PL en SIL, het ontwerp V-model in de praktijk “Verificatie” en “validatie” van veiligheidsfuncties. FUSACON B.V. Functional Safety Consultants Nederland ing. Nick de With , Senior Safety Consultant Safety Event 2014 Dinsdag 13 mei 2014 © 2014 FUSACON B.V. - www.fusacon.nl Page 1 Activiteiten FUSACON B.V. © 2014 FUSACON B.V. - www.fusacon.nl Page 2 Onderwerpen Wet en normeisen besturingstechniek. Functional Safety Management nieuw? Het V-model en “verificatie” en “validatie. Uitleg Safety Requirements Specification. (SRS) Welke info moet naar de gebruiker? (IFU) Uitleg Hardware Design Specification. (HDS) Vragen? © 2014 FUSACON B.V. - www.fusacon.nl Page 3 Wettelijke eisen Machinerichtlijn Wet iemand van u wat de huidige Machinerichtlijn zegt over de veiligheid van het machine-besturingssysteem? Wat wordt er wettelijk geeist? © 2014 FUSACON B.V. - www.fusacon.nl Page 4 Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf, 2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt, Ad. 2. Geldt dus voor falen hardware en fouten in embedded software! © 2014 FUSACON B.V. - www.fusacon.nl Page 5 Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden, 4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke situatie leiden. Ad. 3. Geldt dus voor fouten in applicatie software! © 2014 FUSACON B.V. - www.fusacon.nl Page 6 VHC als veiligheidspal! Standaard-PLC Overig Motoren/ Cilinders Veiligheidsrelais Veiligheids-PLC met of zonder Safe bus systeem © 2014 FUSACON B.V. - www.fusacon.nl Page 7 VHC als veiligheidspal! Zorg bij machines tevens voor ontwerp, bouw, verificatie en validatie volgens: SIL (EN-IEC 62061) Veiligheidspal of PL (EN-ISO 13849) ZORG ALTIJD VOOR: Een veilige schil om de normale besturing heen!! © 2014 FUSACON B.V. - www.fusacon.nl Page 8 Ontstaansreden IEC 62061 VDE 0801 DIN 19250 DIN 19251 Etc. Machinesector Medische sector Start 1998 Einde 2004 90 pag. IEC 62061 IEC 60601 IEC 50128 IEC 61508 Start 1985 Einde 2000 732 pag. Transportsector IEC 61511 Start 1998 Einde 2003 208 pag. IEC 60880 Nucleaire sector Processector © 2014 FUSACON B.V. - www.fusacon.nl pagina 9 Ontstaansreden ISO 13849-1 Faalkans niet meegenomen EN 954 d1: 1996 d2: pr1999 IEC 61508 ISO 13849 d1: 1999 d2: 2003 ISO 13849-1 EN 954-1 prEN 954-2 Start 1985 Einde 2000 732 pag. ISO 13849 d1: 2006 d2: 2012 (at last…) ISO 13849-1 ISO 13849-2 © 2014 FUSACON B.V. - www.fusacon.nl ISO 13849-2 pagina 10 Pilaren van het SIL of PL bouwwerk © 2014 FUSACON B.V. - www.fusacon.nl Testintervallen Resistentie Diagnose Betrouwnbaarheid Structuur SIL of PL Bouwwerk Page 11 Parameters SIL of PL berekening EN ISO 13849-1 EN 62061 PL - Performance Level SIL - Safety Integrity Level Structuur HFT / SFF / SILCL Cat. Betrouwbaarbeid PFHD / λ PFHD / MTTFD Diagnose SFF (DC) DC Resistentie CCF (ß-factor) CCF Testintervallen T1 (prooftest/ levensduur) T2 (diagnose/test) T1 = 20 y fixed T2 (afh. categorie) Voor een juiste bepaling zijn gegevens nodig ! © 2014 FUSACON B.V. - www.fusacon.nl Page 12 SIL of PL rekentools SET PAScal SISTEMA Siemens SET tool: Pilz PAScal tool: IFA SISTEMA Tool: Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Door TÜV geteste online-tool Gratis maar registratie vereist Siemens producten in geïntegreerde bibliotheek