Teknisk veiledning nr. 10 - Funksjonssikkerhet...Teknisk veiledning nr. 10 | Funksjonssikkerhety 11...

Teknisk veiledning nr. 10Funksjonssikkerhet

ABB frekvensomformere

2 Funksjonssikkerhet | Teknisk veiledning nr. 10

Teknisk veiledning nr. 10 | Funksjonssikkerhety 3

Teknisk veiledning nr. 10Funksjonssikkerhet

© Copyright 2011 ABB. Alle rettigheter forbeholdt.

Spesifikasjoner kan endres uten varsel.

3AUA0000110049 REV D NO 2.11.2011 #15974


Innhold

Om dette dokumentet ................................................................................. 7

Del 1 – Teori og bakgrunn ........................................................................... 8

Sikkerhet og funksjonssikkerhet ........................................................... 9Maskindirektiv ..................................................................................... 9Endringer i det nye maskindirektivet ...................................................11Hierarki i det europeiske systemet for harmoniserte standarder .............12

Del 2 – Ny tilnærming .................................................................................14

To standarder – IEC og ISO .................................................................15Standarder for å minimere risiko ..........................................................16Standarder for elektroniske sikkerhetssystemer ....................................16Produktspesifikke sikkerhetsstandarder (standarder type C) .................18Spesifikk standard for sikkerhetsrelaterte frekvensomformersystemer ....18Standardiserte sikkerhetsfunksjoner ....................................................19

Del 3 – Metoder for å oppfylle kravene i maskindirektivet .........................22

TRINN 1: Administrering av funksjonssikkerhet .....................................23TRINN 2: Risikovurdering ....................................................................24TRINN 3: Risikoreduksjon ...................................................................26TRINN 4: Opprette sikkerhetskrav .......................................................28TRINN 5: Implementering av funksjonssikkerhetssystem .......................32TRINN 6: Verifisere et funksjonssikkerhetssystem .................................33TRINN 7: Validering av funksjonssikkerhetssystem ...............................37TRINN 8: Dokumentere funksjonssikkerhetssystem ..............................37TRINN 9: Bevise samsvar ...................................................................38

Ordliste ......................................................................................................40


Ansvarsbegrensning

Dette dokumentet er en informasjonsveiledning som skal hjelpe brukerne, rådgivere og produsentene av maskiner til bedre å forstå kravene i EUs maskindirektiv, og hvilke tiltak som er nød-vendig for å oppnå samsvar med direktivet og de harmoniserte standardene under det.

Dette dokumentet er ikke beregnet på å brukes ordrett, men det er ment som et informativt hjelpemiddel.

Informasjonen og eksemplene i denne veiledningen er kun beregnet for generelt bruk, og inneholder ikke alle nødvendige detaljer for å implementere et sikkerhetssystem.

ABB påtar seg ikke noe ansvar for direkte eller indirekte person-skader eller materielle skader som skyldes bruk av informasjon i dette dokumentet. Produsenten av maskinen er alltid ansvarlig for sikkerheten til produktet, at det egner seg til sitt bruk, og at gjeldene lover og regler er oppfylt. ABB fraskriver seg herved alt ansvar som kan tilbakeføres til dette dokumentet.


Om dette dokumentet

Dette dokumentet presenterer maskindirektivet og standardene som må det må tas hensyn til ved konstruksjon av en maskin, dette for å garantere driftssikkerheten.

Hensikten med dokumentet er å forklare i generelle vendinger hvordan prosessen for å oppfylle kravene i maskindirektivet ut-føres og hvordan CE-merking oppnås. CE-merking indikerer at maskinen er i samsvar med kravene i direktivet.

Merk:Dette dokumentet gir bare en oversikt over prosessen med å oppfylle viktige krav i maskindirektivet. Produsenten av maskinen er alltid til sjuende og sist ansvarlig for sikkerheten og samsvaret til produktet.

Dokumentet er delt inn i tre deler:

– Del 1 – Teori og bakgrunn – introduserer idéen bak funksjons-sikkerheten og hvordan man etterkommer maskindirektivet. De kommende endringene i det nye maskindirektivet blir også presentert, og hierarkiet til det europeiske harmoniserte standardsystemet blir forklart.

