt deze mogelijkheid overigens pas nadat in het menu Edit/Options/Expert settings een vinkje wordt geplaatst bij ‘rating the probability of a hazardous event (risk graph)’. Het is natuurlijk wel een keuze die een goede onderbouwing vereist. De waarschijnlijkheid heeft te maken met technisch falen en met menselijk gedrag. Daarom moet dit argument onderbouwd worden met factoren als betrouwbaarheid en ongevalsgeschiedenis bij vergelijkbare machines. De norm waarschuwt daarnaast dat een laag aantal incidenten in het verleden niet impliceert dat er een lage waarschijnlijkheid is. Het kan ook betekenen dat gekozen veiligheidsmaatregelen afdoende zijn. Indien in SISTEMA gekozen wordt voor een lage waarschijnlijkheid wordt dit in de berekening met gele waarschuwingsbolletjes nog eens extra benadrukt (afbeelding 3).

afbeelding 3. De keuze voor een lage waarschijnlijkheid wordt in de berekening gesignaleerd met een waarschuwing in geel.
Afbeelding 3. De keuze voor een lage waarschijnlijkheid wordt in de berekening gesignaleerd met een waarschuwing in geel.

Wijzigingen aan Categorie 2

In de tijd van EN 954-1 werd categorie 2 vaak toegepast. Het gaat om een enkelvoudig systeem met terugkoppeling (getest). Bij de introductie van EN ISO 13849-1 in 2006 werden niet alleen de faalkansberekeningen geïntroduceerd maar ook de eisen aan categorie 2 aangescherpt: het besturingssysteem dient tussen twee aanspraken van de veiligheidsfunctie tenminste 100 keer het cat2 subsysteem te testen. De factor 100 is in de praktijk vaak niet te realiseren bij machines. In de nieuwe PL-norm bestaat (net zoals in de SIL-norm EN IEC 62061) ook de optie om de verhouding ‘test-rate’-‘demand-rate’ op 1:1 te stellen, dus pas testen als de veiligheidsfunctie gebruikt wordt.Dit mag alleen als op het moment dat de fout wordtgedetecteerd een actie volgt die de machine naar een
veilige toestand brengt voordat het gevaar ‘bereikt’ kan worden:

  • EN ISO 13849-1 4.5.4: ‘testing occurs immediately upon demand of the safety function  and the overall time to detect the fault and to bring the machine to a non-hazardous condition (usually to stop the machine) is shorter than the time to reach the hazard’

Daarmee blijft categorie 2 een uitzonderlijke toepassing. Voor bijvoorbeeld een motorcontactor die in categorie 2 gebruikt wordt, kan het verkleven van de contacten eenvoudig worden getest zodra er een beroep op de veiligheidsfunctie wordt gedaan. Het bereiken van een veilige toestand is echter moeilijk omdat de motor blijft draaien. Er zijn weinig voorbeelden waarin toch een veilige situatie bereikt kan worden.
Daarnaast is er nu ook een optie om de verhouding tussen testrate en demandrate op 25:1 te stellen. Als dit wordt toegepast, wordt PFHD (Probability of a dangerous Failure per Hour) van het subsysteem met 10 procent verhoogd.
De bekende vinkjes waarmee de SISTEMA-gebruiker moet aangeven dat voldaan is aan de eisen van de categorie zijn nog gewoon aanwezig maar uiteraard aangepast aan de nieuwe norm. Een grote verbeteringis dat er bij sommige vinkjes een verduidelijking verschijnt in de vorm van een ‘tool tip’.

afbeelding 4. SISTEMA 2.0 maakt gebruik van 'tool tips. Hier de toelichting bij de eisen aan de test-rate.
Afbeelding 4. SISTEMA 2.0 maakt gebruik van 'tool tips'. Hier de toelichting bij de eisen aan de test-rate.

Als het falen van een component wordt gedetecteerd moet de machine naar een veilige toestand gaan. Als dat niet praktisch is en het benodigde niveau is PL=c of lager dan is het ook toegestaan om alleen de operator te waarschuwen.

