Standaard-PLC versus Failsafe-PLC (F-PLC) Ruud Dofferhoff... · Ruud Dofferhoff Siemens Nederland...

Standaard-PLC versus Failsafe-PLC - 05-2016 1

Nick de With Fusacon B.V. Senior Safety Consultant Telefoon: 06 611 915 917 E-mail: [email protected]

www.fusacon.nl www.siemens.nl/industry/machineveiligheid

Ruud Dofferhoff Siemens Nederland N.V. Sales Support Specialist Machineveiligheid Telefoon: 070 333 3404 E-mail: [email protected]

Standaard-PLC versus Failsafe-PLC (F-PLC)


Standaard PLC in ”veiligheidscircuit”?

Remark from an electrical engineer:

Bron: Linkedin group “IEC 62061 and ISO 13849 machinery functional safety”

In practice standard PLCs are pretty reliable and if something goes wrong with them they just stop working

with their outputs off.

Double up the outputs and add some cross monitoring back to the inputs or some other item with logic such

as a drive and you can have a pretty reliable system which is probably comparable to a safety relay.


Principe-opbouw veiligheidsfunctie met standaard PLC

Aandachtspunten:

- Hoe wordt de veiligheid van de hardware EN software gewaarborgd?

- Wat is de betrouwbaarheid van de gebruikte componenten?

- Hoe toon ik als ontwerper aan dat de veiligheidsfunctie volstaat voor het risiconiveau uit de risicobeoordeling?

Motor

Besturingsfunctie

Input

(sensoren)

logic

(besturing)

Output

(schakelen) Eindstand


Elke standaard PLC kent 3 typen software

Programmeerbaar Electronisch Systeem (PC of PLC of andere programmeerbare electronica)

Functie 1

Functie 2

Functie .. Operating System

Diagnostic Software Libraries

Support Functions Embedded

software

Applicatie

software

Laptop / PG

Fixed Programming Language = FPL

Limited Variability Language = LVL

Full Variability Language = FVL

5

VOORBEELD: Mogelijk probleem met geheugen PES

Input Module

Logic

Module Output Module

S1

Sensor Actuator Logic

S1

Process Process

Actuator

65=1000001

Als T > 65°C dan sluit de klep

1100001=97

One Bit Failure

mailto:[email protected]

6

Wet iemand van u

wat de huidige Machinerichtlijn zegt

over de veiligheid van het

machine-besturingssysteem?

Wat wordt er wettelijk geeist?

Wettelijke eisen Machinerichtlijn 2006/42/EG

7

Machinerichtlijn Bijlage I

MRL 2006/42/EG Bijlage I art. 1.2.1:

De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke

situaties ontstaan, zodanig dat:

1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf,

2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot

een gevaarlijke situatie leidt,

Ad. 2. Geldt dus voor falen hardware en fouten in embedded software!

8

Machinerichtlijn Bijlage I

MRL 2006/42/EG Bijlage I art. 1.2.1:

De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke

situaties ontstaan, zodanig dat:

3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden,

4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke

situatie leiden.

Ad. 3. Geldt dus voor fouten in applicatie software!

9

Wat is de enige zekerheid in de techniek…

Na een storing door een foutieve aansluiting van een

meetwaarde- omvormer door een monteur zei Murphy

tegen hem:

"If there is any way to do it wrong, he'll find it.“

Later is dit geworden:

"If anything can go wrong, it will“

http://www.murphys-laws.com

Edward Aloysius Murphy,

Jr. Amerikaanse ruimtevaart-ingenieur

die aan veiligheid-kritieke systemen werkte.

10


Facts:

• Elk product kan falen.

• Murphy’s law geldt ook hier….

• Wanneer het faalt is de…?

• Faalkans is te berekenen!

NEN-EN 954-1 hield helemaal GEEN rekening met faalkans component(en).