– Del 2 – Ny tilnærming – presenterer de nye standardene i maskindirektivet som erstatter gamle standarder. De to standardsystemene blir også introdusert, og flere sikkerhets-relevante standarder og sikkerhetsfunksjoner blir listet opp.

– Del 3 – Metoder for å oppfylle kravene i maskindirektivet – introduserer ni trinn som bidrar i prosessen med å oppfylle viktige krav i maskindirektivet.


Del 1 – Teori og bakgrunn

De nasjonale lovene i EU krever at maskiner oppfyller Helse, Miljø og Sikkerhets krav (HMS) definert i maskindirektivet og i de harmoniserte standardene under direktivet. Dette betyr at alt nytt maskineri må oppfylle de samme lovmessige kravene når de leveres i EU. De samme standardene er også anerkjent mange steder utenfor Europa, for eksempel ved hjelp av ekvivalensdiagrammer, som forenkler handel med maskiner og forsendelse av maskiner med skip mellom land i og utenfor EU.Hvorfor må maskiner oppfylle disse kravene? Fordi samsvar bidrar til å hindre ulykker og personskader. Ved å oppfylle maskindirekt ivet og re levante harmoniserte standarder kan produsenter dessuten være sikre på at de har oppfylt forpliktelsene sine til design og levere sikre maskiner som oppfyller nasjonale lover.

For produsenter er nye og forbedrede sikkerhetsstrategier blitt en måte å øke produktiviteten og konkurranseevnen sin i markedet på. Målet med konvensjonelle sikkerhetssystemer har vært å oppnå omfattende driftssikkerhet og oppfylle rettslige forpliktelser. Dette er gjort ved hjelp av ekstra elektriske og mekaniske komponenter, selv på bekostning av produktiviteten. Under visse omstendigheter kan operatører overstyre disse systemene når de forsøker å øke produktiviteten, noe som kan føre til ulykker.

Med moderne sikkerhetssystemer kan det tas hensyn ti l sikkerheten ti l prosessene og operatøren, samtidig som produktiviteten opprettholdes. Ett eksempel på dette er å holde maskinen i gang, men med lavere hastighet for å opprettholde sikker drift. Med moderne sikkerhetsløsninger kan sikkerheten være en integrert del av maskinens funksjonalitet, og ikke bare lagt til for å oppfylle forskriftene.

Sikkerhetssystemer kan implementeres effektivt gjennom defi-nerte prosesser for å oppnå spesifikk sikkerhetsytelse og bruke sertifiserte undersystemer som byggesteiner for sikkerhetssys-temer. I industrien forventes det at sikkerhetsstandardene er oppfylt, og sertifiserte undersystemer som frekvensomformere er blitt et “must” i markedet. Maskinsikkerhet er et av de viktigste og raskest voksende områdene innen industriell automasjon.



Sikkerhet og funksjonssikkerhet

Hensikten med sikkerhet er å beskytte mennesker og miljø mot ulykker, og i dette tilfellet mot maskiner. Funksjonelle sikkerhetssystemer gjør dette ved å redusere sannsynligheten for uønskede hendelser, slik at uhell ved betjening av maskiner reduseres ti l et minimum. Sikkerhetsstandarder definerer sikkerhet som fr ihet fra uakseptabel r isiko. Hva som er akseptabelt defineres av samfunnet. Maskinbyggere skal alltid bruke de samme (de strengeste) aksept-kriteriene for alle markedsområder, uansett regionale forskjeller.

Den mest effektive måten å eliminere risikoer på er å designe dem bort. Men hvis risikoreduksjon ved design ikke er mulig eller praktisk, er sikring med statiske vern eller funksjonssikkerhet ofte det beste alternativet. Når maskiner stoppes raskt og sikkert eller drives med redusert hastighet i bestemte tidsrom for å redusere risiko, kan man oppnå høyere maskinproduktivitet, oppetid og færre avbrudd i sikkerhetssystemet. Samtidig er de lovmessige forpliktelsene oppfylt, og sikkerheten til mennesker og miljø er garantert.

