17 jun. 2025
4 minuten
Ons bedrijf realiseert diverse safety-related control functions (SF’s) in een veiligheids-PLC. Nu komt het wel eens voor dat een gebruiker de machine volledig uitzet en later weer aanzet. Moeten de safety functies dan gecontroleerd worden?
Binnen de hard- en software engineers van ons bedrijf is er nog wel eens discussie over een (verplichte) controle van alle SF’s na elke ‘power down-power up’ van de veiligheids-PLC. Volgens mij heb ik ergens in een norm gelezen dat bij het opstarten van de PLC alle veiligheidsfuncties ‘safe’ moeten aangeven, voordat de werking van de machine vrijgegeven kan worden. Met andere woorden alle SF’s moeten eerst gecontroleerd worden voordat een startvrijgave kan volgen. Mijn collega’s zijn echter van mening dat dit niet noodzakelijk is omdat de Safety PLC dit met zijn zelftesten allemaal ondervangt.
Vraag
Is de controle van safety functies na een herstart van de Safety PLC noodzakelijk?
Antwoord
Na een hernieuwde opstart van de Safety PLC zal een opstartbouwsteen in de Safety PLC worden opgeroepen en zal de status van alle ingangen opnieuw worden ingelezen. Het kan dan inderdaad voorkomen dat een fout die voorafgaand aan de ‘power down-power up’ door de veiligheids-PLC is gedetecteerd, niet meer wordt onderkend. Een voorbeeld van een dergelijke fout is de overbrugging van een NC-contact van 1 schakelaar in een redundant veiligheidscircuit. Deze eerder gedetecteerde fout zal dus niet worden opgemerkt en een start van de machine kan dan ondanks een fout in een veiligheidscircuit toch plaatsvinden.
De basisnorm voor elektrische besturingen van machines, de EN-IEC 60204-1 uit 2018 geeft in paragraaf 9.2.3.2 de eisen waaraan een startfunctie moet voldoen, zie kader 1. Er wordt duidelijk gemeld dat ‘Starten alleen mogelijk mag zijn, wanneer alle relevante veiligheidsfuncties en/of beschermingsmaatregelen zijn aangebracht en functioneren’. Je zou hieruit kunnen concluderen dat de start alleen mag volgen als alle beschermingsmaatregelen zoals blokkeerschermen, lichtschermen, veiligheidsscanners e.d. de machine weer vrijgeven en functioneren. In paragraaf 9.2.3.2 staat een uitzondering die verwijst naar paragraaf 9.3.6, waarin het thema ‘buitenwerking stellen van veiligheidsfuncties en/of beschermingsmaatregelen’ middels een viertal voorwaarden wordt benoemd. Het gaat in 9.3.6 over de toepassing van additionele veiligheidsmaatregelen inclusief hold-to-run of gelijksoortig toestel als personen in de nabijheid van de gevarenzone moeten werken.
Ook de SIL-norm voor machines, de EN-IEC 62061 uit 2021, beschrijft in paragraaf 7.4.3.2 ‘Fault reaction function’ bepaalde eisen die gelden nadat een bepaalde fout in de veiligheidsfunctie is gedetecteerd. Zie kader 2. Hier wordt duidelijk gesteld dat als een storingsreactiefunctie van een SIL 3 functie, heeft geleid tot het stoppen van de machine, dan mag de normale werking van de machine (bijvoorbeeld het opnieuw opstarten van de machine) niet mogelijk zijn, totdat de storing is gerepareerd of verholpen.
Uit bovenstaande wordt duidelijk dat het zeker zo is dat in bepaalde gevallen alle SF’s eerst moeten worden gecontroleerd en correct zijn bevonden, voordat een startvrijgave mag volgen.
Bovenstaand antwoord is afkomstig van FUSACON B.V. https://www.fusacon.nl/
Kader 1: EN-IEC 60204-1:2018 paragraaf 9.2.3.2
NEN-EN-IEC 60204-1:2018 par. 9.2.3.2 Starten
Startfuncties moeten in werking treden door bekrachtiging van de desbetreffende stroomketen.
Starten mag alleen mogelijk zijn wanneer alle relevante veiligheidsfuncties en/of beschermingsmaatregelen zijn aangebracht en functioneren, behalve onder omstandigheden zoals beschreven in 9.3.6.
Voor machines (bijvoorbeeld verplaatsbare machines) waarop voor bepaalde handelingen geen veiligheidsfuncties en/of beschermingsmaatregelen kunnen worden toegepast, moeten deze handelingen worden gestart door middel van ‘hold-to-run’-bediening, in combinatie met vrijgavetoestellen, indien van toepassing.
[Z> Bij de risicoanalyse moet worden overwogen om akoestische en/of visuele waarschuwingssignalen te geven voordat een gevaarlijke machinebeweging start. Waar uit de risicoanalyse blijkt dat een of beide waarschuwingssignalen nodig zijn, moet het niveau ervan geschikt zijn voor de omgeving waarin de machine moet werken. <Z]
Waar nodig moeten er passende vergrendelingen zijn aangebracht, om ervoor te zorgen dat het starten in de juiste volgorde plaatsvindt.
Bij machines waarvoor meer dan één bedieningsstation nodig is om te starten, moet elk bedieningsstation zijn uitgerust met een eigen startschakelaar met handbediening. Om te kunnen starten:
• moet aan alle vereiste voorwaarden met betrekking tot de werking van de machine zijn voldaan, en
• moeten alle startschakelaars in de ‘uit’-stand staan, en dan
• moeten alle startschakelaars gelijktijdig worden bediend (zie 3.1.7).
Kader 2: EN-IEC 62061:2021 paragraaf 7.4.3.2
NEN-EN-IEC 62061:2021 par. 7.4.3.2 Fault reaction function
Where a diagnostic function is necessary to achieve the required PFH or safe failure fraction and the subsystem has a hardware fault tolerance of zero, then
– the sum of the diagnostic test interval and the time to perform the specified fault reaction function to achieve or maintain a safe state shall be shorter than the process safety time (e.g. see ISO 13855); or,
– when operating in high demand mode of operation, the ratio of the diagnostic test rate to the demand rate shall equal or exceed 100.
Where performance of a fault reaction function as part of an SCS that is specified as SIL 3 has resulted in the machine being stopped, subsequent normal operation of the machine via the SCS (e.g. enabling re-start of the machine) shall not be possible until the fault has been repaired or rectified. For an SCS with a specified safety performance of less than SIL 3, the behavior of the machine after performance of a fault reaction function (e.g. re-starting normal operation) shall depend on the specification of relevant fault reaction functions (see 5.2.2).
Het laatste nieuws
Anderen lazen ook