SENSOR Logic

Solver

MOTOR

CONTACTOR

11

De volgend twee normen houden WEL rekening met de faalkans van componenten/subsystemen:

NEN-EN-(IEC) 62061,

functionele veiligheid SRECS; Safety Integrity Level

3 niveau’s: SIL1, SIL2, SIL3.

NEN-EN-ISO 13849 deel 1 en deel 2,

ontwerp en verificatie SRP/CS; Performance Level:

5 niveau’s: PLa, PLb, PLc, PLd, PLe


12

Veiligheidspal

Kent iemand de functie van de veiligheidspal?

13

VHC werkt als veiligheidspal van pistool!

© 2014 FUSACON B.V. - www.fusacon.nl

Veiligheidsrelais Veiligheids-PLC met of zonder Safe bus systeem

Motoren/

CilindersOverig

Standaard-PLC

14

Wat is het verschil tussen de standaard PLC en de fail-safe PLC?

ZOEK DE VERSCHILLEN!!!!!


Principe-opbouw besturingsfunctie

Kan/mag een standaard besturing een veiligheidsfunctie uitvoeren ?

Motor

Besturingsfunctie

Input

(sensoren)

logic

(besturing)

Output


Aandachtspunten:

- Wat is het risico op letsel?

- Hoe wordt de veiligheid gewaarborgd van de functie?

- Wat is de kwaliteit van de gebruikte hardware componenten?

- Welke eisen moeten er aan de software gesteld worden?

16

Principe-opbouw besturing met separate veiligheidsfunctie

Motor

Besturingsfunctie

Input

(sensoren)

logic

(besturing)

Output


Principe-opbouw standaard besturingsfunctie en separaat opgebouwde veiligheidsfunctie

Veiligheidsfunctie

Motor Detecting Evaluating Reacting Noodstop


Veiligheidsfunctie

Motor Detecting Evaluating Reacting Noodstop

Wat is nu eigenlijk karakteristiek voor een veiligheidsfunctie?

Checks/diagnose ! Storingen/fouten

(intern/extern)

Foutdetectie en waarborgen veiligheid:

Welke fouten al dan niet herkend worden is afhankelijk van de diagnosemogelijkheden binnen

een veiligheidsfunctie

Foutdetectie door:

- Opbouwstructuur

- Uitgevoerde checks / diagnosemogelijkheden

- Intelligentie van de gebruikte componenten


Voorbeeld: veiligheidsfunctie met veiligheidsrelais

Q1

Q2

Waarborgen veiligheid van de functie door foutdetectie en diagnose:

- 2-kanaals-opbouw / wijze van aansluiten

- Testpulsen door de kanalen / feedbackcircuit magneetschakelaars

- Gebruik van de juiste componenten of b.v. veiligheidscomponenten met eigen intelligentie


Ch.1 Ch.2

Basisprincipe veiligheidsrelais: ‘relais-techniek’

K 3

S 1 1 1 3 2 3 3 3 4 1

1 4 2 4 3 4 4 2

K 2

K 1

K 3

K1

Y 2 Y 1

K 3 C 1

* *

+

*

~ =

F 1

G 1

K K 2

S 1 2 S 1 2 S 2 2

K 2

K 3

K 1

A 2 ( L - )

A 1 ( L + )

U B

Resetknop

S33 S34

Noodstopknop

K2

Mogelijke fout:

kortsluiting in noodstopknop

Terugkoppelcircuit

Met ‘relais-techniek’`

geheugenfunctie voor één

enkele fout!!!!!

Noodstop

Indrukken/ uittrekken

Hulpverbreek-

contacten; alleen

voor signalering

Veiligheids-contacten,

mechanisch gedwongen

1

Relais met mechanisch

gedwongen veiligheids-

contacten


Mechanisch gedwongen?!

EN 50205: It must be ensured

that contact spacings of at least

0,5mm exist over the entire

lifetime, even under faulty

conditions (e.g. contact welding)

EN 50205:2002:

Relays with forcibly guided

(mechanically linked) contacts

Mechanisch gedwongen verbreekcontact houdt in:

Het NC en NO contact van een contactset moeten niet gelijktijdig gesloten

kunnen zijn.

