View
6
Download
0
Category
Preview:
Citation preview
Standaard-PLC versus Failsafe-PLC - 05-2016 1
Nick de With Fusacon B.V. Senior Safety Consultant Telefoon: 06 611 915 917 E-mail: nickdewith@fusacon.nl
www.fusacon.nl www.siemens.nl/industry/machineveiligheid
Ruud Dofferhoff Siemens Nederland N.V. Sales Support Specialist Machineveiligheid Telefoon: 070 333 3404 E-mail: ruud.dofferhoff@siemens.com
Standaard-PLC versus Failsafe-PLC (F-PLC)
Standaard-PLC versus Failsafe-PLC - 05-2016 2
Standaard PLC in ”veiligheidscircuit”?
Remark from an electrical engineer:
Bron: Linkedin group “IEC 62061 and ISO 13849 machinery functional safety”
In practice standard PLCs are pretty reliable and if something goes wrong with them they just stop working
with their outputs off.
Double up the outputs and add some cross monitoring back to the inputs or some other item with logic such
as a drive and you can have a pretty reliable system which is probably comparable to a safety relay.
Standaard-PLC versus Failsafe-PLC - 05-2016 3
Principe-opbouw veiligheidsfunctie met standaard PLC
Aandachtspunten:
- Hoe wordt de veiligheid van de hardware EN software gewaarborgd?
- Wat is de betrouwbaarheid van de gebruikte componenten?
- Hoe toon ik als ontwerper aan dat de veiligheidsfunctie volstaat voor het risiconiveau uit de risicobeoordeling?
Motor
Besturingsfunctie
Input
(sensoren)
logic
(besturing)
Output
(schakelen) Eindstand
Standaard-PLC versus Failsafe-PLC - 05-2016 4
Elke standaard PLC kent 3 typen software
Programmeerbaar Electronisch Systeem (PC of PLC of andere programmeerbare electronica)
Functie 1
Functie 2
Functie .. Operating System
Diagnostic Software Libraries
Support Functions Embedded
software
Applicatie
software
Laptop / PG
Fixed Programming Language = FPL
Limited Variability Language = LVL
Full Variability Language = FVL
5
VOORBEELD: Mogelijk probleem met geheugen PES
Input Module
Logic
Module Output Module
S1
Sensor Actuator Logic
S1
Process Process
Actuator
65=1000001
Als T > 65°C dan sluit de klep
1100001=97
One Bit Failure
6
Wet iemand van u
wat de huidige Machinerichtlijn zegt
over de veiligheid van het
machine-besturingssysteem?
Wat wordt er wettelijk geeist?
Page 6
Wettelijke eisen Machinerichtlijn 2006/42/EG
7
Machinerichtlijn Bijlage I
MRL 2006/42/EG Bijlage I art. 1.2.1:
De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke
situaties ontstaan, zodanig dat:
1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf,
2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot
een gevaarlijke situatie leidt,
Page 7
Ad. 2. Geldt dus voor falen hardware en fouten in embedded software!
8
Machinerichtlijn Bijlage I
MRL 2006/42/EG Bijlage I art. 1.2.1:
De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke
situaties ontstaan, zodanig dat:
3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden,
4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke
situatie leiden.
Page 8
Ad. 3. Geldt dus voor fouten in applicatie software!
9
Wat is de enige zekerheid in de techniek…
Na een storing door een foutieve aansluiting van een
meetwaarde- omvormer door een monteur zei Murphy
tegen hem:
"If there is any way to do it wrong, he'll find it.“
Later is dit geworden:
"If anything can go wrong, it will“
http://www.murphys-laws.com
Edward Aloysius Murphy,
Jr. Amerikaanse ruimtevaart-ingenieur
die aan veiligheid-kritieke systemen werkte.
10
Wat is de enige zekerheid in de techniek…
Facts:
• Elk product kan falen.
• Murphy’s law geldt ook hier….
• Wanneer het faalt is de…?
• Faalkans is te berekenen!
NEN-EN 954-1 hield helemaal GEEN rekening met faalkans component(en).
SENSOR Logic
Solver
MOTOR
CONTACTOR
11
De volgend twee normen houden WEL rekening met de faalkans van componenten/subsystemen:
NEN-EN-(IEC) 62061,
functionele veiligheid SRECS; Safety Integrity Level
3 niveau’s: SIL1, SIL2, SIL3.
