Wat is de houdbaarheidsdatum van de besturing van een machine?

Dennis van Loon, senior consultant Machine Safety, D&F Consulting, TÜV certified Functional Safety Engineer

Een veiligheidsfunctie is in de norm EN-ISO 12100 §3.30 gedefinieerd als:

‘Machinefunctie waarvan een storing kan leiden tot een onmiddellijke toename van het (de) risico(‘s)’

Vaak zijn het besturingstechnische functies (elektrisch, hydraulisch en/of pneumatisch) die de veiligheid in een machine verhogen. Wanneer uit de risicobeoordeling een maatregel volgt die door de besturing van de machine wordt uitgevoerd, moet dit beschouwd worden als een besturingstechnische veiligheidsfunctie (hierna veiligheidsfunctie genoemd).

Veiligheidsbesturing in nieuwe machines

Fabrikanten van nieuwe machines maken voor de besturingssystemen veelal gebruik van normen zoals de ‘Performance Level’-norm (EN-ISO 13849-1/2) of de ‘SIL’-norm (EN-IEC 62061) om te kunnen voldoen aan de wettelijk verplichte essentiële veiligheids- en gezondheidseisen uit de Machinerichtlijn. De machinefabrikant moet volgens deze normen aantonen dat een veiligheidsfunctie is opgebouwd met een robuuste architectuur (vaak redundant) en een lage faalkans. Hierbij wordt gerekend met de individuele faalkansen van de componenten waaruit een veiligheidsfunctie is opgebouwd. De fabrikant van de machine behoort in de gebruiksaanwijzing aan te geven wat de levensduur van de componenten is die onderdeel uitmaken van een veiligheidsfunctie. Vaak zal dit 20 jaar zijn, maar afhankelijk van het type component en het ontwerp van de machinebesturing zou het zomaar kunnen dat van een bepaalde component wordt voorgeschreven dat die al na bijvoorbeeld 5 jaar zal moeten worden vervangen.

Faalkans en ‘mission time’

De faalkans van een component is gedurende de complete levensduur niet constant. De faalkans van een component zal in de beginfase van zijn levensduur ‘hoog’ zijn, denk bijvoorbeeld aan een component dat bij het eerste gebruik al niet naar behoren functioneert of in de eerste uren/dagen nadat het component in bedrijf is defect zal gaan. Als een component echter een aantal maanden naar behoren functioneert is het aannemelijk dat het de komende tijd daarna ook wel blijft functioneren. Er komt echter een moment waarop de faalkans van de component weer substantieel begint op te lopen. In deze fase kunnen deze componenten bij bosjes sneuvelen. Een goed voorbeeld hiervan zijn de koplampen van een auto. Als bij een nieuwe auto al na één dag de linker koplamp kapot gaat, dan is er waarschijnlijk iets mis geweest met de lamp of de montage van de lamp. Het is dan niet aannemelijk dat binnen een korte tijd de rechter koplamp ook defect zal gaan (tenzij er een gemeenschappelijk oorzaak is zoals een te hoge accuspanning). Als echter die linker koplamp vervangen wordt en na 10 jaar weer defect gaat is de kans veel groter dat op korte termijn de rechter koplamp ook de geest zal geven.

De faalkans van een component is gedurende de complete levensduur niet constant.

Mission time

Om dit rekenwerk voor de fabrikant van een machine enigszins eenvoudig te houden wordt de faalkans van een component beschouwd als constant gedurende zijn levensduur. Om dit te rechtvaardigen is het van belang om rekening te houden met het moment waarop de faalkans toe gaat nemen. Dit wordt de ‘mission time’ of ‘T1′ genoemd. In de PL-norm wordt een mission time (einde levensduur) voor een machine gehanteerd van 20jaar. De SIL-norm is daar wat flexibeler in door de levensduur (T1) aan de fabrikant over te laten. Praktisch gezien betekent dit dat van een machine die nu wordt geleverd, over 20 jaar de gehele veiligheidsbesturing zal moeten worden vervangen. De fabrikant van een machine moet voor de faalkansberekeningen van de veiligheidsfuncties dus rekening houden met de ‘mission time’.

‘Gevaarlijk falen’ en ‘veilig falen’

Voor elektromechanische componenten waarvan het schakelen een aanzienlijke invloed heeft op de slijtage (denk aan magneetschakelaars), is naast de mission time ook de B_10D waarde van belang. De B₁₀ waarde (door de fabrikant opgegeven) is het aantal schakelingen waarop (statistisch gezien) 10% van de componenten faalt. Er wordt echter onderscheidt gemaakt in ‘gevaarlijk falen’ en ‘veilig falen’. Bij een magneetschakelaar resulteert een defect in de spoel in de meeste situaties in een veilige situatie. De ‘gevaarlijke’ motor of cilinder die wordt bestuurd door de magneetschakelaar, zal niet meer inschakelen wanneer de spoel defect is. Wanneer echter de hoofdcontacten van diezelfde magneetschakelaar verkleven, zullen deze niet meer afvallen waardoor de actuator juist geactiveerd blijft. In dat geval spreken we van gevaarlijk falen.