Mechanische

koppeling/-link

Mechanisch

gewongen

contacten

Vastgeplakt

contact

Gegatrandeerde

contactscheiding

van min. 0,5 mm


T1

T2

T3

T4

0,2 ms 1 ms / 3 ms

Testpulsen ingangscircuits


Harware-configuratie , in combinatie met .…

Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais

Logic


Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais

…. Software-configuratie:

Gecertificeerde failsafe functieblokken met specifieke

parameter-settings


Principe-opbouw veiligheidsfunctie met een failsafe PLC

Motor

„Veiligheids-systeem“

Veiligheids-

deur input / detecting

(sensoren)

output / reacting

(schakelen) logic / evaluating

(besturing)

Veiligheidsfuncties worden geïntegreerd binnen de PLC

Met een failsafe PLC zijn adequate foutdetectie en diagnose van veiligheidsfuncties gewaarborgd !


Basis-technieken F-PLC

Welke technieken zitten er wel in een F-PLC en niet in een Standaard-PLC ?

Redundante CPU-opbouw (hardware-redundantie / software-redundantie)

Zelftest CPU en hardware

Redundantie hardware incl. diagnose

Gescheiden opbouw van standaard- en veiligheidsfuncties


Foutdetectie en diagnose met een failsafe PLC

Motor

„Veiligheids-systeem“

Veiligheids-

deur input / detecting

(sensoren)

output / reacting

(schakelen) logic / evaluating

(besturing)

Mogelijk optredende fouten in een veiligheidsfunctie

Foutdetectie en diagnose door

F-CPU: Coded Processing en interne tests

Profisafe: communicatiefouten

F-I/O: twee kanaals processor en bedradingstests

Tijdbewaking voor afhandeling van de instructies

Tijdbewaking/-redundantie tijd

Dataverlies, datacorruptie,

Communicatie vertraging

Kortsluiting,

Aardfout,

Draadbreuk,

Verkeerd bedraad

Kortsluiting, Aardfout,

Draadbreuk Processorfout,

Geheugenfout


F-CPU

Klassiek F-controller principe: structural redundancy (HFT)

Twee of meer identieke controllers/CPU’s

Allen voeren hetzelfde programma uit

De resultaten worden vergeleken

Safety Advanced F-controller principle: Coded Processing

Genereren van een schaduw programma met behulp van de F-compiler

Geprogrammeerd programma en schaduwprogramma worden achter elkaar uitgevoerd

(tijdbewaking).

Resultaten worden vergeleken

Toepassing van een failsafe systeem met één enkele F-CPU


Programmeerbaar Electronisch Veiligheidssysteem (Programmable Electronic Safety System)

Safety Functie 1

Safety Functie 2

Safety Functie .. Operating System

Diagnostic Software F-Libraries

Support Functions Embedded

safety software

Safety-applicatie

software

Programmeer software (laptop / PG)

Fixed Programming Language = FPL

Limited Variability Language = LVL

Full Variability Language = FVL

Software varianten


Failsafe PLC – Redundante opbouw

Geheugenbereik: gescheiden opbouw voor standaard- en safety-programma

F-Controller

Failsafe-programma

Standaard-programma

Standaard-programma Safety-programma


Schaduwprogramma Schaduw ingangen

Schaduw Uitgangen

xc = f(x)

yc = f(y)

Werking F-CPU

Tijd-redundantie t

Afloopproces: constateren van verschillen en tijdbewaking

Programma Ingangen Uitgangen

z = x + y

x = 2

y = 3

z = 5

≠ Vergelijk

xc = 14

yc = 21

zc = 35

zc = xc + yc

Vergelijk Verkeerde ingang: 13+21=34

Verkeerde uitvoer: 14+21+3=38


Lees F-PII (F_CTRL_1)