NEN-EN-ISO 13849 deel 1 en deel 2,
ontwerp en verificatie SRP/CS; Performance Level:
5 niveau’s: PLa, PLb, PLc, PLd, PLe
Wat is de enige zekerheid in de techniek…
12
Veiligheidspal
Kent iemand de functie van de veiligheidspal?
13
VHC werkt als veiligheidspal van pistool!
© 2014 FUSACON B.V. - www.fusacon.nl Page 13
Veiligheidsrelais Veiligheids-PLC met of zonder Safe bus systeem
Motoren/
CilindersOverig
Standaard-PLC
14
Wat is het verschil tussen de standaard PLC en de fail-safe PLC?
ZOEK DE VERSCHILLEN!!!!!
Standaard-PLC versus Failsafe-PLC - 05-2016 15
Principe-opbouw besturingsfunctie
Kan/mag een standaard besturing een veiligheidsfunctie uitvoeren ?
Motor
Besturingsfunctie
Input
(sensoren)
logic
(besturing)
Output
(schakelen) Eindstand
Aandachtspunten:
- Wat is het risico op letsel?
- Hoe wordt de veiligheid gewaarborgd van de functie?
- Wat is de kwaliteit van de gebruikte hardware componenten?
- Welke eisen moeten er aan de software gesteld worden?
16
Principe-opbouw besturing met separate veiligheidsfunctie
Motor
Besturingsfunctie
Input
(sensoren)
logic
(besturing)
Output
(schakelen) Eindstand
Principe-opbouw standaard besturingsfunctie en separaat opgebouwde veiligheidsfunctie
Veiligheidsfunctie
Motor Detecting Evaluating Reacting Noodstop
Standaard-PLC versus Failsafe-PLC - 05-2016 17
Veiligheidsfunctie
Motor Detecting Evaluating Reacting Noodstop
Wat is nu eigenlijk karakteristiek voor een veiligheidsfunctie?
Checks/diagnose ! Storingen/fouten
(intern/extern)
Foutdetectie en waarborgen veiligheid:
Welke fouten al dan niet herkend worden is afhankelijk van de diagnosemogelijkheden binnen
een veiligheidsfunctie
Foutdetectie door:
- Opbouwstructuur
- Uitgevoerde checks / diagnosemogelijkheden
- Intelligentie van de gebruikte componenten
Standaard-PLC versus Failsafe-PLC - 05-2016 18
Voorbeeld: veiligheidsfunctie met veiligheidsrelais
Q1
Q2
Waarborgen veiligheid van de functie door foutdetectie en diagnose:
- 2-kanaals-opbouw / wijze van aansluiten
- Testpulsen door de kanalen / feedbackcircuit magneetschakelaars
- Gebruik van de juiste componenten of b.v. veiligheidscomponenten met eigen intelligentie
Standaard-PLC versus Failsafe-PLC - 05-2016 19
Ch.1 Ch.2
Basisprincipe veiligheidsrelais: ‘relais-techniek’
K 3
S 1 1 1 3 2 3 3 3 4 1
1 4 2 4 3 4 4 2
K 2
K 1
K 3
K1
Y 2 Y 1
K 3 C 1
* *
+
*
~ =
F 1
G 1
K K 2
S 1 2 S 1 2 S 2 2
K 2
K 3
K 1
A 2 ( L - )
A 1 ( L + )
U B
Resetknop
S33 S34
Noodstopknop
K2
Mogelijke fout:
kortsluiting in noodstopknop
Terugkoppelcircuit
Met ‘relais-techniek’`
geheugenfunctie voor één
enkele fout!!!!!
Noodstop
Indrukken/ uittrekken
Hulpverbreek-
contacten; alleen
voor signalering
Veiligheids-contacten,
mechanisch gedwongen
1
Relais met mechanisch
gedwongen veiligheids-
contacten
Standaard-PLC versus Failsafe-PLC - 05-2016 20
Mechanisch gedwongen?!
EN 50205: It must be ensured
that contact spacings of at least
0,5mm exist over the entire
lifetime, even under faulty
conditions (e.g. contact welding)
EN 50205:2002:
Relays with forcibly guided
(mechanically linked) contacts
Mechanisch gedwongen verbreekcontact houdt in:
Het NC en NO contact van een contactset moeten niet gelijktijdig gesloten
kunnen zijn.