Gegevens andere fabricaten te importeren en zelf aanmaken In Engelse taal https://eb.automation.siemens.co m/spice/sid/main/sid.jsf Voor IEC 62061 (SIL) en ISO 13849-1 (PL) Stand-alone te gebruiken Geringe vergoeding en registratie vereist Pilz producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken (Sistema library te importeren) In EN, DU, FR, IT, SP, JAP www.pilz.com/downloads/restric ted/pascal_1.5.2.zip © 2014 FUSACON B.V. - www.fusacon.nl Alleen voor ISO 13849-1 (PL) Freeware door BGIA BGIA heet nu IFA Stand-alone te gebruiken Diverse leveranciers producten in geïntegreerde bibliotheek Gegevens andere fabrikaten te importeren en zelf aanmaken In EN, DU, FR http://www.dguv.de/bgia/en/pra/so ftwa/sistema/index.jsp Page 13 SIL en PL: reken jij je (ook) rijk? Veel voorkomende denkfouten: Door de faalkans te berekenen komen fouten in het systeem vanzelf naar boven. Je past de veiligheidscomponenten toe en dan is het dus altijd goed. De getallen in de bibliotheek zijn altijd correct en zonder meer toe te passen. De uitdraai van de softwaretool is voldoende bewijslast verificatie en validatie! NEE dus! Rekentools voor PL en SIL zijn “rekentools” en geen ontwerptools! © 2014 FUSACON B.V. - www.fusacon.nl Page 14 Enige zekerheid in de techniek… Wat is de enige zekerheid in de techniek… Na een storing door een foutieve aansluiting van een meetwaarde-omvormer door een monteur zei Murphy tegen hem: "If there is any way to do it wrong, he'll find it.“ Later is dit geworden: Edward Aloysius Murphy, Jr. "If anything can go wrong, it will“ Amerikaanse ruimtevaartingenieur die aan veiligheidkritieke systemen werkte. http://www.murphys-laws.com © 2014 FUSACON B.V. - www.fusacon.nl Page 15 Beïnvloedingsfactoren veiligheid © 2014 FUSACON B.V. - www.fusacon.nl Page 16 Falen van veiligheidssystemen Veiligheidssystemen falen als gevolg van: Random failures; spontaan falen van hardware; Common Cause failures; falen van 2 kanalen door dezelfde faaloorzaak (meestal omgevingsfactoren); Systematic failures; falen door verborgen HW/SW fout in bijv. de fase concept- of detailontwerp. LET OP: Systematische fouten zijn het slechtst te voorkomen en krijgen vaak de minste aandacht! © 2014 FUSACON B.V. - www.fusacon.nl Page 17 Functionele veiligheid Een veiligheidsbesturingssysteem is “functioneel veilig” als…. Random, common cause en systematische fouten niet leiden tot het falen van het veiligheidssysteem en niet leiden tot: o Verwonding en dood van personen, o Milieu schade, o Verlies van productie en machines. © 2014 FUSACON B.V. - www.fusacon.nl Page 18 Random en systematische fouten Fouten Fysieke (random +CC) Functionele (systematische) Fouten beheersen d.m.v. keuze juiste component/structuur. Fouten vermijden d.m.v. Functional Safety Management. © 2014 FUSACON B.V. - www.fusacon.nl Page 19 Structuur: redundantie Voorbeeld redundantie © 2014 FUSACON B.V. - www.fusacon.nl Page 20 Structuur: drievoudige redundantie © 2014 FUSACON B.V. - www.fusacon.nl Page 21 Functional Safety Management Functional Safety Management Een voorbeeld uit de dagelijkse praktijk….. © 2014 FUSACON B.V. - www.fusacon.nl Page 22 Functional Safety Management Doel: Vastleggen van de management- en technische activiteiten die nodig