Failsafe cyclus van de F-CPU

Uitvoer F programma

Uitvoer schaduw F-programma

Vergelijk resultaat

Schrijf F-PIO (F_CTRL_2)

t

(F-CALL)

F-runtime groep


Coded Processing – S7 Referentiedata

F-gebruikers-

programma F-schaduw-

programma


Opbouw veiligheidsfunctie met F-PLC: F-DI + F-CPU + F-DO/F-RO

Resultaat CRC niet correct: PROFIsafe stopt of CPU stopt

F-DI

F-DO

PROFIsafe Input Driver

F-CTRL 1

F-CTRL2

F FBs STEP 7

F-Coded FBs

PROFIsafe Output Driver

≠

F-CPU

PROFIsafe telegram

CRC Data

μP Left μP Right

zc = xc + yc z = x + y

Data x Coded xc

PROFIsafe telegram

CRC Data

Plus Minus

uP Left uP Right

Tijdbewaking/ -redundantie

tijd

(CRC: Cyclische Redundatie Controle)


Toepassing met centrale opbouw versus decentrale opbouw

Één centrale besturing

F-CPU + F-I/O

Besturing met Remote I/O en veldbus-communicatie

F-CPU

Remote F-I/O

Veldbus met

failsafe communicatie


F-I/O modules:

Twee kanaals processor systeem

Zelftests en vergelijkingen

Detectie van interne- en externe fouten

Hardware-technieken Failsafe I/O

μP μP

DATA+STATUS CRC

Beide processoren genereren en

vergelijken een compleet Profisafe

message frame. Om transmissie-

fouten te detecteren, stuurt iedere

processor slechts een deel van het

bericht (message frame).

PROFIsafe

message frame


Principe-opbouw failsafe ingangsmodules (F-DI)

Blokdiagram F-DI-modules: Aansluitvoorbeelden (SIL3 / Cat.4 / PLe):

1x2 FDI:

- één 2-kanaals sensor,

- voedingsspanning intern verzorgd

2x1 FDI:

- twee 1-kanaals sensoren,

- onderling mechanisch gekoppeld,

- voedingsspanning intern verzorgd

1x2 FDI:

- één 2-kanaals sensor,

- voedingsspanning extern verzorgd


Test-pulsen failsafe ingangen (F-DI)

Foutherkenning m.b.v. testpulsen in het ingangscircuit

T1

T2

T3

T4

0,2 ms 1 ms / 3 ms

Foutdetectie:

Kortsluiting sensor

Verkeerde bedrading sensor / kruislingse sluiting

Aardfout

Kabelbreuk

Discrepantiefout

F-DI Sensor

Kanaal 1:

T1

Kanaal 2:

T2


Software-technieken Failsafe ingangsmodules

Gecertificeerde failsafe ingangs-databouwstenen met specifieke parameter-instellingen


Principe-opbouw failsafe uitgangsmodules (F-DQ)

Blokdiagram F-DQ-modules: Aansluitvoorbeelden:

1x FDQ: (SIL1 / Cat.2 / PLc)

- één actuator,

- feedbackcircuit via DI

2x FDQ: (SIL3 / Cat.4 / PLe)

- twee actuators (redundantie),


1x FDQ: (SIL3 / Cat.4 / PLe)

- twee parallel geschakelde

actuators,

- PLC en actuators zijn in

dezelfde schakelkast gemonteerd,


XX

YY


Foutdetectie:

Testen uitgang P / M (readback time)

Kortsluiting / kruislingse sluiting uitgang

Light-test / dark-test failsafe uitgangen (F-DQ)

Zelftest failsafe uitgangen: light-test / dark-test

Uitgang ‘laag’: light-period test

(activated light-test)

1e

2e

1e

2e

Uitgang ‘hoog’: dark-test

(shutdown test)

Uitgang ‘laag’: light-test

(switch on test)

Foutdetectie:

Draadbreuk / belasting ontbreekt

Overbelasting


Software-technieken Failsafe uitgangsmodules

Failsafe uitgangsmodules met specifieke parameter-instellingen


Veldbussystemen en failsafe communicatie

Hoe betrouwbaar is signaaloverdracht via een bussysteem?