Mechanische
koppeling/-link
Mechanisch
gewongen
contacten
Vastgeplakt
contact
Gegatrandeerde
contactscheiding
van min. 0,5 mm
Standaard-PLC versus Failsafe-PLC - 05-2016 21
T1
T2
T3
T4
0,2 ms 1 ms / 3 ms
Testpulsen ingangscircuits
Standaard-PLC versus Failsafe-PLC - 05-2016 22
Harware-configuratie , in combinatie met .…
Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais
Logic
Standaard-PLC versus Failsafe-PLC - 05-2016 23
Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais
…. Software-configuratie:
Gecertificeerde failsafe functieblokken met specifieke
parameter-settings
Standaard-PLC versus Failsafe-PLC - 05-2016 24
Principe-opbouw veiligheidsfunctie met een failsafe PLC
Motor
„Veiligheids-systeem“
Veiligheids-
deur input / detecting
(sensoren)
output / reacting
(schakelen) logic / evaluating
(besturing)
Veiligheidsfuncties worden geïntegreerd binnen de PLC
Met een failsafe PLC zijn adequate foutdetectie en diagnose van veiligheidsfuncties gewaarborgd !
Standaard-PLC versus Failsafe-PLC - 05-2016 25
Basis-technieken F-PLC
Welke technieken zitten er wel in een F-PLC en niet in een Standaard-PLC ?
Redundante CPU-opbouw (hardware-redundantie / software-redundantie)
Zelftest CPU en hardware
Redundantie hardware incl. diagnose
Gescheiden opbouw van standaard- en veiligheidsfuncties
Standaard-PLC versus Failsafe-PLC - 05-2016 26
Foutdetectie en diagnose met een failsafe PLC
Motor
„Veiligheids-systeem“
Veiligheids-
deur input / detecting
(sensoren)
output / reacting
(schakelen) logic / evaluating
(besturing)
Mogelijk optredende fouten in een veiligheidsfunctie
Foutdetectie en diagnose door
F-CPU: Coded Processing en interne tests
Profisafe: communicatiefouten
F-I/O: twee kanaals processor en bedradingstests
Tijdbewaking voor afhandeling van de instructies
Tijdbewaking/-redundantie tijd
Dataverlies, datacorruptie,
Communicatie vertraging
Kortsluiting,
Aardfout,
Draadbreuk,
Verkeerd bedraad
Kortsluiting, Aardfout,
Draadbreuk Processorfout,
Geheugenfout
Standaard-PLC versus Failsafe-PLC - 05-2016 27
F-CPU
Klassiek F-controller principe: structural redundancy (HFT)
Twee of meer identieke controllers/CPU’s
Allen voeren hetzelfde programma uit
De resultaten worden vergeleken
Safety Advanced F-controller principle: Coded Processing
Genereren van een schaduw programma met behulp van de F-compiler
Geprogrammeerd programma en schaduwprogramma worden achter elkaar uitgevoerd
(tijdbewaking).
Resultaten worden vergeleken
Toepassing van een failsafe systeem met één enkele F-CPU
Standaard-PLC versus Failsafe-PLC - 05-2016 28
Programmeerbaar Electronisch Veiligheidssysteem (Programmable Electronic Safety System)
Safety Functie 1
Safety Functie 2
Safety Functie .. Operating System
Diagnostic Software F-Libraries
Support Functions Embedded
safety software
Safety-applicatie
software
Programmeer software (laptop / PG)
Fixed Programming Language = FPL
Limited Variability Language = LVL
Full Variability Language = FVL
Software varianten
Standaard-PLC versus Failsafe-PLC - 05-2016 29
Failsafe PLC – Redundante opbouw
Geheugenbereik: gescheiden opbouw voor standaard- en safety-programma
F-Controller
Failsafe-programma
Standaard-programma
Standaard-programma Safety-programma
Standaard-PLC versus Failsafe-PLC - 05-2016 30
Schaduwprogramma Schaduw ingangen
Schaduw Uitgangen
xc = f(x)
yc = f(y)
Werking F-CPU
Tijd-redundantie t
Afloopproces: constateren van verschillen en tijdbewaking
Programma Ingangen Uitgangen
z = x + y
x = 2
y = 3
z = 5
≠ Vergelijk
xc = 14
yc = 21
zc = 35
zc = xc + yc
Vergelijk Verkeerde ingang: 13+21=34
Verkeerde uitvoer: 14+21+3=38