Het aantal schakelingen waarop 10% van de componenten gevaarlijk faalt wordt de B_10D-waarde genoemd. Wanneer dit aantal schakeling van bijvoorbeeld een magneetschakelaar in een machine bereikt zal worden (dit tijdstip wordt ook wel T10_D genoemd), hangt voor een elektromechanisch component dus af van de schakelfrequentie. Met andere woorden een magneetschakelaar die elke minuut schakelt zal eerder deze B10_D-waarde bereiken dan wanneer diezelfde magneetschakelaar maar eens per dag schakelt.

De fabrikant van een machine moet voor de componenten met een B_10D-waarde die deel uitmaken van een veiligheidsfunctie een inschatting doen van de schakelfrequentie. Wanneer deze B_10D-waarde pas bereikt wordt na 20 jaar, past dit prima bij de standaard gedefinieerde mission time van 20 jaar volgens de PL-norm. Wanneer op basis van het te verwachten aantal schakelingen echter blijkt dat binnen de mission time (20 jaar) dit aantal schakelingen bereikt wordt, moet door de fabrikant van de machine in de gebruiksaanwijzing voorgeschreven worden dat dit component na deze tijd (T_10D) preventief vervangen zal moeten worden.

Veiligheidsfuncties in bestaande machines

Oudere machines die nog stammen uit de tijd dat de PL-norm nog niet was gepubliceerd of algemeen werd gebruikt, bevatten vaak wel besturingstechnische veiligheidsfuncties. Afhankelijk van de leeftijd kan het zijn dat deze veiligheidsbesturing is gebaseerd op de voorloper van de PL-norm (EN 954-1), of dat de besturing zelfs nog stamt van voor het CE-tijdperk (bouwjaar van voor 1995) toen geharmoniseerde normen hun intrede nog niet hadden gedaan. Hoelang is het voor u als gebruiker dan nog te verantwoorden om deze machines zonder update van de veiligheidsbesturing te laten gebruiker door uw werknemers?

Op die vraag is geen zwart/wit antwoord te vinden in de Nederlandse wetgeving. Wat wel in de wet is opgenomen is de verplichting voor de werkgever om periodiek een Risico Inventarisatie en Evaluatie (RI&E) uit te voeren waarbij ook de arbeidsmiddelen (waaronder machines) beoordeeld moeten worden. Wanneer uit deze risicobeoordeling risico’s volgen die niet als acceptabel beschouwd kunnen worden, is de werkgever verplicht om risico-reducerende maatregelen te treffen (los van het feit of de machine al dan niet een CE-markering heeft). Deze maatregelen kunnen ook betrekking hebben op de aanwezige veiligheidsmaatregelen zoals besturingstechnische veiligheidsfuncties.

‘Stand der techniek’

In de Kaderrichtlijn 89/391/EEG – Opgenomen in de Arbeidsomstandighedenwet – staat dat bij de keuze van de risico-reducerende maatregelen:

                rekening moet worden gehouden met de ontwikkeling van de techniek.

Vrij vertaald is dit te interpreteren als de actuele geharmoniseerde normen die de ‘stand der techniek’ vertegenwoordigen. Kortom, wanneer een bestaande machine risico’s bevat die met een besturingstechnische veiligheidsfunctie gereduceerd moeten worden, is het eerste uitgangspunt om in ieder geval deze ‘nieuw te implementeren veiligheidsfuncties’ in overeenstemming met de actuele veiligheidsnormen te realiseren (lees de PL/SIL-norm).

Wanneer uit de periodieke RI&E geen maatregelen volgen die betrekking hebben op de veiligheidsbesturing, wil dit niet echter zeggen dat de veiligheidsbesturing van een machine door alleen af en toe een defect component te vervangen het eeuwige leven is toebedeeld. Het is immers niet voor niets dat in de huidige SIL- en PL normen rekening wordt gehouden met de kwaliteit en degradatie van componenten door het gebruik in de tijd waarbij in principe een maximum van 20 jaar wordt gesteld.

Praktisch advies

Op basis van dat uitgangspunt ligt het praktische antwoord op de vraag wat ‘de houdbaarheidsdatum’ van de veiligheidsbesturing van een bestaande machine is, redelijk voor de hand:

Hanteer (ook) voor bestaande machines een ‘mission time’ van maximaal 20 jaar voor de veiligheidsbesturing.