zijn om de functionele veiligheid van de besturing te realiseren. Input: Projectspecificatie + organisatie van de opdrachtnemer. Eisen: IEC 62061 H4.2.1. Output: Functional Safety Plan; het functional safety plan moet minimaal de volgende onderdelen bevatten: Beschrijving van alle relevante activiteiten (opstellen van functionele eisen, ontwerp, verificatie, validatie). Beschrijving van de strategie om aan de ontwerpeisen te voldoen. Overzicht van de benodigde personen, capaciteit, tools en overige hulpmiddelen. Input informatie waarmee het ontwerp proces en de risicobeoordeling kunnen worden gestart. Een verificatieplan, zie IEC 62061 4.2.g. voor informatie over de inhoud. Een validatieplan, zie IEC 62061 4.2.h. voor informatie over de inhoud. © 2014 FUSACON B.V. - www.fusacon.nl Page 23 Is FSM nieuw? Is Functional Safety Management iets NIEUWS ….? © 2014 FUSACON B.V. - www.fusacon.nl Page 24 FSM methodiek EN 954-1:1996 Functional safety management was er ten tijde van de EN 954:1996 ook al: 0. Doe een risicobeoordeling en stel de risicoparameters S, F en P vast. 1. Bepaal een categorie middels de risicograaf (Bijlage A). 2. De systeemvereisten liggen per categorie vast. 3. Stel een Safety Requirements Specification op. 4. Bouw het veiligheidscircuit. 5. Verifïeer het veiligheidscircuit. 6. Valideer het circuit volgens ISO 13849-2:2003. © 2014 FUSACON B.V. - www.fusacon.nl Page 25 Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen Veiligheids specificatie (SRS) hardware SRECSarchitectuur Validatie Validatietests Gevalideerde hardware Integratietests [componenten, subsystemen & PE] Hardwarearchitectuur Integratietests [Subsysteem] Subsysteem ontwerp Detailontwerp HW Detailontwerp tests Leverbaar Verificatie Bouwen © 2014 FUSACON B.V. - www.fusacon.nl 26 Ontwerpproces SW: V-model SRECS Specificatie voor veiligheidseisen Specificatie voor veiligheidseisen software SRECSarchitectuur Validatie Validatietests Gevalideerde software Integratietests [componenten, subsystemen & PE] Softwarearchitectuur Integratietests [Module] Softwaresysteemontwerp Moduulontwerp Moduultests Leverbaar Verificatie CODEREN © 2011 FUSACON B.V. - www.fusacon.nl Page 27 Definitie “verificatie” Verificatie Encyclo.nl: onderzoek naar de waarheid of authenticiteit van iets. EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found. EN 62061 3.2.51: confirmation by examination (e.g. tests, analysis) that the SRECS, its subsystems or subsystem elements meet the requirements set by the relevant specification. Wat is verificatie? Heb ik het werk goed gedaan? Heb ik het (sub-)systeem correct gebouwd? Verificatie wordt uitgevoerd na elke levenscyclus © 2014 FUSACON B.V. - www.fusacon.nl Page 28 Definitie “validatie” Validatie Encyclo.nl: het geldig verklaren (van iets). EN-ISO 13849-1: no definition found. EN-ISO 13849-2: no definition found. Points out to ISO 12100. EN-ISO 12100: no definition found. EN 62061 3.2.52: confirmation by examination (e.g. tests, analysis) that the SRECS meets the functional safety requirements of the specific application. Wat is validatie? Biedt de gekozen oplossing ook voldoende risicoreductie? Heb ik het juiste (sub-)systeem gebouwd? Validatie wordt uitgevoerd na integratie en installatie (FAT, SAT). © 2014 FUSACON B.V. - www.fusacon.nl Page 29 Belangrijke aspecten Uitleg van enkele belangrijke aspecten: 1. Safety Requirements Specification. 