Standaard-PLC_versus_ Failsafe-PLC
advertisement
Safety Integrated: Oplossingen – Ondersteuning – Tools www.siemens.nl/industry/machineveiligheid 1 Standaard-PLC versus Failsafe-PLC (F-PLC) Nick de With Fusacon B.V. Senior Safety Consultant Telefoon: 06 611 915 917 E-mail: [email protected] www.fusacon.nl www.siemens.nl/industry/machineveiligheid Standaard-PLC versus Failsafe-PLC - 05-2016 Ruud Dofferhoff Siemens Nederland N.V. Sales Support Specialist Machineveiligheid Telefoon: 070 333 3404 E-mail: [email protected] 2 Standaard PLC in ”veiligheidscircuit”? Remark from an electrical engineer: Bron: Linkedin group “IEC 62061 and ISO 13849 machinery functional safety” In practice standard PLCs are pretty reliable and if something goes wrong with them they just stop working with their outputs off. Double up the outputs and add some cross monitoring back to the inputs or some other item with logic such as a drive and you can have a pretty reliable system which is probably comparable to a safety relay. Standaard-PLC versus Failsafe-PLC - 05-2016 3 Principe-opbouw veiligheidsfunctie met standaard PLC Besturingsfunctie Eindstand Input (sensoren) logic (besturing) Output (schakelen) Motor Aandachtspunten: - Hoe wordt de veiligheid van de hardware EN software gewaarborgd? - Wat is de betrouwbaarheid van de gebruikte componenten? - Hoe toon ik als ontwerper aan dat de veiligheidsfunctie volstaat voor het risiconiveau uit de risicobeoordeling? Standaard-PLC versus Failsafe-PLC - 05-2016 4 Elke standaard PLC kent 3 typen software Laptop / PG Fixed Programming Language = FPL Limited Variability Language = LVL Full Variability Language = FVL Programmeerbaar Electronisch Systeem (PC of PLC of andere programmeerbare electronica) Applicatie software Libraries Diagnostic Software Functie 1 Support Functions Functie 2 Functie .. Standaard-PLC versus Failsafe-PLC - 05-2016 Operating System Embedded software 5 Voorbeeld: Mogelijk probleem met geheugen Programmeerbaar Electronisch Systeem 65=1000001 One Bit Failure 1100001=97 Sensor Input Module Logic Module Output Module Actuator S1 Als T > 65°C dan sluit de klep Process 6 Wettelijke eisen Machinerichtlijn 2006/42/EG Wat zegt huidige Machinerichtlijn over de veiligheid van het machine-besturingssysteem? Wat wordt er wettelijk geeist? Page 7 7 Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 1. zij bestand zijn tegen de normale bedrijfsbelasting en tegen invloeden van buitenaf, 2. een storing in de apparatuur of de programmatuur van het besturingssysteem niet tot een gevaarlijke situatie leidt, Ad. 2. Geldt dus voor falen hardware en fouten in embedded software! Page 8 8 Machinerichtlijn Bijlage I MRL 2006/42/EG Bijlage I art. 1.2.1: De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan, zodanig dat: 3. fouten in de besturingslogica niet tot een gevaarlijke situatie leiden, 4. redelijkerwijs voorzienbare menselijke fouten gedurende de werking niet tot een gevaarlijke situatie leiden. Ad. 3. Geldt dus voor fouten in applicatie software! Page 9 9 Wat is de enige zekerheid in de techniek… Na een storing door een foutieve aansluiting van een meetwaarde- omvormer door een monteur zei Murphy tegen hem: "If there is any way to do it wrong, he'll find it.“ Later is dit geworden: "If anything can go wrong, it will“ http://www.murphys-laws.com Edward Aloysius Murphy, Jr. Amerikaanse ruimtevaart-ingenieur die aan veiligheid-kritieke systemen werkte. 