Funksjonssikkerhet i maskineri betyr vanligvis systemer som sikkert overvåker og, ved behov, tar styringen over maskinapplikasjonene for å garantere sikker drift. Et sikkerhetsrelatert system er et system som implementerer ønskede, nødvendige sikkerhetsfunksjoner. Funksjonelle sikkerhetssystemer er konstruert for å detektere farlige forhold og for å bringe driften tilbake til en sikker tilstand, eller for å sikre at den ønskede handlingen, som f.eks. sikker stopp, finner sted.

Overvåking kan omfatte hastighet, stopp, rotasjonsretning og st i l ls tand. Når s ikkerhetssystemet ut fører en akt iv sikkerhetsfunksjon, for eksempel overvåker en krabbehastighet, og systemets atferd avviker fra hva som forventes (systemet går f.eks. for fort), detekterer sikkerhetssystemet avviket og bringer aktivt maskindriften tilbake til en sikker tilstand. Dette kan for eksempel gjøres ved å stoppe maskinen trygt og senke momentet til motorakslingen.

Et sikkerhetssystem er ikke en del av en standard maskindrift, men enhver feil i sikkerhetssystemet vil umiddelbart øke risikoene som er knyttet til driften av maskinen.

Maskindirektiv

Maskindirektivet, med de harmoniserte standardene som er listet opp nedenfor, definerer Essential Helse og Sikkerhetskrav (HMS) for maskineri på EU-nivå. HMS er listet opp i vedlegg I i maskindirektivet.


Idéen bak maskindirektivet er å sikre at en maskin er sikker og at den er designet og konstruert slik at den kan brukes, konfigureres og vedlikeholdes hele levetiden, og forårsake minimal risiko for mennesker og miljø.

HMS krav fastslår at når man søker etter løsninger for å designe og bygge sikre maskiner, må maskinprodusentene overholde følgende prinsipper i den gitte rekkefølgen (også kjent som 3-trinns metoden):

1. Eliminere eller minimere farene som mye som mulig ved å vurdere sikkerhetsaspekter i maskinens design- og konstruksjonsfaser.

2. Benytte nødvendige beskyttelsestiltak mot farer som ikke kan elimineres.

3. Informere brukerne om farene som gjenstår til tross for at gjennomførbare beskyttelsestiltak er iverksatt, mens det spesifi seres krav om opplæring eller personlig beskyttelsesutstyr.

Når HMS krav i maskindirektivet overholdes, har maskinprodusenten lov til å feste CE-merket på maskinen. Med CE-merke garanterer produsenten at produktet oppfyller alle forskrifter om fri flyt av varer, samt de viktigste kravene i gjeldende EU-direktiver, i dette tilfellet maskindirektivet.

Merk: Andre direktiver kan også gjelde, f.eks. lavspenningsdirektivet og EMC-direktivet. Kun kravene i maskindirektivet er omtalt i denne veiledningen.

Merk:CE-merke iht. maskindirektivet festes bare på en komplett maskin, ikke på komponenter som maskinen består av. Derfor er produsenten av produktet, eller representanten til produsenten, ansvarlig for CE-merkingen, ikke produsenten av komponentene som utgjør en del av sluttproduktet.

Maskinprodusenten er ansvarlig for å utføre den tilhørende risikoanalysen ved å følge trinnene som er presentert i del 3, samt å sikre samsvar med kravene. Komponentprodusenten er ansvarlig for å realisere sikkerhetsytelsen (SIL / PL-nivå) til den nevnte komponentens sikkerhetsfunksjon når komponenten er riktig brukt.

En komponent i dette tilfellet kan være et sikkerhetsrelé eller en frekvensomformer med integrert sikkerhetsfunksjon.



Endringer i det nye maskindirektivet

Fra 29. desember 2009 erstattet et nytt maskindirektiv 2006/42/EC det gamle direktivet 98/37/EC.

Det er ingen dramatiske endringer mellom det gamle og det nye, reviderte direktivet. Målet med det nye direktivet er å forsterke virkningene til det gamle maskindirektivet og sikkerheten til maskineriet, og gjøre det lettere å anvende.