Mogelijke communicatie en transmissiefouten:

- Bericht/telegram herhaling

- Verlies van data/bericht

- Invoegen van ongewenst bericht

- Verkeerde volgorde van afhandeling

- Datacorruptie/-verminking

- Bericht vertraging

F-CPU

Remote F-I/O

Veldbus met

failsafe communicatie


Voorkomen van transmissiefouten in een veldbus

Veldbussystemen voor industriële automatisering garanderen maatregelen om fouten af te vangen


Failsafe communicatie is gewaarborgd in failsafe veldbussystemen

Voorbeeld: PROFINET industriële veldbus met PROFIsafe veiligheidsprotocol

PROFIsafe is een internationale standaard (IEC)

PROFIsafe controleert op potentiële fouten (bv. foutieve

adressen, vertragingen, verlies van data) d.m.v.:

Seriële nummering

Tijd controle

Betrouwbaarheidscontrole

Cyclische redundantie controle (CRC)

PROFIsafe ondersteunt standaard- en failsafe

communicatie via één enkele bus

Gecertificeerd door en

Standaard

data

Standaard

data Safety-

data

Safety-

data

PROFIsafe

layer

PROFIsafe

layer

Standaard

bus protocol

Standaard

bus protocol

"Bla

ck c

hann

el"

PROFIBUS

of

PROFINET

IFA


Met een veiligheids-PLC kan het machine-ontwerp flexibel worden uitgevoerd

Identieke functionaliteit voor elke systeem-opzet:

Eén PLC, maar gescheiden I/O en bus

PLC niveau

I/O niveau

Eén bus, maar gescheiden PLC en I/O

PLC niveau

I/O niveau

Eén PLC, één bus, en gecombineerde I/O

PLC niveau

I/O niveau

PLC, I/O en bus gescheiden

PLC niveau

I/O niveau


Software

Een ‘echte’ veiligheidsbesturing (F-PLC) herkennen

Hoe herken je een F-PLC ?

Display / apparaat


Faalkans gegevens (F-PLC)

Hoe controleer je of een F-PLC wel echt veiligheidsbesturing genoemd mag worden?

Documentatie:

faalkans gegevens

IFA

Test / keurings-

certificaten

Safety Evaluation Tool:

faalkans gegevens

faalkans berekeningen

48

Welke VHC EG-type-onderzoek?

EG-type-onderzoek:

Welke VHC’s wel en welke

niet?

Noodstopknop

Laserscanner

Hold-to-run

Veiligheidsmat

Deurschakelaar

Lichtgordijn

Tweehanden-bediening

Magnetische deur-schakelaar

Inloopbeveiliging

Mutingsensor

49

Veiligheidscomponenten en de Machinerichtlijn

MRL 2006/42/EG:

Bijlage IV: (uitgebreidere) limitatieve lijst met machines en veiligheidscomponenten,

waarvoor EG-type-onderzoek door Notified Body noodzakelijk is.

Bijlage V: indicatieve lijst van veiligheidscomponenten, die door EU kan worden uitgebreid.

EG-Verklaring van overeenstemming moet uitsluitsel geven!

50

2006/42/EG Bijlage IV EG-type-onderzoek is must!

19. Detectoren voor de aanwezigheid van personen.

(redactie: algemenere tekst; gedetailleerde uitleg in Guide to MD.)

20. Aangedreven beweegbare afschermingen met vergrendeling voor de machines, bedoeld in

de punten 9, 10 en 11.