10 Wat is de enige zekerheid in de techniek… Logic Solver SENSOR MOTOR CONTACTOR Facts: • Elk product kan falen. • Murphy’s law geldt ook hier…. • Wanneer het faalt is de…? • Faalkans is te berekenen! NEN-EN 954-1 hield helemaal GEEN rekening met faalkans component(en). 11 Wat is de enige zekerheid in de techniek… De volgend twee normen houden WEL rekening met de faalkans van componenten/subsystemen: NEN-EN-(IEC) 62061, functionele veiligheid SRECS; Safety Integrity Level 3 niveau’s: SIL1, SIL2, SIL3. NEN-EN-ISO 13849 deel 1 en deel 2, ontwerp en verificatie SRP/CS; Performance Level: 5 niveau’s: PLa, PLb, PLc, PLd, PLe 12 Kent iemand de functie van de veiligheidspal? Veiligheidspal 13 Veiligheidscomponent werkt als veiligheidspal van pistool! Veiligheidsrelais Veiligheids-PLC met of zonder Safe bus systeem © 2014 FUSACON B.V. - www.fusacon.nl Page14 14 Wat is het verschil tussen de standaard PLC en de fail-safe PLC? ZOEK DE VERSCHILLEN!!!!! 15 Principe-opbouw besturingsfunctie Kan/mag een standaard besturing een veiligheidsfunctie uitvoeren ? Besturingsfunctie Input (sensoren) Eindstand logic (besturing) Output (schakelen) Motor Aandachtspunten: - Wat is het risico op letsel? - Hoe wordt de veiligheid gewaarborgd van de functie? - Wat is de kwaliteit van de gebruikte hardware componenten? - Welke eisen moeten er aan de software gesteld worden? Standaard-PLC versus Failsafe-PLC - 05-2016 16 Principe-opbouw besturing met separate veiligheidsfunctie Principe-opbouw standaard besturingsfunctie en separaat opgebouwde veiligheidsfunctie Besturingsfunctie Eindstand Input (sensoren) logic (besturing) Output (schakelen) Motor Reacting Motor Veiligheidsfunctie Noodstop Detecting Evaluating 17 Wat is nu eigenlijk karakteristiek voor een veiligheidsfunctie? Foutdetectie en waarborgen veiligheid: Welke fouten al dan niet herkend worden is afhankelijk van de diagnosemogelijkheden binnen een veiligheidsfunctie Veiligheidsfunctie Noodstop Foutdetectie door: Detecting Evaluating Checks/diagnose ! Reacting Motor Storingen/fouten (intern/extern) - Opbouwstructuur - Uitgevoerde checks / diagnosemogelijkheden - Intelligentie van de gebruikte componenten Standaard-PLC versus Failsafe-PLC - 05-2016 18 Voorbeeld: veiligheidsfunctie met veiligheidsrelais Q1 Q2 Waarborgen veiligheid van de functie door foutdetectie en diagnose: - 2-kanaals-opbouw / wijze van aansluiten - Testpulsen door de kanalen / feedbackcircuit magneetschakelaars - Gebruik van de juiste componenten of b.v. veiligheidscomponenten met eigen intelligentie Standaard-PLC versus Failsafe-PLC - 05-2016 19 Basisprincipe veiligheidsrelais: ‘relais-techniek’ Ch.1 Mogelijke fout: kortsluiting in noodstopknop Ch.2 Noodstop Indrukken/ uittrekken Noodstopknop UB A1 (L+) A2 (L-) S11 S12 S12 Terugkoppelcircuit S22 Y1 Y2 Veiligheids-contacten, mechanisch gedwongen 13 23 33 41 * K1 F1 K1 G1 ~ + K3 K1 K3 K2 K2 = Hulpverbreekcontacten; alleen voor signalering Relais met mechanisch gedwongen veiligheidscontacten K2 K1 K2 K3 C1 K3 ** S33 S34 14 24 34 42 Resetknop Standaard-PLC versus Failsafe-PLC - 05-2016 Met ‘relais-techniek’` geheugenfunctie voor één enkele fout!!!!! 20 Mechanisch gedwongen?! Mechanisch gedwongen verbreekcontact houdt in: Het NC en NO contact van een contactset moeten niet gelijktijdig gesloten kunnen zijn. EN 50205:2002: Relays with forcibly guided (mechanically linked) contacts Mechanische koppeling/-link Mechanisch gewongen contacten Gegarandeerde contactscheiding van min. 0,5 mm Vastgeplakt contact Standaard-PLC versus Failsafe-PLC - 05-2016 EN 50205: It must be ensured that contact spacings of at least 0,5mm exist over the entire lifetime, even under faulty conditions (e.g. contact welding) 21 Testpulsen ingangscircuits 0,2 ms 1 ms / 3 ms T1 T2 T3 T4 Standaard-PLC versus Failsafe-PLC - 05-2016 22 Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais Harware-configuratie , in combinatie met .