12 mei. 2014
4 minuten
Mogen standaardcomponenten toegepast worden in veiligheidscircuits?
Het BGIA rapport 2/2008, bekend van SISTEMA, beschrijft/ bespreekt een aantal voorbeelden van veiligheidscircuits en de bijbehorende berekening/verificatie van het Performance Level. (Dit rapport is down te loaden op www.dguv.de)
In een aantal voorbeelden worden standaardcomponenten (zoals een standaard PLC en een standaard frequentieomvormer) opgenomen in de veiligheidscircuits en meegenomen in de berekeningen. Zie o.a. voorbeeld 17 (hoofdstuk 8.2.17) waarbij een standaard frequentieomvormer ‘redundant’ wordt afgeschakeld; 1x via de disable ingang van de frequentieregelaar en 1x via het voedende hoofdrelais.
Ik heb altijd begrepen dat dergelijke standaardcomponenten niet toegepast kunnen/mogen worden in veiligheidscircuits (of in ieder geval geen bijdrage kunnen leveren aan het behalen van een gewenste Performance Level.) Hoe kijkt u aan tegen het meenemen van deze standaardcomponenten in de bepaling van het Performance Level?
Antwoord:
Betreffende BGIA voorbeeld is hieronder weergegeven:
In dit specifieke geval worden er wel een aantal veiligheidscomponenten gebruikt:
De relais K1 t/m K3 zijn veiligheidsrelais PLd categorie 4. De frequentieomvormer is een standaard uitvoering en heeft een normale inhibit ingang.
Opmerking: Er zijn op dit moment speciale frequentieomvormers met een veiligheidsfunctie, die als veiligheidscomponent in de markt worden gezet. De veilige ingang van deze frequentieomvormer is een speciale STO ingang: ‘Safe Torque Off’, ingang van een frequentieomvormer die dan wel aan de norm NEN-EN-IEC 61800-5- 2:2007 en – Regelbare elektrische aandrijfsystemen – Deel 5-2: Veiligheidseisen – Functioneel, voldoet. (Power drive system). Vaak hebben deze frequentieomvormers naast de STO ingang ook een feedback uitgang die in het bovenliggende veiligheidssysteem gebruikt kan worden.
Enkele opmerkingen over het voorbeeld:
Het schema is niet praktisch opgebouwd omdat er geen sprake is van toepassing van stopcategorie 1 voor alle veiligheidsfuncties. Elke veiligheidsfunctie schakelt namelijk via Q1 direct de frequentieomvormer af en werkt dus in stopcategorie 0.
Verder wordt door het gebruik van de termen “Safe Torque Off” de indruk gewekt dat het gaat om een veilige afschakeling van de Torque binnen de frequentieomvormer.
In dit voorbeeld is de noodstopknop slechts 1-kanalig aangesloten, terwijl bovenaan voorbeeld 17 wordt gemeld dat het gaat om cascadering van veiligheidsfuncties volgens EN-ISO 13849 Categorie 3, PLd.
Een 1-kanalig circuit voldoet niet aan de designated architecture categorie 3 van figuur 11 uit hoofdstuk 6.2.6 van ISO 13849, maar voldoet indien de aders van dat circuit correct zijn aangesloten conform EN-ISO 13849-2 maximaal aan ISO 13849 categorie 1 (figuur 1).
Opmerking: Volgens EN-ISO 13850:2008 par. 4.1.5.1 moet het noodstopcircuit minstens een niveau overeenkomend met PLc/ SIL 1 hebben. Als de risicobeoordeling aantoont dat een hoger niveau vereist is zal het noodstopcircuit volgens dit niveau moeten worden uitgevoerd.
De vraag is echter hoe vaak (hier in dit voorbeeld) de noodstop wordt bediend en hoe vaak het hekwerk. De noodstop zal in de regel zelden worden bediend, terwijl de hekken heel vaak worden bediend.
Bij het noodstop relais ontbreekt de terugkoppeling van een NC contact van Q1. Hiermee is de schakeling van het noodstopcircuit maximaal uitgevoerd volgens de designated architecture categorie 1 van ISO 13849.
In het BGIA voorbeeld wordt verder aangenomen dat de frequentieomvormer T1 een MTTFd=20 jaar en een DC=60% (fault detection by the process) heeft.
Tevens wordt het volgende gezegd over de frequentieomvormer: “A part of the faults in T1 are detected by the process. A small number of faults are not detected by the controller.”
Deze opmerking in de BGIA uitleg is bijzonder, want er is geen controller die fouten van de frequentieomvormer T1 kan controleren. Er is dus geen sprake van automatische diagnose in de frequentieomvormer of daarbuiten. Bovendien en dat is nog belangrijker, is tot het moment dat Q1 correct blijft schakelen ook altijd T1 buiten werking.
Het ontwerpen van een veiligheidscircuit met veiligheidscomponenten al of niet in combinaties met niet-veiligheidscomponenten vereist kennis. Om fouten te vermijden kan dan ook het beste gebruik worden gemaakt van bestaande beproefde bouwstenen, zoals NOBO gecertificeerde logische eenheden, sensoren en actuatoren.
Om uw vraag te beantwoorden waarom de BGIA met een mix van gewone componenten en veiligheidscomponenten in dit voorbeeld wel een veiligheidsfunctie laat uitvoeren: hierover is wel een discussie te voeren.
Bij enkele van de door BGIA opgestelde voorbeelden kan aangetoond worden dat de veiligheid hiermee niet volgens het vereiste veiligheidsniveau gegarandeerd wordt. Een aantal veiligheidsconsultants en producenten van veiligheidscomponenten en -systemen vinden dat de BGIA met enkele van deze voorbeelden een verkeerd signaal afgeeft en de markt hiermee in verwarring brengt. De meeste gebruikers en ontwerpers hebben al moeite genoeg om een juist veiligheidscircuit te ontwerpen.
Conclusie
Gebruik van standaard PLC’s voor het direct aansturen van een veiligheidsfunctie, geeft problemen, omdat niet sprake is van betrouwbare en ‘veilige software’ (geen gecertificeerde veiligheidsbouwstenen en watchdog, e.d.) en vaak door de programmeur de software makkelijk is aan te passen (en dus iook de fout is aan te passen!). Bij onderhoud (van de besturingssoftware) kan dit ernstige veiligheidsproblemen veroorzaken. Bij verandering van de besturingssoftware kan onbedoeld (of bedoeld) een veiligheidsfunctie uitgeschakeld worden.
Beantwoord door Fusacon BV, Fusacon Functional Safety Consultants Nederland.
Anderen lazen ook