21. Logische eenheden voor veiligheidsfuncties.

(redactie: ALLE logische eenheden, niet alleen 2-handenbediening)

22. Kantelbeveiligingsinrichtingen (ROPS).

23. Constructies ter bescherming tegen vallende voorwerpen (FOPS).

51

21. Logische eenheden voor VHF’s

Het gaat om complexe componenten die:

voldoen aan de definitie van veiligheidscomponent en

één of meer ingangssignalen analyseren en met een bepaald algoritme een of meer uitgangsignalen

voortbrengen en

bedoeld zijn, om samen met het besturingssysteem van een machine of een deel daarvan, één of

meer beveiligingsfuncties uit te voeren.

Opmerking: Het besturingssysteem dient echter niet als één logische eenheid te worden beschouwd.

Eenvoudige organen als elektromagnetische sensoren of schakelaars die enkel een ingangssignaal in

een uitgangssignaal omzetten, moeten niet als logische eenheid worden beschouwd.

Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010

52

21. Logische eenheden voor VHF’s

Logische eenheden ter verzekering van veiligheidsfuncties zijn bijvoorbeeld:

• logische eenheden voor bedieningsorganen die met twee handen moeten worden bediend;

• veiligheids-PLC’s;

• componenten voor de logische verwerking van veiligheidsgerelateerde signalen van

veiligheids-bussystemen.

Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010

53

Wie is NOBO voor VHC-en?

Aangemelde instantie (Notified Body)

Nationale overheid wijst NOBO aan en controleert deze

EU-NOBO’s voor VHC: TÜV’s, BG’s, DNV, etc.

NL-NOBO’s voor VHC: Aboma (ROPS/FOPS), Liftinstituut (Logic units)

LET OP: Niet elke NOBO voor VHC-en aangewezen!

Controleren via: NANDO Information System

(New Approach Notified and Designated Organisations)

Bron: http://ec.europa.eu/enterprise/newapproach/nando/

54

Wat doet een Notified Body?

Onderzoekt compleetheid Technisch Dossier.

Controle/meting/beproeving of aan fundamentele V&G-eisen MRL is voldaan.

Controle/meting/beproeving of aan de geldende geharmoniseerde EN-normen is voldaan.

Bij goedkeuring opstellen:

‘Verklaring van EG-type-onderzoek’. (certificate +nr.)

Rapport van de EG-type goedkeuring. (report + nr.)

Voorwaarden geldigheid benoemen.

15 jaar bewaren resultaten EG-type-onderzoek.

55

Inhoud EG-VVO VHC Bijlage II

EG Conformiteitsverklaring volgens Bijlage IIA

• Naam/adres fabrikant en gemachtigde. (in voorkomend geval)

• Naam TD samensteller.

• EU-richtlijnen (MRL/EMC/ATEX?)

• * Naam/ adres/ nr. NOBO (type onderzoek volgens Bijlage IX)

• * Nr. EG-type-onderzoek

• Naam/ adres/ nr. NOBO. (volledige kwaliteitsborging volgens Bijlage X)

• EN-/ nationale normen.

• Identiteit/ handtekening ondertekenaar.

* LET OP: Items met ster ervoor vervallen bij de “niet-Bijlage IV” VHC


… en dan nu een veiligheidsfunctie met een standaard PLC

Motor

„Veiligheids-systeem ?“

input / detecting

(sensoren)

logic / evaluating

(besturing)

output / reacting

(schakelen) Veiligheids

deur

Welke foutdetectie en diagnose zijn bij een veiligheidsfunctie mogelijk met een standaard PLC ?

Sensor-fouten:

- Kortsluiting

- Aardfout

- Draadbreuk

Actuator-fouten:

- Kortsluiting

- Aardfout

- Draadbreuk

Bekabelings-/bussysteem-fouten:

- Verkeerd bedraad

- Dataverlies

- Datacorruptie

- Communicatie vertraging

CPU-fouten:

- Processorfout

- Geheugenfout

Welke storingen/fouten

worden gedetecteerd ?

Welke checks/ diagnose

zijn mogelijk ?


Inzet standaard-PLC voor machineveiligheid-toepassingen: kan dat?