… Logic Standaard-PLC versus Failsafe-PLC - 05-2016 23 Voorbeeld: veiligheidsfunctie met software-parametreerbaar veiligheidsrelais …. Software-configuratie: Gecertificeerde failsafe functieblokken met specifieke parameter-settings Standaard-PLC versus Failsafe-PLC - 05-2016 24 Principe-opbouw veiligheidsfunctie met een failsafe PLC Veiligheidsfuncties worden geïntegreerd binnen de PLC „Veiligheids-systeem“ Veiligheidsdeur input / detecting (sensoren) logic / evaluating (besturing) output / reacting (schakelen) Motor Met een failsafe PLC zijn adequate foutdetectie en diagnose van veiligheidsfuncties gewaarborgd ! Standaard-PLC versus Failsafe-PLC - 05-2016 25 Basis-technieken F-PLC Welke technieken zitten er wel in een F-PLC en niet in een Standaard-PLC ? Redundante CPU-opbouw (hardware-redundantie / software-redundantie) Zelftest CPU en hardware Redundantie hardware incl. diagnose Gescheiden opbouw van standaard- en veiligheidsfuncties Standaard-PLC versus Failsafe-PLC - 05-2016 26 Foutdetectie en diagnose met een failsafe PLC Mogelijk optredende fouten in een veiligheidsfunctie „Veiligheids-systeem“ Veiligheidsdeur Kortsluiting, Aardfout, Draadbreuk, Verkeerd bedraad input / detecting (sensoren) logic / evaluating (besturing) Dataverlies, datacorruptie, Communicatie vertraging output / reacting (schakelen) Processorfout, Geheugenfout Tijdbewaking/-redundantie Foutdetectie en diagnose door F-CPU: Coded Processing en interne tests Profisafe: communicatiefouten F-I/O: twee kanaals processor en bedradingstests Tijdbewaking voor afhandeling van de instructies Standaard-PLC versus Failsafe-PLC - 05-2016 Motor Kortsluiting, Aardfout, Draadbreuk tijd 27 F-CPU Klassiek F-controller principe: structural redundancy (HFT) Twee of meer identieke controllers/CPU’s Allen voeren hetzelfde programma uit De resultaten worden vergeleken Safety Advanced F-controller principle: Coded Processing Genereren van een schaduw programma met behulp van de F-compiler Geprogrammeerd programma en schaduwprogramma worden achter elkaar uitgevoerd (tijdbewaking). Resultaten worden vergeleken Toepassing van een failsafe systeem met één enkele F-CPU Standaard-PLC versus Failsafe-PLC - 05-2016 28 Software varianten Programmeer software (laptop / PG) Fixed Programming Language = FPL Limited Variability Language = LVL Full Variability Language = FVL Programmeerbaar Electronisch Veiligheidssysteem (Programmable Electronic Safety System) F-Libraries Safety--applicatie Safety software Safety Functie 1 Diagnostic Software Support Functions Safety Functie 2 Safety Functie .. Standaard-PLC versus Failsafe-PLC - 05-2016 Operating System Embedded safety software 29 Failsafe PLC – Redundante opbouw Geheugenbereik: gescheiden opbouw voor standaard- en safety-programma F-Controller Standaard-programma Safety-programma Standaard-programma Failsafe-programma Standaard-PLC versus Failsafe-PLC - 05-2016 30 Werking F-CPU Afloopproces: constateren van verschillen