Wijzigingen aan Categorie 4

Vanwege de eenvoudige rekenwijze en het gebruik van een tabel om de PFHD-waarde te bepalen is de maximale MTTFD (Mean Time To dangerous Failure) van een kanaal gesteld op 100 jaar. Een grotere MTTFD wordt afgekapt op 100 jaar. In de nieuwe versie van de norm is voor een categorie 4 subsysteem de maximale MTTFD per kanaal verhoogd naar 2500 jaar. Voor de lagere categorieën blijft de limiet, zoals voorheen, 100 jaar; de tabellen uit de norm zijn hierop aangepast. Daarnaast zijn de eerder genoemde tool tips in SISTEMA handig bij de eisen aan categorie 4. Bij de eisen staat ‘accumulation of faults does not lead to the loss of the safety function’. Dit is nu in de tool tip aangevuld met ‘the single fault is detected at or before the next demand upon the safety function’ (afbeelding 5).

afbeelding 5. De toelichting (tool tips) voor de eisen aan categorie 4 zijn uitgebreid met de opmerking bij het vierde vinkje.
Afbeelding 5. De toelichting (tool tips) voor de eisen aan categorie 4 zijn uitgebreid met de opmerking bij het vierde vinkje.

Nóg meer vinkjes!

De norm stelt dat het te bereiken PL wordt bepaald door kwantificeerbare en kwalitatieve aspecten. De kwantificeerbare aspecten zijn MTTFD voor componenten, DC (Diagnostic Coverage), CCF (Common Cause Failure) en de gekozen architectuur (categorie). Al deze aspecten worden verwerkt in de SISTEMA-berekening. Aan de kwalitatieve aspecten kunnen we geen getallen hangen. De door IFA (Institut für Arbeitsschutz der Deutschen gesetzlichen Unfallversicherung) gekozen benadering is het opnemen van deze aspecten in een afvinklijst waarmee de ontwerper verklaart dat deze aspecten zijn meegenomen. Het eerste vinkje bevestigt dat het systeemgedrag in overeenstemming is met hoofdstuk 6 van de norm waar per categorie vermeld staat wat het gedrag van een veiligheidsfunctie is wanneer er een fout optreedt. Bijvoorbeeld voor categorie 4:

  • ‘When a single fault occurs the safety function is always performed… The faults will be detected in time to prevent the loss of the safety function’.

Het tweede vinkje is een stuk spannender, hier staat dat de veiligheidsgerelateerde software is ontwikkeld volgens de ‘software safety requirements’ uit paragraaf 4.6. Het volgen van het V-model is de belangrijkste eis uit deze paragraaf. Hoewel deze software vaak redelijk eenvoudig is (met dank aan de functieblokken van de leveranciers) is voor veel bedrijven de veiligheidsgerelateerde software nog steeds een ‘ontwikkelingsgebied’. Vaak heerst de opvatting dat software foutloos is zodra deze is getest terwijl het belang van softwarespecificatie en -design wordt onderschat. Met het derde vinkje wordt bevestigd dat systematische fouten worden voorkomen (bijvoorbeeld door een systematisch ontwerptraject) en beheerst (bijvoorbeeld door technieken zoals redundantie, mechanisch gedwongen contacten en het ‘de-energization’-principe). Tot slot wordt met het laatste vinkje aangegeven dat de componenten die de veiligheidsfunctie uitvoeren blijven functioneren onder alle te verwachten (omgevings)omstandigheden. Wat met deze extra vinkjes nog eens wordt benarukt is dat functionele veiligheid meer omvat dan alleen de berekening van de faalkans.

Afbeelding 6. De afvinklijst voor de kwalitatieve aspecten in SISTEMA 2.0.
Afbeelding 6. De afvinklijst voor de kwalitatieve aspecten in SISTEMA 2.0.