De viktigste endringene i det gjeldende maskindirektivet sam-menlignet med det forrige direktivet, er som følger:

– Endringer i hvordan overensstemmelse evalueres for farlige maskiner som er listet opp i maskindirektivets vedlegg IV.Sammen med det nye direktivet kan produsenten utføre sel-vsertifisering uten et godkjent testsenter. For å gjøre dette må produsenten ha en kvalitetssikringsprosedyre som er blitt implementert i henhold til kravene som er presentert i maskindirektivets vedlegg X.

– Endringer i Helse, Miljø og Sikkerhetskrav som er pre-sentert i maskindirektivets vedlegg I.Nå må produsenten utføre en risikovurdering på HMS.

– Endringer i å bevise sikkerheten til ulike produkter.De samme maskinforskriftene vil gjelde for maskiner, utbyt-tbart utstyr, sikkerhetskomponenter etc. Produktene må inkludere CE samsvarsvurdering, samsvarserklæring og nødvendig brukerinformasjon.

– Endringer i kravene for deler av, eller ufullstendige maskiner.En del eller en ufullstendig maskin er en komponent eller en serie med komponenter som ikke selv kan utføre en bestemt funksjon. En slik del er festet til andre deler, ufullstendige maskiner eller maskiner for å utgjøre en maskin i henhold til definisjonen i maskindirektivet.

I tillegg til produsenterklæringen må produsenten nå også levere en monteringserklæring som definerer hvilke krav i direktivet som gjelder for delen eller den ufullstendige maski-nen. Produktdokumentasjon må også inkludere instruksjoner om installasjon.

– Endringer vedrørende lavspenningsdirektivet.Omfanget av lavspenningsdirektivet er nå relatert til et produkt i stedet for en risiko. Nå er det også en tydeligere differen-siering mellom maskindirektivet og lavspenningsdirektivet.



– Endringer i fareanalyse.Fareanalysen erstattes av obligatorisk risikovurdering og risikoevaluering.

– Endringer i produksjonsstyring.Nå har seriemaskiner interne produksjonskontroller som er spesifisert i maskindirektivets vedlegg VIII.

– Endringer i gyldighet til EC type sertifiseringer.Et anerkjent testsenter må inspisere sertifikatene hvert femte (5) år. Produsenter og testsentre må ta vare på relevante tekniske dokumenter i 15 år.

Hierarki i det europeiske systemet for harmoniserte standarder

Den europeiske komitéen for standardisering CEN, og den eu-ropeiske komitéen for elektroteknisk standardisering CENELEC, satte opp de harmoniserte standardene. Alle harmoniserte stan-darder har prefikset ”EN”.

Du finner en liste over de harmoniserte standardene på EU-kommisjonens internettsider http://ec.europa.eu.

De fleste av de harmoniserte standardene blir henvist til av ett eller flere direktiver. For å sikre at de viktigste kravene i maskin-direktivet overholdes anbefales det å bruke egnede harmoniserte europeiske standarder. Ved å designe maskiner i henhold til disse standardene kan produsenter vise at de følger maskindirektivet, og generelt ikke krever sertifisering av tredjepart.

Merk:Legg merke til unntakene for maskinene som er oppført i vedlegg IV i maskindirektivet.



Figur 1-1 Hierarki til de europeiske harmoniserte standardene

– Type-C standarder er spesi f ikke for en maskin el ler maskinklasse. Hvis det er en type-C standard for en maskin, blir de tilhørende type-B og muligens også type-A standardene sekundære. Når man utformer sikkerhetsfunksjoner, definerer type-C standarder ekstra obligatoriske krav for maskinene de er beregnet for. Hvis det ikke finnes noen type-C standard for maskinen, tilbyr type-B og type-A standarder hjelp til å designe og konstruere maskiner som oppfyller kravene i maskindirektivet.