en tijdbewaking z=x+y x=2 y=3 z=5 Ingangen Programma Uitgangen xc = f(x) Verkeerde ingang: 13+21=34 yc = f(y) Verkeerde uitvoer: 14+21+3=38 Vergelijk ≠ zc = xc + yc xc = 14 yc = 21 Schaduw ingangen zc = 35 Schaduwprogramma Tijd-redundantie Standaard-PLC versus Failsafe-PLC - 05-2016 Schaduw Uitgangen t 31 Failsafe cyclus van de F-CPU (F-CALL) Lees F-PII (F_CTRL_1) Uitvoer F programma Uitvoer schaduw F-programma F-runtime groep Vergelijk resultaat Schrijf F-PIO (F_CTRL_2) t Standaard-PLC versus Failsafe-PLC - 05-2016 32 Coded Processing – S7 Referentiedata F-gebruikersprogramma Standaard-PLC versus Failsafe-PLC - 05-2016 F-schaduwprogramma 33 Opbouw veiligheidsfunctie met F-PLC: F-DI + F-CPU + F-DO/F-RO F-DI µP Left µP Right PROFIsafe telegram Data PROFIsafe Input Driver CRC F-CTRL 1 Data x Coded xc F FBs STEP 7 z=x+y zc = xc + yc F-Coded FBs Data CRC F-CTRL2 uP Right PROFIsafe Output Driver F-CPU Tijdbewaking/ -redundantie ≠ PROFIsafe telegram F-DO uP Left Plus Minus Resultaat CRC niet correct: PROFIsafe stopt of CPU stopt (CRC: Cyclische Redundatie Controle) Standaard-PLC versus Failsafe-PLC - 05-2016 tijd 34 Toepassing met centrale opbouw versus decentrale opbouw Één centrale besturing Besturing met Remote I/O en veldbus-communicatie F-CPU F-CPU + F-I/O Remote F-I/O Veldbus met failsafe communicatie Standaard-PLC versus Failsafe-PLC - 05-2016 35 Hardware-technieken Failsafe I/O F-I/O modules: Twee kanaals processor systeem Zelftests en vergelijkingen Detectie van interne- en externe fouten µP Beide processoren genereren en vergelijken een compleet Profisafe message frame. Om transmissiefouten te detecteren, stuurt iedere processor slechts een deel van het bericht (message frame). µP DATA+STATUS CRC Standaard-PLC versus Failsafe-PLC - 05-2016 PROFIsafe message frame 36 Principe-opbouw failsafe ingangsmodules (F-DI) Blokdiagram F-DI-modules: Aansluitvoorbeelden (SIL3 / Cat.4 / PLe): 1x2 FDI: - één 2-kanaals sensor, - voedingsspanning intern verzorgd 1x2 FDI: - één 2-kanaals sensor, - voedingsspanning extern verzorgd 2x1 FDI: - twee 1-kanaals sensoren, - onderling mechanisch gekoppeld, - voedingsspanning intern verzorgd Standaard-PLC versus Failsafe-PLC - 05-2016 37 Test-pulsen failsafe ingangen (F-DI) Foutherkenning m.b.v. testpulsen in het ingangscircuit F-DI Sensor Kanaal 1: T1 Kanaal 2: T2 0,2 ms 1 ms / 3 ms T1 T2 T3 T4 Foutdetectie: Kortsluiting sensor Verkeerde bedrading sensor / kruislingse sluiting Aardfout Kabelbreuk Discrepantiefout Standaard-PLC versus Failsafe-PLC - 05-2016 38 Software-technieken Failsafe ingangsmodules Gecertificeerde failsafe ingangs-databouwstenen met specifieke parameter-instellingen Standaard-PLC versus Failsafe-PLC - 05-2016 39 Principe-opbouw failsafe uitgangsmodules (F-DQ) Blokdiagram F-DQ-modules: Aansluitvoorbeelden: 1x FDQ: (SIL1 / Cat.2 / PLc) - één actuator, - feedbackcircuit via DI XX 2x FDQ: (SIL3 / Cat.4 / PLe) - twee actuators (redundantie), - feedbackcircuit via DI YY 1x FDQ: (SIL3 / Cat.4 / PLe) - twee parallel geschakelde actuators, - PLC en actuators zijn in dezelfde schakelkast gemonteerd, - feedbackcircuit via DI Standaard-PLC versus Failsafe-PLC - 05-2016 40 Light-test / dark-test failsafe uitgangen (F-DQ) Zelftest failsafe uitgangen: light-test / dark-test Uitgang ‘hoog’: dark-test (shutdown test) Uitgang ‘laag’: light-test (switch on test) 1e 1e 2e 2e Foutdetectie: Testen uitgang P / M (readback time) Kortsluiting / kruislingse