Zijn standaardcomponenten inzetbaar voor veiligheidsfuncties?

Sinds de komst van de veiligheidsnormen NEN-EN-ISO 13849-1 en NEN-EN 62061 onder de Machinerichtlijn hebben steeds meer machinefabrikanten vragen over het gebruik van standaardsensoren in veiligheidsfuncties. Sensorproducenten noteren meestal uitsluitend een MTTFd- of MTTF-waarde. Is deze waarde alleen voldoende voor een beslissing om standaardsensoren te gebruiken in een veiligheidsfunctie?

Waarom geven de producenten geen parameters op voor bijvoorbeeld Performance Level of Safety Integrity Level voor deze standaardonderdelen? Is het sowieso toegestaan om standaardonderdelen te gebruiken voor veiligheidsfuncties? Het antwoord op die vraag luidt: in principe wel.

Enerzijds zorgen de veiligheidsnormen NEN-ENISO 13849-1 en NEN-EN 62061 voor grotere flexibiliteit bij de machinefabrikant. Deze kan standaardcomponenten gebruiken in veiligheidscircuits om materiaalkosten te besparen. Anderzijds hebben systeemontwerpers meer werk te verrichten bij de beoordeling van de betrouwbaarheid en de effecten van de optimalisatiemaatregelen.

De betrouwbaarheidswaarde MTTF (Mean Time To Failure: betrouwbaarheid van onderdelen in relatie tot het optreden van een fout) is een van de factoren bij een dergelijke beoordeling. Steeds meer machinefabrikanten vragen om deze waarde, zodat ze standaardcomponenten kunnen gebruiken in veiligheidsfuncties. Maar de MTTF-waarde is slechts een onderdeel van de gegevens waarmee rekening moet worden gehouden in veiligheidsfuncties.

Veiligheidsfunctie

Een veiligheidsfunctie wordt uitgevoerd door een veiligheidssysteem om een veilige situatie van een machine en/of systeem te bereiken of te behouden. Een fout in de veiligheidsfunctie resulteert onmiddellijk in een verhoging van het risico. De veiligheidsfunctie wordt bepaald in de gevaren- en risicoanalyse en moet minimaal de volgende basisitems bevatten:

 – detectie;

 – logica;

 – beweging;

 – tijdslimieten (indien nodig).

 Deze worden in de NEN-EN-ISO 13849-1 weergegeven onder de naam ‘subsystemen’. Bij het ontwerpen van subsystemen moet rekening worden gehouden met: NEN-EN 954-1 vs NEN-EN-ISO 13849-1 NEN-EN 954-1 beschrijft de structurele maatregelen (de architecturen) ingedeeld in categorieën; in NEN-ENISO 13849-1 zijn dezelfde categorieën opgenomen. Als aanvulling op de structurele criteria ligt de nadruk van de nieuwe normen vooral op betrouwbaarheid van de componenten, diagnose en maatregelen om fouten te voorkomen. In het kader ‘De termen toegelicht’ wordt dit nader verklaard. De genoemde items zijn gericht op NENEN- ISO 13849-1 met het Performance Level (PL), maar zijn eveneens geldig als NENEN 62061 wordt toegepast.

– de hardware- en softwarestructuur (architectuur);

 – de betrouwbaarheid van de componenten, in verband met veiligheid;

 – de effectiviteit van foutdetectiemechanismen;

 – de maatregelen die worden genomen ter bestrijding van fouten met een gemeenschappelijke oorzaak;

 – het ontwerpproces van hardware en software;

– de geschiktheid voor de werkbelasting en de omgevingsomstandigheden.

 De subsystemen, bijvoorbeeld veiligheidslichtschermen of veiligheidscontrollers, worden vastgesteld voor de berekening en evaluatie van een veiligheidsfunctie. Voor deze subsystemen wordt de Performance Level (PL) volgens NEN-EN- ISO 13849-1 dan wel het Safety Integrity Level (SILcl) volgens NEN-EN 62061 bepaald (afbeelding 1).

Voor foutdetectie van vaak elektromechanische componenten in het veiligheidscircuit, zoals motorschakelaars en vergrendelingen maar ook bijvoorbeeld ventielen, zijn aanvullende maatregelen door middel van een overkoepelend besturingssysteem vereist.

Indien optische sensoren worden gebruikt moet niet alleen rekening worden gehouden met de functionele veiligheidsaspecten, maar ook met de optische kenmerken die de vereiste detectiecapaciteit van de sensor bepalen. Deze kenmerken zijn variabel, afhankelijk van het feit of de veiligheidsfunctie is bedoeld voor de detectie van personen of objecten.