Motor

„Veiligheids-systeem ?“

input / detecting

(sensoren)

logic / evaluating

(besturing)

output / reacting

(schakelen) Veiligheids

deur

Een veiligheidsfunctie met een standaard PLC heeft slechts beperkte foutdetectie en diagnose !

Door de opbouwstructuur van een standaard PLC is bij een veiligheidsfunctie slechts beperkte

foutdetectie en diagnose mogelijk.

Dit betekent dat bij een standaard PLC de foutdetectie en diagnose extern (zelf) gebouwd dient te

worden om de noodzakelijke veiligheid van een veiligheidsfunctie te kunnen waarborgen !

Welke storingen/fouten

worden gedetecteerd ?

Welke checks/ diagnose

zijn mogelijk ?

Safety Integrated – Normen Functionele Veiligheid in de praktijk 58

Risicobeoordelingstraject is en blijft ‘leading’

Risico-analyse Risicoreductie Bewijs

Het uit de risicobeoordeling volgend vereiste veiligheidsniveau van de applicatie

moet gewaarborgd kunnen worden….

…. ook als een standaard-PLC voor veiligheid toegepast zou worden !


Aandachtspunten bij inzet standaard-PLC voor machineveiligheid-toepassingen

Zorg dat u kunt aantonen ‘dat het goed is’ !

Veiligheidsfuncties bouwen met zelf gebouwde veiligheidscomponenten of –systemen betekent ook

zelf aan kunnen tonen dat deze voldoen:

- U bent verantwoordelijk !

- Risicobeoordeling: onderbouwing / certificering van veiligheidsfuncties conform de Machinerichtlijn

- Bewijs: documenteren, verificatie en validatie (TD)

Bij wijzigingen of aanpassingen in veiligheidscircuits OF standaardprogramma dienen procedures opnieuw

doorlopen en gedocumenteerd te worden

BELANGRIJK: Wat niet vastgelegd en gedocumenteerd is, wordt geïntrepeteerd als niet uitgevoerd !

Gebruik van actuele stand der techniek technologie garandeert juridische zekerheid (een F-PLC is tegenwoordig een geaccepteerd ‘common good’)

Safety Integrated – Normen Functionele Veiligheid in de praktijk 60

Basis stappen

Verificatie en validatie

Voorbereiden

validatie-

rapport

Veiligheids-

functies Software

Omgevings-

condities

Bedienings-

instructies

Voorbereiden

validatie-plan

inclusief test-plan

Bewijs en documentatieproces – ook voor software-wijzigingen

Bewijs

Bewijs naleving

van de richtlijn

CE-markering

aanbrengen

Documenteer

de maatregelen Voer de validatie uit

Bij elke software wijziging zal het validatieproces opnieuw doorlopen moeten worden (met het V-model)


Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules

Volledige veiligheidsberekening ….


Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules

… en goedkeuring door NoBo


Kosten voor certificering veiligheidsfuncties

Onderschat certificeringskosten van veiligheidsfuncties niet !

De kosten voor documenteren en certificeren van zelf ontworpen veiligheidsfuncties kunnen snel oplopen

Het te doorlopen traject kost tijd

Rekenvoorbeeld voor één eenvoudige veiligheidsfunctie:

- Kosten voor de machinebouwer:

ca. 2 – 4 weken

- Kosten keuringsinstantie / NoBo:

ca. € 10.000,- – € 20.000,-

ca. € 5.000,- – €10.000,-

- Tijdsbestek doorlopen traject:

64

www.siemens.nl/industry/machineveiligheid

Safety Integrated:

Oplossingen – Ondersteuning – Tools

Standaard-PLC versus Failsafe-PLC (F-PLC) Ruud Dofferhoff... · Ruud Dofferhoff Siemens Nederland...

Documents

Transcript of Standaard-PLC versus Failsafe-PLC (F-PLC) Ruud Dofferhoff... · Ruud Dofferhoff Siemens Nederland...