sluiting uitgang Standaard-PLC versus Failsafe-PLC - 05-2016 Uitgang ‘laag’: light-period test (activated light-test) Foutdetectie: Draadbreuk / belasting ontbreekt Overbelasting 41 Software-technieken Failsafe uitgangsmodules Failsafe uitgangsmodules met specifieke parameter-instellingen Standaard-PLC versus Failsafe-PLC - 05-2016 42 Veldbussystemen en failsafe communicatie Hoe betrouwbaar is signaaloverdracht via een bussysteem? F-CPU Mogelijke communicatie en transmissiefouten: - Bericht/telegram herhaling Remote F-I/O - Verlies van data/bericht - Invoegen van ongewenst bericht - Verkeerde volgorde van afhandeling Veldbus met failsafe communicatie - Datacorruptie/-verminking - Bericht vertraging Standaard-PLC versus Failsafe-PLC - 05-2016 43 Voorkomen van transmissiefouten in een veldbus Veldbussystemen voor industriële automatisering garanderen maatregelen om fouten af te vangen Standaard-PLC versus Failsafe-PLC - 05-2016 44 Failsafe communicatie is gewaarborgd in failsafe veldbussystemen Voorbeeld: PROFINET industriële veldbus met PROFIsafe veiligheidsprotocol PROFIsafe is een internationale standaard (IEC) PROFIsafe ondersteunt standaard- en failsafe communicatie via één enkele bus Gecertificeerd door en Standaard data Safetydata PROFIsafe layer Standaard data PROFIsafe layer Standaard bus protocol Standaard bus protocol PROFIBUS of PROFINET "Black channel" PROFIsafe controleert op potentiële fouten (bv. foutieve adressen, vertragingen, verlies van data) d.m.v.: Seriële nummering Tijd controle Betrouwbaarheidscontrole Cyclische redundantie controle (CRC) Safetydata IFA Standaard-PLC versus Failsafe-PLC - 05-2016 45 Met een veiligheids-PLC kan het machine-ontwerp flexibel worden uitgevoerd Identieke functionaliteit voor elke systeem-opzet: PLC niveau PLC niveau I/O niveau I/O niveau PLC, I/O en bus gescheiden Eén PLC, maar gescheiden I/O en bus PLC niveau PLC niveau I/O niveau I/O niveau Eén bus, maar gescheiden PLC en I/O Standaard-PLC versus Failsafe-PLC - 05-2016 Eén PLC, één bus, en gecombineerde I/O 46 Een ‘echte’ veiligheidsbesturing (F-PLC) herkennen Hoe herken je een F-PLC ? Display / apparaat Software Standaard-PLC versus Failsafe-PLC - 05-2016 47 Faalkans gegevens (F-PLC) Hoe controleer je of een F-PLC wel echt veiligheidsbesturing genoemd mag worden? Documentatie: faalkans gegevens IFA Safety Evaluation Tool: faalkans gegevens faalkans berekeningen Test / keuringscertificaten Standaard-PLC versus Failsafe-PLC - 05-2016 48 Welke Veiligheidscomponenten EG-type-onderzoek? Deurschakelaar Noodstopknop Veiligheidsmat Lichtscherm EG-type-onderzoek: Mutingsensor Welke VHC’s wel en welke niet? TweehandenTweehandenbediening Magnetisch gecodeerde deurschakelaar Hold--to Hold to--run Laserscanner Inloopbeveiliging 49 Veiligheidscomponenten en de Machinerichtlijn MRL 2006/42/EG: Bijlage IV: (uitgebreidere) limitatieve lijst met machines en veiligheidscomponenten, waarvoor EG-type-onderzoek door Notified Body noodzakelijk is. Bijlage V: indicatieve lijst van veiligheidscomponenten, die door EU kan worden uitgebreid. EG-Verklaring van overeenstemming moet uitsluitsel geven! 50 2006/42/EG Bijlage IV EG-type-onderzoek is must! 19. Detectoren voor de aanwezigheid van personen. (redactie: algemenere tekst; gedetailleerde uitleg in Guide to MD.) 20. Aangedreven beweegbare afschermingen met vergrendeling voor de machines, bedoeld in de punten 9, 10 en 11. 