Standaard-PLC versus Failsafe-PLC - 05-2016 31
Lees F-PII (F_CTRL_1)
Failsafe cyclus van de F-CPU
Uitvoer F programma
Uitvoer schaduw F-programma
Vergelijk resultaat
Schrijf F-PIO (F_CTRL_2)
t
(F-CALL)
F-runtime groep
Standaard-PLC versus Failsafe-PLC - 05-2016 32
Coded Processing – S7 Referentiedata
F-gebruikers-
programma F-schaduw-
programma
Standaard-PLC versus Failsafe-PLC - 05-2016 33
Opbouw veiligheidsfunctie met F-PLC: F-DI + F-CPU + F-DO/F-RO
Resultaat CRC niet correct: PROFIsafe stopt of CPU stopt
F-DI
F-DO
PROFIsafe Input Driver
F-CTRL 1
F-CTRL2
F FBs STEP 7
F-Coded FBs
PROFIsafe Output Driver
≠
F-CPU
PROFIsafe telegram
CRC Data
μP Left μP Right
zc = xc + yc z = x + y
Data x Coded xc
PROFIsafe telegram
CRC Data
Plus Minus
uP Left uP Right
Tijdbewaking/ -redundantie
tijd
(CRC: Cyclische Redundatie Controle)
Standaard-PLC versus Failsafe-PLC - 05-2016 34
Toepassing met centrale opbouw versus decentrale opbouw
Één centrale besturing
F-CPU + F-I/O
Besturing met Remote I/O en veldbus-communicatie
F-CPU
Remote F-I/O
Veldbus met
failsafe communicatie
Standaard-PLC versus Failsafe-PLC - 05-2016 35
F-I/O modules:
Twee kanaals processor systeem
Zelftests en vergelijkingen
Detectie van interne- en externe fouten
Hardware-technieken Failsafe I/O
μP μP
DATA+STATUS CRC
Beide processoren genereren en
vergelijken een compleet Profisafe
message frame. Om transmissie-
fouten te detecteren, stuurt iedere
processor slechts een deel van het
bericht (message frame).
PROFIsafe
message frame
Standaard-PLC versus Failsafe-PLC - 05-2016 36
Principe-opbouw failsafe ingangsmodules (F-DI)
Blokdiagram F-DI-modules: Aansluitvoorbeelden (SIL3 / Cat.4 / PLe):
1x2 FDI:
- één 2-kanaals sensor,
- voedingsspanning intern verzorgd
2x1 FDI:
- twee 1-kanaals sensoren,
- onderling mechanisch gekoppeld,
- voedingsspanning intern verzorgd
1x2 FDI:
- één 2-kanaals sensor,
- voedingsspanning extern verzorgd
Standaard-PLC versus Failsafe-PLC - 05-2016 37
Test-pulsen failsafe ingangen (F-DI)
Foutherkenning m.b.v. testpulsen in het ingangscircuit
T1
T2
T3
T4
0,2 ms 1 ms / 3 ms
Foutdetectie:
Kortsluiting sensor
Verkeerde bedrading sensor / kruislingse sluiting
Aardfout
Kabelbreuk
Discrepantiefout
F-DI Sensor
Kanaal 1:
T1
Kanaal 2:
T2
Standaard-PLC versus Failsafe-PLC - 05-2016 38
Software-technieken Failsafe ingangsmodules
Gecertificeerde failsafe ingangs-databouwstenen met specifieke parameter-instellingen
Standaard-PLC versus Failsafe-PLC - 05-2016 39
Principe-opbouw failsafe uitgangsmodules (F-DQ)
Blokdiagram F-DQ-modules: Aansluitvoorbeelden:
1x FDQ: (SIL1 / Cat.2 / PLc)
- één actuator,
- feedbackcircuit via DI
2x FDQ: (SIL3 / Cat.4 / PLe)
- twee actuators (redundantie),
- feedbackcircuit via DI
1x FDQ: (SIL3 / Cat.4 / PLe)
- twee parallel geschakelde
actuators,
- PLC en actuators zijn in
dezelfde schakelkast gemonteerd,
- feedbackcircuit via DI
XX
YY
Standaard-PLC versus Failsafe-PLC - 05-2016 40
Foutdetectie:
Testen uitgang P / M (readback time)
Kortsluiting / kruislingse sluiting uitgang
Light-test / dark-test failsafe uitgangen (F-DQ)
Zelftest failsafe uitgangen: light-test / dark-test
Uitgang ‘laag’: light-period test
(activated light-test)
1e
2e
1e
2e
Uitgang ‘hoog’: dark-test
(shutdown test)
Uitgang ‘laag’: light-test
(switch on test)
Foutdetectie:
Draadbreuk / belasting ontbreekt
Overbelasting
Standaard-PLC versus Failsafe-PLC - 05-2016 41
Software-technieken Failsafe uitgangsmodules
Failsafe uitgangsmodules met specifieke parameter-instellingen
Standaard-PLC versus Failsafe-PLC - 05-2016 42
Veldbussystemen en failsafe communicatie
Hoe betrouwbaar is signaaloverdracht via een bussysteem?