 Safety Performance Level

In NEN-EN ISO 13849-1 wordt de risicografiek uit afbeelding 1 gebruikt om het vereiste Performance Level (PLr; de r staat voor ‘required’) te bepalen. De systeemontwerper beoordeelt eerst de gevaren van de machine zonder beschermende maatregelen op basis van:

  • de ernst van het letsel;
  • de frequentie en/of de duur van het gevaar;
  • de mogelijkheid om het gevaar te vermijden of de schade/het letsel te beperken.

 Dit resulteert in een Performance Level ‘PLr = a t/m e’ voor de vereiste kwaliteit van de beschermende maatregelen, waarbij ‘e’ staat voor de grootste risicovermindering. De NEN-EN ISO 13849-1 geeft een leidraad om te bepalen of de technische beschermingsmaatregel het vereiste Safety Performance Level (PLr) kan opleveren. In de norm staat ook een staafdiagram dat een vereenvoudigd overzicht geeft van de vereiste criteria (afbeelding 2). Niet getoond worden: de eisen voor het ontwerpproces, de toepassingsomstandigheden en de maatregelen tegen de systematische fouten (zie ‘De termen toegelicht’).

sick 2

  

Afbeelding 2. Het bepalen van het Perfomance Level van een subsysteem volgens de vereenvoudigde methode van de NEN-EN ISO 13849.

  

 Maalmachine

 Als toelichting op de theorie volgt nu een praktijkcase die het bewaken van de veiligheidsdeur op een maalmachine behandelt (afbeelding 3). Het gebruik van standaardsensoren voor veiligheidsfuncties wordt aan de hand van verschillende oplossingen beoordeeld: – Gebruik van een veilige magneetschakelaar.

– Gebruik van een standaard inductieve sensor.

– Gebruik van twee identieke standaard inductieve sensoren.

– Gebruik van twee verschillende standaardsensoren.

De veiligheidsdeur van de maalmachine wordt viermaal per uur geopend en gesloten. De veiligheidsfunctie moet ervoor zorgen dat de motor van de maalmachine onmiddellijk uitschakelt als de deur wordt geopend. De risicobeoordeling heeft geleid tot het vereiste veiligheidsniveau PLr = d.

sick 3

Afbeelding 3. Is het mogelijk een veiligheidsdeurdetectie voor een maalmachine te verwezenlijken met standaardcomponenten?

 Veilige magneetschakelaar

 Een benaderingsschakelaar voor veiligheidsfuncties wordt gebruikt als sensor. Het veiligheidssysteem bestaat uit de veiligheidssensor, een logische eenheid en de motorschakelaars waarmee de gevaarlijke beweging wordt gestopt. Het bereikte PL voor elk van deze subsystemen wordt vastgesteld.

De fabrikant van de componenten zorgt voor de benodigde gegevens en de normen zoals toegepast voor de gebruikte componenten, inclusief beveiligingscomponenten (afbeelding 4).

Zoals blijkt uit afbeelding 4 geeft de fabrikant geen Performance Level (PL) voor alle gebruikte componenten. Om de Performance Level vast te stellen, moet de gebruiker een beoordeling uitvoeren van de structuur (de categorie), de diagnose en de testmaatregelen (DC) zoals deze zijn uitgevoerd door de logische eenheid, en de maatregelen die zijn genomen om fouten met een gemeenschappelijke oorzaak (CCF) te bestrijden.

sick 4

  Afbeelding 4. De beoordeling van het veiligheidssysteem met een veilige magneetschakelaar conform NEN-EN ISO 13849-1 en de relevante productnormen. 

Resultaat

 De sensor moet zodanig op de machine worden geplaatst dat niemand de beschermingsmaatregel kan omzeilen (met andere woorden: op een ‘sabotagebestendige’ plaats). Het bij deze oplossing vastgestelde veiligheidsniveau is PL = e, dat zelfs hoger is dan het vereiste niveau PLr = d. De veiligheidsfunctie kan voor beschermingsdoeleinden worden gebruikt.

 Standaard inductieve sensor

 Er wordt een standaard inductieve sensor gebruikt voor de veiligheidsfunctie (afbeelding 5). De fabrikant geeft een MTTFd van 83 jaar voor de sensor (MTTFd = ‘Hoog’ volgens NEN-EN ISO 13849-1). De sensor is ontwikkeld in overeenstemming met de productnorm NEN-EN-IEC 60947-5-2. Daardoor kan worden aangenomen dat de sensor overeenstemt met de basisveiligheidsprincipes voor dit specifieke type (zie ‘De termen toegelicht’).