21. Logische eenheden voor veiligheidsfuncties. (redactie: ALLE logische eenheden, niet alleen 2-handenbediening) 22. Kantelbeveiligingsinrichtingen (ROPS). 23. Constructies ter bescherming tegen vallende voorwerpen (FOPS). 51 21. Logische eenheden voor veiligheidsfuncties Het gaat om complexe componenten die: voldoen aan de definitie van veiligheidscomponent en één of meer ingangssignalen analyseren en met een bepaald algoritme een of meer uitgangsignalen voortbrengen en bedoeld zijn, om samen met het besturingssysteem van een machine of een deel daarvan, één of meer beveiligingsfuncties uit te voeren. Opmerking: Het besturingssysteem dient echter niet als één logische eenheid te worden beschouwd. Eenvoudige organen als elektromagnetische sensoren of schakelaars die enkel een ingangssignaal in een uitgangssignaal omzetten, moeten niet als logische eenheid worden beschouwd. Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010 52 21. Logische eenheden voor veiligheidsfuncties Logische eenheden ter verzekering van veiligheidsfuncties zijn bijvoorbeeld: • logische eenheden voor bedieningsorganen die met twee handen moeten worden bediend; • veiligheids-PLC’s; • componenten voor de logische verwerking van veiligheidsgerelateerde signalen van veiligheids-bussystemen. Bron: Gids voor de toepassing van MRL 2006/42/EG – 2e uitgave – juni 2010 53 Wie is NoBo voor veiligheidscomponenten? Aangemelde instantie: Notified Body (NoBo) Nationale overheid wijst NoBo aan en controleert deze EU-NoBo’s voor VHC: TÜV’s, BG’s, DNV, etc. NL-NoBo’s voor VHC: Aboma (ROPS/FOPS), Liftinstituut (Logic units) LET OP: Niet elke NoBo is voor veiligheidscomponenten! Controleren via: NANDO Information System (New Approach Notified and Designated Organisations) Bron: http://ec.europa.eu/enterprise/newapproach/nando/ 54 Wat doet een Notified Body? Onderzoekt : Compleetheid Technisch Dossier. Controle/meting/beproeving of aan fundamentele V&G-eisen MRL is voldaan. Controle/meting/beproeving of aan de geldende geharmoniseerde EN-normen is voldaan. Bij goedkeuring opstellen: ‘Verklaring van EG-type-onderzoek’. (certificate +nr.) Rapport van de EG-type goedkeuring. (report + nr.) Voorwaarden geldigheid benoemen. 15 jaar bewaren resultaten EG-type-onderzoek. 55 Inhoud EG-verklaring van overeenstemming veiligheidscomponenten Bijlage II EG Conformiteitsverklaring volgens Bijlage IIA • Naam/adres fabrikant en gemachtigde. (in voorkomend geval) • Naam samensteller Technisch Dossier. • EU-richtlijnen (MRL/EMC/ATEX?) • * Naam/ adres/ nr. NOBO (type onderzoek volgens Bijlage IX) • * Nr. EG-type-onderzoek • Naam/ adres/ nr. NOBO. (volledige kwaliteitsborging volgens Bijlage X) • EN-/ nationale normen. • Identiteit/ handtekening ondertekenaar. * LET OP: Items met ster ervoor vervallen bij de “niet-Bijlage IV” , Veiligheidscomponenten 56 … en dan nu een veiligheidsfunctie met een standaard PLC Welke foutdetectie en diagnose zijn bij een veiligheidsfunctie mogelijk met een standaard PLC ? „Veiligheids-systeem ?“ Veiligheids deur input / detecting (sensoren) logic / evaluating (besturing) Welke checks/ diagnose zijn mogelijk ? output / reacting (schakelen) Motor Welke storingen/fouten worden gedetecteerd ? Sensor-fouten: Bekabelings-/bussysteem-fouten: CPU-fouten: Actuator-fouten: - Kortsluiting - Aardfout - Draadbreuk - Verkeerd bedraad - Dataverlies - Datacorruptie - Communicatie vertraging Standaard-PLC versus Failsafe-PLC - 05-2016 - Processorfout - Geheugenfout - Kortsluiting - Aardfout - Draadbreuk 57 Inzet standaard-PLC voor machineveiligheid-toepassingen: kan dat? Een veiligheidsfunctie met een standaard PLC heeft slechts beperkte foutdetectie en diagnose ! „Veiligheids-systeem ?