2. Componentkeuze en toepassing. 3. Information For Use. 4. Hardware Design Specification (HDS). © 2014 FUSACON B.V. - www.fusacon.nl Page 30 Safety Requirements Specification Het BESTEK van de veiligheidsfuncties in de Machinebesturing. © 2014 FUSACON B.V. - www.fusacon.nl Page 31 Safety Requirements Specification VHF nummer: 1 VHF naam: bijv. Neerstanddetectie slagboom. VHF type: bijv. Vergrendeling brugbeweging. VHF beschrijving: Beschrijving van de veiligheidsfunctie in woorden. Bijv. Indien de slagboom uit de de neerstand is of daaruit wordt bewogen wordt de beweging van het brugdek geblokkeerd cq. gestopt volgens stopcategorie 0 en daarna geblokkeerd. Functionele specificatie VHF: Vereiste SIL niveau of PL niveau: (bijv. SIL 2 of PLd ). Stopcategorie uit EN-IEC 60204-1: (bijv. stopcategorie 0, 1 of 2). Let op: stopcategorie 2 is alleen toegestaan als de frequentieregelaar (Power Drive System) voldoet aan IEC 61800-5-2). Andere vaste vereisten vanuit wetgeving en normen: (bijv. Hardwarefouttolerantie, timing). © 2014 FUSACON B.V. - www.fusacon.nl Page 32 Safety Requirements Specification Functionele specificatie VHF: Verwachte aanspraakfrequentie v.d. VHF: (bijv. Elke brugcyclus). De gekozen “demand modus”: (bijv. low demand/high demand continuous mode). Besturingsbereik v.d. VHF: (bijv. Opsomming van alle aangesloten aandrijvingen die afgeschakeld worden). Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF actief is: (bijv. normaal bedrijf). Beschrijving van de bedrijfsmodus/modi van de machine waarin de VHF NIET actief is: (bijv. in instelbedrijf kan VHF worden overbrugt met de hold-to-run). © 2014 FUSACON B.V. - www.fusacon.nl Page 33 Safety Requirements Specification Functionele specificatie VHF: Prioriteit van de VHF boven andere VHF’s die tegelijkertijd actief kunnen zijn. (bijv. Een noodstop heeft prioriteit boven deze VHF). Verwachte omgevingscondities: (bijv. temperatuur, luchtvochtigheid, stof, chemische substanties, mechanische trillingen en schokken). Timing/ testen: Vereiste totale responstijd v.d. VHF: (bijv. Max. 500 ms.). Proof test interval van de totale VHF: in uren/jaren. Beschrijving van de prooftest(s): (bijv. type test(s), benodigde testapparatuur, vereiste testprocedure etc.). © 2014 FUSACON B.V. - www.fusacon.nl Page 34 SRS: een ingevuld voorbeeld Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) © 2014 FUSACON B.V. - www.fusacon.nl Page 35 Conceptontwerp blokkeerscherm Conceptontwerp PM4 Energy flow Veiligheidsfunctie met blokkeerscherm SW1 MC1 LS1 SW2 inside cabinet outside cabinet © 2014 FUSACON B.V. - www.fusacon.nl NEN-EN-IEC 62061:Functionele Componentkeuze en uitvoering Symbool op schakelaar voor positief openende contacten. EN-IEC 60947-5-1. © 2014 FUSACON B.V. - www.fusacon.nl Page 37 Contactuitbreiding veiligheids-PLC © 2014 FUSACON B.V. - www.fusacon.nl Page 38 Is deze component geschikt? © 2014 FUSACON B.V. - www.fusacon.nl Page 39 Deze variant is niet geschikt Schakeling met twee hulprelais van het fabrikaat SMITT type M2-L-D024, zonder mechanische gedwongen contacten volgens de norm EN 