Deze standaardsensor is meestal voorzien van complexe elektronische onderdelen (bijvoorbeeld μC, asic, transistorreeksen). De fabrikant specificeert geen faalwijze ingeval van een interne fout. Dit betekent dat deze sensor geen component volgens beproefde veiligheidsprincipes is, zoals gedefinieerd in de NEN-EN ISO 13849-2 – het is gewoon een standaardcomponent (zie ‘De termen toegelicht’). Deze beperking houdt in dat de veiligheidsbeoordeling niet hoger kan zijn dan categorie B of Performance Level b, ervan uitgaande dat het component de in de toepassing te verwachten omgevingsinvloeden kan weerstaan (zie ‘De termen toegelicht’).

 sick 5

Afbeelding 5. De beoordeling van het veiligheidssysteem met een standaard inductieve sensor conform NEN-EN ISO 13849-1 en de relevante productnormen.

 Resultaat

 Met een standaard inductieve sensor wordt de vereiste Performance Level d niet bereikt, ondanks de hoge MTTFd-waarde van de sensor (afbeelding 2). Met een extra, extern elektrisch testmechanisme kunnen enkele veiligheidsgerelateerde fouten worden gedetecteerd. Het is echter onmogelijk om een complete foutendekking (DC) te krijgen, omdat de interne structuur en faalwijzen in de sensor onbekend zijn. Het testmechanisme zou de veiligheidsbeoordeling dan ook niet veranderen.

Twee standaard inductieve sensoren

 Nu worden twee dezelfde sensoren als bij de vorige oplossing gebruikt als een tweekanaals ingangscircuit (afbeelding 6). De logische eenheid zorgt voor de diagnose en controleert of de ingangssignalen naar het ingangscircuit plausibel zijn (beide kanalen moet altijd een identiek signaalniveau hebben).

Deze tweekanaals architectuur, met plausibiliteitscontrole door de logische eenheid, biedt een betere foutendekking dan de oplossing met een kanaal.

De controle wordt iedere keer uitgevoerd als de veiligheidsdeur wordt geopend en gesloten (ongeveer viermaal per uur). Aangezien er geen dynamische test en geen detectie van kortsluiting tussen de twee ingangskanalen is, bereikt het subsysteem van sensoren samen met de logische eenheid een gemiddelde foutendekking (DC 90%).

 sick 6

Resultaat

 Met de architectuur uit categorie 3 en de gemiddelde DC kan het mogelijk zijn om PLd te bereiken (afbeelding 2). Er moeten echter maatregelen worden genomen om het optreden van onbekende fouten in beide kanalen van het ingangscircuit op hetzelfde tijdstip te voorkomen.

Dat kan namelijk leiden tot het falen van de veiligheidsfunctie (zie ‘De termen toegelicht’).

Bijvoorbeeld: overspanningspieken op de sensorlijnen als gevolg van hoge inductieve schakelbelastingen in de buurt kunnen een gelijktijdige vernieling van de schakeluitgangen van de sensoren veroorzaken (beide kanalen moeten op ‘hoog’ niveau blijven).

Als de CCF-maatregelen niet voldoende zijn of als de lokale omstandigheden niet kunnen worden beoordeeld, dan moet de tweekanaals architectuur worden beoordeeld alsof het een eenkanaals architectuur is. In dat geval is, net als voor oplossing met een standaard inductieve sensor, categorie B de hoogst haalbare, omdat de combinatie van twee standaardsensoren evenmin kan worden beschouwd als beproefd veiligheidsprincipe.

Het vereiste Performance Level d kan worden bereikt met deze twee dezelfde standaard inductieve sensoren. Daarbij moet de gebruiker de toepassingsomstandigheden kennen en de effecten van falen beoordelen.

 Twee verschillende standaardsensoren

 In tegenstelling tot bij het gebruik van twee identieke standaardsensoren, wordt met twee verschillende standaardsensoren de krachtige techniek van meervoudige redundantie gebruikt.

Twee verschillende typen standaardsensoren met verschillende interne structuren en met inverse uitgangsniveaus worden door de logische eenheid op basis van twee kanalen gecontroleerd (afbeelding 7).