“ Veiligheids deur input / detecting (sensoren) logic / evaluating (besturing) Welke checks/ diagnose zijn mogelijk ? output / reacting (schakelen) Motor Welke storingen/fouten worden gedetecteerd ? Door de opbouwstructuur van een standaard PLC is bij een veiligheidsfunctie slechts beperkte foutdetectie en diagnose mogelijk. Dit betekent dat bij een standaard PLC de foutdetectie en diagnose extern (zelf) gebouwd dient te worden om de noodzakelijke veiligheid van een veiligheidsfunctie te kunnen waarborgen ! Standaard-PLC versus Failsafe-PLC - 05-2016 58 Risicobeoordelingstraject is en blijft ‘leading’ Het uit de risicobeoordeling volgend vereiste veiligheidsniveau van de applicatie moet gewaarborgd kunnen worden…. …. ook als een standaard-PLC voor veiligheid toegepast zou worden ! Risico-analyse Risicoreductie Safety Integrated – Normen Functionele Veiligheid in de praktijk Validatie 59 Aandachtspunten bij inzet standaard-PLC voor machineveiligheid-toepassingen Zorg dat u kunt aantonen ‘dat het goed is’ ! Veiligheidsfuncties bouwen met zelf gebouwde veiligheidscomponenten of –systemen betekent ook zelf aan kunnen tonen dat deze voldoen: - U bent verantwoordelijk ! - Risicobeoordeling: onderbouwing / certificering van veiligheidsfuncties conform de Machinerichtlijn - Bewijs: documenteren, verificatie en validatie (TD) Bij wijzigingen of aanpassingen in veiligheidscircuits OF standaardprogramma dienen procedures opnieuw doorlopen en gedocumenteerd te worden Gebruik van actuele stand der techniek technologie garandeert juridische zekerheid (een F-PLC is tegenwoordig een geaccepteerd ‘common good’) BELANGRIJK: Wat niet vastgelegd en gedocumenteerd is, wordt geïntrepeteerd als niet uitgevoerd ! Standaard-PLC versus Failsafe-PLC - 05-2016 60 Bewijs en documentatieproces – ook voor software-wijzigingen Documenteer de maatregelen Validatie Voer de validatie uit Bewijs naleving van de richtlijn CE-markering aanbrengen Basis stappen Verificatie en validatie Voorbereiden validatie-plan inclusief test-plan Veiligheidsfuncties Software Omgevingscondities Bedieningsinstructies Voorbereiden validatierapport Bij elke software wijziging zal het validatieproces opnieuw doorlopen moeten worden (met het V-model) Safety Integrated – Normen Functionele Veiligheid in de praktijk 61 Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules Volledige veiligheidsberekening …. Standaard-PLC versus Failsafe-PLC - 05-2016 62 Voorbeeld: Veilige sigaalverwerking met standaard I/O-modules … en goedkeuring door NoBo Standaard-PLC versus Failsafe-PLC - 05-2016 63 Kosten voor certificering veiligheidsfuncties Onderschat certificeringskosten van veiligheidsfuncties niet ! De kosten voor documenteren en certificeren van zelf ontworpen veiligheidsfuncties kunnen snel oplopen Het te doorlopen traject kost tijd Rekenvoorbeeld voor één eenvoudige veiligheidsfunctie: - Tijdsbestek doorlopen traject: ca. 2 – 4 weken - Kosten voor de machinebouwer: ca. € 10.000,- – € 20.000,- - Kosten keuringsinstantie / NoBo: ca. € 5.000,- – €10.000,- Standaard-PLC versus Failsafe-PLC - 05-2016 64 Safety Integrated: Oplossingen – Ondersteuning – Tools www.siemens.nl/industry/machineveiligheid 65