Mogelijke communicatie en transmissiefouten:
- Bericht/telegram herhaling
- Verlies van data/bericht
- Invoegen van ongewenst bericht
- Verkeerde volgorde van afhandeling
- Datacorruptie/-verminking
- Bericht vertraging
F-CPU
Remote F-I/O
Veldbus met
failsafe communicatie
Standaard-PLC versus Failsafe-PLC - 05-2016 43
Voorkomen van transmissiefouten in een veldbus
Veldbussystemen voor industriële automatisering garanderen maatregelen om fouten af te vangen
Standaard-PLC versus Failsafe-PLC - 05-2016 44
Failsafe communicatie is gewaarborgd in failsafe veldbussystemen
Voorbeeld: PROFINET industriële veldbus met PROFIsafe veiligheidsprotocol
PROFIsafe is een internationale standaard (IEC)
PROFIsafe controleert op potentiële fouten (bv. foutieve
adressen, vertragingen, verlies van data) d.m.v.:
Seriële nummering
Tijd controle
Betrouwbaarheidscontrole
Cyclische redundantie controle (CRC)
PROFIsafe ondersteunt standaard- en failsafe
communicatie via één enkele bus
Gecertificeerd door en
Standaard
data
Standaard
data Safety-
data
Safety-
data
PROFIsafe
layer
PROFIsafe
layer
Standaard
bus protocol
Standaard
bus protocol
"Bla
ck c
hann
el"
PROFIBUS
of
PROFINET
IFA
Standaard-PLC versus Failsafe-PLC - 05-2016 45
Met een veiligheids-PLC kan het machine-ontwerp flexibel worden uitgevoerd
Identieke functionaliteit voor elke systeem-opzet:
Eén PLC, maar gescheiden I/O en bus
PLC niveau
I/O niveau
Eén bus, maar gescheiden PLC en I/O
PLC niveau
I/O niveau
Eén PLC, één bus, en gecombineerde I/O
PLC niveau
I/O niveau
PLC, I/O en bus gescheiden
PLC niveau
I/O niveau
Standaard-PLC versus Failsafe-PLC - 05-2016 46
Software
Een ‘echte’ veiligheidsbesturing (F-PLC) herkennen
Hoe herken je een F-PLC ?
Display / apparaat
Standaard-PLC versus Failsafe-PLC - 05-2016 47
Faalkans gegevens (F-PLC)
Hoe controleer je of een F-PLC wel echt veiligheidsbesturing genoemd mag worden?
Documentatie:
faalkans gegevens
IFA
Test / keurings-
certificaten
Safety Evaluation Tool:
faalkans gegevens
faalkans berekeningen
48
Welke VHC EG-type-onderzoek?
EG-type-onderzoek:
Welke VHC’s wel en welke
niet?
Noodstopknop
Laserscanner
Hold-to-run
Veiligheidsmat
Deurschakelaar
Lichtgordijn
Tweehanden-bediening
Magnetische deur-schakelaar
Inloopbeveiliging
Mutingsensor
49
Veiligheidscomponenten en de Machinerichtlijn
MRL 2006/42/EG:
Bijlage IV: (uitgebreidere) limitatieve lijst met machines en veiligheidscomponenten,
waarvoor EG-type-onderzoek door Notified Body noodzakelijk is.
Bijlage V: indicatieve lijst van veiligheidscomponenten, die door EU kan worden uitgebreid.