Blokken en elementen

Een veiligheidsfunctie wordt opgebouwd uit subsystemen en een subsysteem bestaat uit één of twee kanalen, afhankelijk van de gekozen categorie. In SISTEMA zijn per kanaal blokken en elementen beschikbaar (afbeelding 7).

afbeelding 7. De opbouw van een veiligheidsfunctie met blokken en elementen.
Afbeelding 7. SISTEMA 2.0: de opbouw van een veiligheidsfunctie met blokken en elementen.

Voorheen moesten de elementen worden gebruikt omdat het blok beperkte invoermogelijkheden had. Hierdoor vormden de blokken vaak een lege tussenlaag met weinig toegevoegde waarde.
In SISTEMA 2.0 is de flexibiliteit van het blok sterk uitgebreid en kan alle denkbare data direct in het blok worden ingevoerd. Naast de mogelijkheid om in het blok de B10D-waarde (aantal schakelingen waarbij 10% gevaarlijk faalt) en nop-waarde (nop= (operationele dagen per jaar x operationale uren per dag x 3600)/ cyclustijd in s)) op te geven zijn er meer opties beschikbaar gekomen. Het is nu ook mogelijk om faalkansgegevens zoals B10, λ (uitvalkans van een subsysteem of een subsysteemelement), MTTF/MTBF (MTBF: Mean Time Between Failures) in te voeren in combinatie met een RFD-waarde (‘ratio of dangerous failure’).
Elementen kunnen indien gewenst nog gewoon gebruikt worden maar dat zal voornamelijk zijn wanneer bestaande SISTEMA-projecten worden geopend. De blokken en elementen zijn nu identiek en het is daarom ook mogelijk om een blok naar een element te kopiëren en vice versa.

afbeelding 8. Het invoeren van een faalkansgegevens in een blok.
Afbeelding 8. Het invoeren van faalkansgegevens in een blok.

‘Proven in use’

Voor uitgang-subsystemen die opgebouwd zijn uit mechanische en hydraulische of pneumatische componenten is een vereenvoudigde methode ontwikkeld om een PL en een PFHD te bepalen vanuit de categorie, zonder de MTTFD te gebruiken. Hiervoor is de nieuwe term ‘proven in use’ geïntroduceerd voor een subsysteem dat zich reeds in een specifieke configuratie in de praktijk heeft bewezen en waarbij de kans op systematische fouten zeer laag is.

Dit is deel II van een driedelige serie over de nieuwe PL-norm en SISTEMA 2.0. Het eerste deel, Machinebouwers – pas op met SIL-componenten uit de procesindustrie, leest u hier. Deel III – VDMA-bibliotheken voor faalkansberekeningen – verschijnt binnenkort op de website.

Gerald van Engeland, trainer D&F Consulting B.V.

 

Dit artikel is geschreven door Gerald van Engeland, TÜV-gecertificeerd Functional Safety Engineer bij D&F consulting B.V. en tevens gepubliceerd in de vakbladen 'Aandrijven en Besturen' en 'Constructeur'. 

D&F is uw expert voor SIL en PL  

D&F heeft meerdere experts op het gebied van SIL & PL. Neem geheel vrijblijvend contact op met een van onze veiligheidsadviseurs:

  • telefonisch contact via (076) 50 40 340
  • stel uw vraag direct via het contactformulier

Trainingen over SIL en PL

D&F geeft zeer praktijkgerichte trainingen over elektrische installaties van machines en veiligheidsbesturingen, SIL en PL, compleet met praktische tips om zelfstandig te werken met Sistema. De veiligheidstrainingen variëren van basis tot zeer diepgaand:

Bekijk hier het volledige trainingsaanbod.

Infosheet Functionele Veiligheid (gratis)

Deze infosheet schept duidelijkheid in de projectaanpak. U kunt de infosheet gratis bij ons opvragen en krijgt deze vervolgens binnen enkele werkdagen toegestuurd per post.

 

Neem contact met mij op

versturen

Of bel ons direct op

076 5040 340