50205:2002 type A. (Nederlandse titel: Relais met gedwongen schakelende contacten. Engelse titel: Relays with forcibly guided (mechanically linked) contacts). Het hulprelais van het fabrikaat SMITT type M2-L-D024 is middels een hendel aan de buitenzijde eenvoudig te forceren in de ingeschakelde stand. Dit relaistype is daarom ongeschikt voor gebruik in veiligheidscircuits. © 2014 FUSACON B.V. - www.fusacon.nl Page 40 Deze variant is WEL geschikt! SMITT heeft wel een range relais met mechanisch verbonden contacten, namelijk de range D-BW. © 2014 FUSACON B.V. - www.fusacon.nl Page 41 Veilige lampstroombewaking Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) © 2014 FUSACON B.V. - www.fusacon.nl Page 42 Informatie voor gebruiksfase Gedachten van (sommige) fabrikanten. Wat zeggen de SIL en PL normen? © 2014 FUSACON B.V. - www.fusacon.nl Page 43 Informatie voor gebruiksfase De SIL norm (EN 62061:2005) geeft in hoofdstuk 7: Information for use.* De PL norm (EN-ISO 13849-1:2008) geeft in hoofdstuk 11: Information for use.* * IFU: Informatie over besturingstechnische veiligheidsfuncties, die minimaal door de fabrikant ter beschikking moet worden gesteld aan de gebruiker. © 2014 FUSACON B.V. - www.fusacon.nl Page 44 Informatie voor gebruiksfase Inzage in de normtekst. (niet in syllabus) © 2014 FUSACON B.V. - www.fusacon.nl Page 45 Informatie voor gebruiksfase Lichtscherm beveiliging AAN/UIT? Een nette schakelkast of toch niet…!? Mogelijk (dodelijke) oplossing… © 2014 FUSACON B.V. - www.fusacon.nl Page 46 Ontwerpproces HW: V-model SRECS Specificatie voor veiligheidseisen Veiligheids specificatie (SRS) hardware SRECSarchitectuur Validatie Validatietests Gevalideerde hardware Integratietests [componenten, subsystemen & PE] Hardwarearchitectuur Integratietests [Subsysteem] Subsysteem ontwerp Detailontwerp HW Detailontwerp tests Leverbaar Verificatie Bouwen © 2014 FUSACON B.V. - www.fusacon.nl 47 Hardware Design Specification Inzage in FUSACON praktijkvoorbeeld. (niet in syllabus) © 2014 FUSACON B.V. - www.fusacon.nl Page 48 Resumé Wettelijke eisen zijn duidelijk. Functional Safety Management. Ontdekken systematische fouten is het belangrijkste. Zeker in de machinebouw!! Verificatie en validatie: Check, check, double check. VRAGEN? © 2014 FUSACON B.V. - www.fusacon.nl Page 49 Activiteiten FUSACON B.V. © 2014 FUSACON B.V. - www.fusacon.nl Page 50 Uw KennisPartner FUSACON levert docenten aan: NEN, PAO Techniek en Mikrocentrum FUSACON is lid van: Nederlandse Vereniging Van Veiligheidskundigen (NVVK) Working Equipment Safety Platform (WESP) Safety Cluster Foundation Nationale normcommissie NEC 44 (o.a. NEN-EN-IEC 60204-1) Internationale werkgroep IEC/TC 44 WG7: IEC 62061:2005 (SIL) © 2014 FUSACON B.V. - www.fusacon.nl Page 51 Nick de With ing. Nick de With , Senior Safety Consultant E [email protected] T +31 347 352519 M +31 6 11 915 917 FUSACON B.V. Functional Safety Consultants Nederland Vogelenzangseweg 20 – 4124 AS – Hagestein http://www.fusacon.nl Specialisatie: Industriële automatisering Veiligheid van machines (sinds 1994) Auteur: Diverse artikelen + Handboek Machineveiligheid Gecertificeerd als: TÜV Functional Safety Engineer © 2014 FUSACON B.V. - www.fusacon.nl Page 52
© Copyright 2024 ExpyDoc