EG-Verklaring van overeenstemming moet uitsluitsel geven!
50
2006/42/EG Bijlage IV EG-type-onderzoek is must!
19. Detectoren voor de aanwezigheid van personen.
(redactie: algemenere tekst; gedetailleerde uitleg in Guide to MD.)
20. Aangedreven beweegbare afschermingen met vergrendeling voor de machines, bedoeld in
de punten 9, 10 en 11.
21. Logische eenheden voor veiligheidsfuncties.
(redactie: ALLE logische eenheden, niet alleen 2-handenbediening)
22. Kantelbeveiligingsinrichtingen (ROPS).
23. Constructies ter bescherming tegen vallende voorwerpen (FOPS).
51
21. Logische eenheden voor VHF’s
Het gaat om complexe componenten die:
voldoen aan de definitie van veiligheidscomponent en
één of meer ingangssignalen analyseren en met een bepaald algoritme een of meer uitgangsignalen
voortbrengen en
bedoeld zijn, om samen met het besturingssysteem van een machine of een deel daarvan, één of
meer beveiligingsfuncties uit te voeren.
Opmerking: Het besturingssysteem dient echter niet als één logische eenheid te worden beschouwd.
Eenvoudige organen als elektromagnetische sensoren of schakelaars die enkel een ingangssignaal in
een uitgangssignaal omzetten, moeten niet als logische eenheid worden beschouwd.
Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010
52
21. Logische eenheden voor VHF’s
Logische eenheden ter verzekering van veiligheidsfuncties zijn bijvoorbeeld:
• logische eenheden voor bedieningsorganen die met twee handen moeten worden bediend;
• veiligheids-PLC’s;
• componenten voor de logische verwerking van veiligheidsgerelateerde signalen van
veiligheids-bussystemen.
Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010
53
Wie is NOBO voor VHC-en?
Aangemelde instantie (Notified Body)
Nationale overheid wijst NOBO aan en controleert deze
EU-NOBO’s voor VHC: TÜV’s, BG’s, DNV, etc.
NL-NOBO’s voor VHC: Aboma (ROPS/FOPS), Liftinstituut (Logic units)
LET OP: Niet elke NOBO voor VHC-en aangewezen!
Controleren via: NANDO Information System
(New Approach Notified and Designated Organisations)
Bron: http://ec.europa.eu/enterprise/newapproach/nando/
54
Wat doet een Notified Body?
Onderzoekt compleetheid Technisch Dossier.
Controle/meting/beproeving of aan fundamentele V&G-eisen MRL is voldaan.
Controle/meting/beproeving of aan de geldende geharmoniseerde EN-normen is voldaan.
Bij goedkeuring opstellen:
‘Verklaring van EG-type-onderzoek’. (certificate +nr.)
Rapport van de EG-type goedkeuring. (report + nr.)
Voorwaarden geldigheid benoemen.
15 jaar bewaren resultaten EG-type-onderzoek.
55
Inhoud EG-VVO VHC Bijlage II
EG Conformiteitsverklaring volgens Bijlage IIA
• Naam/adres fabrikant en gemachtigde. (in voorkomend geval)
• Naam TD samensteller.
• EU-richtlijnen (MRL/EMC/ATEX?)
• * Naam/ adres/ nr. NOBO (type onderzoek volgens Bijlage IX)
• * Nr. EG-type-onderzoek
• Naam/ adres/ nr. NOBO. (volledige kwaliteitsborging volgens Bijlage X)
• EN-/ nationale normen.
• Identiteit/ handtekening ondertekenaar.
* LET OP: Items met ster ervoor vervallen bij de “niet-Bijlage IV” VHC
Standaard-PLC versus Failsafe-PLC - 05-2016 56
… en dan nu een veiligheidsfunctie met een standaard PLC
Motor
„Veiligheids-systeem ?“
input / detecting
(sensoren)
logic / evaluating
(besturing)
output / reacting
(schakelen) Veiligheids
deur
Welke foutdetectie en diagnose zijn bij een veiligheidsfunctie mogelijk met een standaard PLC ?
Sensor-fouten:
- Kortsluiting
- Aardfout
- Draadbreuk
Actuator-fouten:
- Kortsluiting
- Aardfout
- Draadbreuk
Bekabelings-/bussysteem-fouten:
- Verkeerd bedraad
- Dataverlies
- Datacorruptie
- Communicatie vertraging
CPU-fouten:
- Processorfout
- Geheugenfout
Welke storingen/fouten
worden gedetecteerd ?