Deze praktische interpretatie wil niet zeggen dat de complete machinebesturing per definitie iedere 20 jaar vervangen zou moeten worden, maar wel de componenten die deel uitmaken van een veiligheidsfunctie. Het is dan ook essentieel om ook voor bestaande of oudere machines ervoor te zorgen dat de documentatie en de besturingstechnische schema’s up-to-date zijn en overeenstemmen met de werkelijke situatie. Het moet immers duidelijk zijn welke componenten direct van invloed zijn op het veilig kunnen functioneren van de machine.

Informatie voor de gebruiker over de veiligheidsfuncties

De fabrikant van een machine heeft de verantwoordelijkheid om in de gebruiksaanwijzing alle relevante informatie met betrekking tot het gebruik, het in stand houden, onderhouden en testen van veiligheidsfuncties op te nemen. Hierin dient de gebruiker onder andere geïnformeerd te worden over de maximale levensduur van de componenten die deel uitmaken van een veiligheidsfunctie. Meestal zal dit standaard 20 jaar zijn, maar dit kan bij elektromechanische componenten die vaak schakelen aanzienlijk korter zijn.

Documentatie- en informatieverplichting

Ondanks deze concrete eisen in de PL- en SIL-norm, komt het in de praktijk regelmatig voor dat er onvoldoende informatie voor de gebruiker over de veiligheidsbesturing is opgenomen in de gebruiksaanwijzing. Het is daarom aan te raden wanneer u als gebruiker een nieuwe machine afneemt, te controleren of de fabrikant met betrekking tot functionele veiligheid (PL/SIL) aan zijn documentatie- en informatieverplichting heeft voldaan. Als gebruiker moet u namelijk weten onder welke voorwaarden de veiligheid van de besturing gedurende de levensduur van de machine gewaarborgd blijft.

Overzicht van veiligheidsfuncties

Wat u eenvoudig kunt controleren is of er überhaupt een overzicht van alle aanwezige veiligheidsfuncties is opgenomen in de gebruiksaanwijzing met daarbij de functie, de betrouwbaarheid en op basis van welke norm de veiligheidsfuncties gerealiseerd zijn. Dit kan er als volgt uitzien:

• Veiligheidsfunctie 1:

openen van deur 1 stopt motor 1

EN ISO 13849‑1:2016 Categorie B PL a

• Veiligheidsfunctie 2:

openen van deur 1 stopt motor 2

EN ISO 13849‑1:2016 Categorie 3 PL d

Belangrijk om te beseffen is de verantwoordelijkheid voor de gebruiker om de instructies uit de gebruiksaanwijzing met betrekking tot onderhoud en het vervangen van componenten die deel uit maken van de veiligheidsbesturing op te volgen. Neem de onderhoud- en vervangingsvoorschriften bijvoorbeeld op in het onderhoudssysteem. Wanneer een bedrijfsongeval terug te herleiden is naar het falen van bijvoorbeeld een magneetschakelaar waarvan verzuimd is om op basis van de gebruiksaanwijzing deze na bijvoorbeeld zes jaar te vervangen, kan dit als nalatigheid beschouwd worden.

Identificeren van componenten die deel uitmaken van de veiligheidsbesturing

Om te voorkomen dat componenten die deel uitmaken van een veiligheidsfunctie in de gebruiksfase ‘klakkeloos’ door nieuwe / andere componenten vervangen worden met het risico dat de werking of de betrouwbaarheid van de veiligheidsfunctie in het geding komt, is het aan te raden om deze componenten te markeren. Hiermee wordt je als gebruiker meteen ‘gewaarschuwd’ dat bepaalde componenten deel uitmaken van de veiligheidsbesturing. Dit is voor machinefabrikanten een nette oplossing, maar ook voor de uiteindelijke gebruiker van een machine waar deze componenten (nog) niet gemarkeerd zijn kan dit meerwaarde bieden.

In de praktijk zijn er voorbeelden waarbij er in een schakelkast een kaart hangt waarop alle componenten met codering benoemd zijn die deel uitmaken van een veiligheidsfunctie. Wanneer zo’n referentiekaart per schakelkast gemaakt wordt, is het zeker aan te raden om per component aan te geven in welk jaar deze vervangen dient te worden. Verder zijn er ook fabrikanten die alle componenten die deel uitmaken van de veiligheidsbesturing markeren met behulp van een sticker. Wanneer er gebruik wordt gemaakt van zo’n standaard sticker, zou het praktisch zijn om het jaartal waarop het component uiterlijk vervangen moet worden op deze sticker te vermelden. In dat geval is het voor de gebruiker in één oogopslag duidelijk dat een component onderdeel uitmaakt van een veiligheidsfunctie en tevens dat het component voor een bepaalde tijd vervangen moet worden. Bestel gratis een set praktische identificatiestickers via de website van D&F.

Een sticker die duidelijk maakt dat de component deel  uitmaakt van een veiligheidsfunctie en voor een bepaalde tijd moet worden vervangen.