De MTTFd-waarden van de twee sensoren samen geeft een hoge totale MTTFd-waarde. Het ingangscircuit heeft een tweekanaals architectuur met plausibiliteitscontrole en kortsluitdetectie door de logische eenheid. De foutendekking verbetert tot 99% (DC = ‘hoog’) en de diversiteit draagt sterk bij aan het voorkomen van CCF.

 sick 7

 Resultaat

 Met de categorie 4-architectuur, DC = ‘hoog’, adequate maatregelen om CCF te voorkomen, en MTTFd = ‘hoog’, is het zelfs mogelijk om een totaal van PL = e te bereiken (afbeelding 2).

 Voor- en nadelen

 Het is mogelijk om materiaalkosten te besparen door standaardcomponenten in veiligheidstoepassingen te gebruiken. Gaat het echter om bescherming van personen, dan moet de gebruiker zeer goed op de hoogte zijn van alle toepassingsomstandigheden.

Ook moet hij weten welke maatregelen moeten worden genomen en moet hij kennis hebben van veiligheidsmechanismen.

Met andere woorden: hij moet weten of een component geschikt is voor gebruik in veiligheidscircuits.

Als er slechts een standaardsensor wordt gebruikt in toepassingen met PL = c of hoger, dan moet de gebruiker zelfs kennis hebben van de interne foutdetectiemechanismen. En dat is meestal niet realistisch ingeval van complexe componenten.

Basisregel is dat het niet is toegestaan om standaard optische sensoren te gebruiken voor het detecteren van personen, tenzij een speciale procedure voor de beoordeling van de conformiteit volgens de Machine Richtlijn wordt opgevolgd. Dit geldt voor zowel fabrikanten als gebruikers.

Fabrikanten werken niet volgens de normen die relevant zijn voor veiligheidstoepassingen, wanneer ze standaardonderdelen produceren. Ook hoeven extra veiligheidsparameters (PL, SIL, PFHd, DC…) niet te worden gespecificeerd, zoals wel het geval is voor beveiligingscomponenten. Die moeten namelijk voldoen aan de Machinerichtlijn.

 Conclusie

 De voorbeelden illustreren de belangrijkste basisaspecten van het gebruik van standaardsensoren voor veiligheidsfuncties. Zelfs met een goede (hoge) MTTFd-waarde wordt slechts aan een klein deel van de vereiste criteria en maatregelen voldaan. Optimalisatie en andere maatregelen voor het gebruik van standaardsensoren, zoals maatregelen die tests ondersteunen, of maatregelen die het gebruik vergemakkelijken door fouten uit te sluiten, zijn mogelijk en worden nu al in praktijk gebracht. Fabrikanten van onderdelen, zoals Sick, en bevoegde instanties zoals de Duitse IFA (voorheen BGIA) of TUV, zijn beschikbaar voor advies en begeleiding.

Machinefabrikanten hebben zeker de mogelijkheid om standaardonderdelen te gebruiken voor veiligheidsfuncties. Het verstrekken van gedocumenteerd bewijs van de geschiktheid van alle onderdelen die worden gebruikt voor veiligheidsfuncties, behoort tot de verplichtingen van de machinefabrikant. Het is duidelijk dat het verstrekken van dit gedocumenteerde bewijs van geschiktheid veel moeilijker is dan bij standaardcomponenten.

Sick

Zes stappen

‘Guidelines Safe Machinery’ van Sick beschrijft in zes stappen welke wetten, normen en regels de gebruiker moet naleven en wat de mogelijke beschermende maatregelen zijn. Een deel van stap 3 is het bepalen van de Safety Performance Level. Guidelines Safe Machinery, "Six steps to a safe machine", EU versie, deel Nr. 807988, Noord- Amerikaanse versie, deel Nr. 7028282 zijn te downloaden en te bestellen via www.sicksafetyplus.com 

 

NEN-EN 954-1 vs NEN-EN-ISO 13849-1

NEN-EN 954-1 beschrijft de structurele maatregelen (de architecturen) ingedeeld in categorieën; in NEN-ENISO 13849-1 zijn dezelfde categorieën opgenomen. Als aanvulling op de structurele criteria ligt de nadruk van de nieuwe normen vooral op betrouwbaarheid van de componenten, diagnose en maatregelen om fouten te voorkomen. In het kader ‘De termen toegelicht’ wordt dit nader verklaard. De genoemde items zijn gericht op NENEN-ISO 13849-1 met het Performance Level (PL), maar zijn eveneens geldig als NENEN 62061 wordt toegepast.