Welke checks/ diagnose
zijn mogelijk ?
Standaard-PLC versus Failsafe-PLC - 05-2016 57
Inzet standaard-PLC voor machineveiligheid-toepassingen: kan dat?
Motor
„Veiligheids-systeem ?“
input / detecting
(sensoren)
logic / evaluating
(besturing)
output / reacting
(schakelen) Veiligheids
deur
Een veiligheidsfunctie met een standaard PLC heeft slechts beperkte foutdetectie en diagnose !
Door de opbouwstructuur van een standaard PLC is bij een veiligheidsfunctie slechts beperkte
foutdetectie en diagnose mogelijk.
Dit betekent dat bij een standaard PLC de foutdetectie en diagnose extern (zelf) gebouwd dient te
worden om de noodzakelijke veiligheid van een veiligheidsfunctie te kunnen waarborgen !
Welke storingen/fouten
worden gedetecteerd ?
Welke checks/ diagnose
zijn mogelijk ?
Safety Integrated – Normen Functionele Veiligheid in de praktijk 58
Risicobeoordelingstraject is en blijft ‘leading’
Risico-analyse Risicoreductie Bewijs
Het uit de risicobeoordeling volgend vereiste veiligheidsniveau van de applicatie
moet gewaarborgd kunnen worden….
…. ook als een standaard-PLC voor veiligheid toegepast zou worden !
Standaard-PLC versus Failsafe-PLC - 05-2016 59
Aandachtspunten bij inzet standaard-PLC voor machineveiligheid-toepassingen
Zorg dat u kunt aantonen ‘dat het goed is’ !
Veiligheidsfuncties bouwen met zelf gebouwde veiligheidscomponenten of –systemen betekent ook
zelf aan kunnen tonen dat deze voldoen:
- U bent verantwoordelijk !
- Risicobeoordeling: onderbouwing / certificering van veiligheidsfuncties conform de Machinerichtlijn
- Bewijs: documenteren, verificatie en validatie (TD)
Bij wijzigingen of aanpassingen in veiligheidscircuits OF standaardprogramma dienen procedures opnieuw
doorlopen en gedocumenteerd te worden
BELANGRIJK: Wat niet vastgelegd en gedocumenteerd is, wordt geïntrepeteerd als niet uitgevoerd !
Gebruik van actuele stand der techniek technologie garandeert juridische zekerheid (een F-PLC is tegenwoordig een geaccepteerd ‘common good’)
Safety Integrated – Normen Functionele Veiligheid in de praktijk 60
Basis stappen
Verificatie en validatie
Voorbereiden
validatie-
rapport
Veiligheids-
functies Software
Omgevings-
condities
Bedienings-
instructies
Voorbereiden
validatie-plan
inclusief test-plan
Bewijs en documentatieproces – ook voor software-wijzigingen
Bewijs
Bewijs naleving
van de richtlijn
CE-markering
aanbrengen
Documenteer
de maatregelen Voer de validatie uit
Bij elke software wijziging zal het validatieproces opnieuw doorlopen moeten worden (met het V-model)
Standaard-PLC versus Failsafe-PLC - 05-2016 61
Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules
Volledige veiligheidsberekening ….
Standaard-PLC versus Failsafe-PLC - 05-2016 62
Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules
… en goedkeuring door NoBo
Standaard-PLC versus Failsafe-PLC - 05-2016 63
Kosten voor certificering veiligheidsfuncties
Onderschat certificeringskosten van veiligheidsfuncties niet !
De kosten voor documenteren en certificeren van zelf ontworpen veiligheidsfuncties kunnen snel oplopen
Het te doorlopen traject kost tijd
Rekenvoorbeeld voor één eenvoudige veiligheidsfunctie:
- Kosten voor de machinebouwer:
ca. 2 – 4 weken
- Kosten keuringsinstantie / NoBo:
ca. € 10.000,- – € 20.000,-
ca. € 5.000,- – €10.000,-
- Tijdsbestek doorlopen traject:
64
www.siemens.nl/industry/machineveiligheid
Safety Integrated:
Oplossingen – Ondersteuning – Tools
Recommended