– Type-B standarder tar for seg sikkerhetskrav som er felles for designen av de fleste maskiner. Disse standardene gir informasjon om mulige risikoer og hvordan man håndterer dem ved hjelp av en risikoreduksjonsprosess. Type-B standarder kan deles inn i to grupper, B1 og B2. Type-B1 standarder tar for seg spesifikke sikkerhetsaspekter og type-B2 standarder tar for seg sikkerhetsrelatert utstyr generelt. Type-B1 standarder er for eksempel EN 62061:2005 og EN ISO 13849-1:2008. Type-B2 standarder inkluderer standarder for å definere nødstopper, som EN ISO 13850:2008.

– Type-A standarder tar for seg des ignpr ins ipper og grunnleggende konsepter for maskinen. Ett eksempel på en type-A standard er den grunnleggende sikkerhetsstandarden EN ISO 12100-1.

Merk:Det er ikke obligatorisk å bruk standardene, men de kommer med anbefal inger og vei ledning for å oppfyl le kravene i maskindirektivet, som må følges.

BGRUPPE SIKKERHETSSTANDARDER −

Konkrete uttalelser om grunnleggende standarder

CPRODUKTSTANDARDER

AGRUNNLEGGENDE

SIKKERHETSSTANDARDER



Merk:Den gamle standarden EN 954-1 ble avløst av standardene EN ISO 13849-1 og EN 62061 i 2006. EN954-1 forutsetter fortsatt samsvar parallelt med de nye standardene EN ISO 13849-1 og EN 62061 i en overgangsperiode som slutter den 31. desember 2011 (den opprinnelige overgangsperioden på tre år fra 2006 til 2009 ble forlenget med to år, til slutten av 2011).

Figur 2-1 Overgangsperiode fra gamle til nye standarder

Å erstatte EN 954-1 standarden med EN ISO 13849-1 og EN 62061 (som kun gjelder for elektriske styresystemer), er et skifte fra en bestemt tilnærming, hvor forholdene mellom årsak og virkning var godt kjent, mot en sannsynlighets- eller pålitelighets-tilnærming i sikkerhetsrelaterte systemer. De nye standardene vurderer sannsynligheten for feil for hele sikkerhetsfunksjonen, ikke bare til komponentene. Forskjellig fra den gamle standar-den EN 954-1, er at disse nye standardene også tillater bruk av programmerbare sikkerhetssystemer.

Den nye tilnærmingen fortsetter å bruke det angitte arkitektur konseptet til EN 954-1, og introduserer i tillegg nye konsepter, som livssyklus tenking, kvantifisering – komponentpålitelighet og testkvalitet – og felles årsak feil-analyse.

Merk:Standard EN ISO 13849-1 har opprettholdt kategoriene som ble introdusert i EN 954-1. Den gir metoder for design og verifisering basert på de nevnte kategoriene. Standard EN 62061 inneholder lignende angitte arkitekturer og metodikk.

Del 2 – Ny tilnærming

EN ISO 13849-1

EN 954-1

EN 62061

Overgangsperiode3 år

11/2006

12/2009

2005 Nytt maskindirektiv 2006/42/EC

Mas

kinb

ygge

re

12/2011

To års forlengelse


EN 954-1 har vært en relativt enkel standard som har tilbudt en enkel og rask prosess for å bestemme en sikkerhetskategori for en maskin. Prosessen i standard EN ISO 13849-1 er lik, men noe mer kompleks. I tillegg til å bestemme kategorien eller arki-tekturen til systemet, må maskinprodusenten nå også garantere maskinens sikkerhet ved å foreta vurderinger og beregninger. Det anbefales å bruke sertifiserte undersystemer for å bygge sikkerhet, da de spesifiserer prosessen raskere og krever færre beregninger.

Grunnleggende konsepter og terminologi:

EN ISO 12100

Risikovurdering: ISO 14121-1

Sikkerhetssystem Sikker maskin CE-merking

Prosess for å opprette sikkerhetssystem

Prosess for å opprette sikkerhetssystem

Standard for å opprette sikkerhetssystem:EN ISO 13849-1

Standard for å opprette sikkerhetssystem:

EN 62061

Figur 2-2 Introduserer standarder

To standarder – IEC og ISO

Det er to alternative standarder som kan følges ved implemente-ring av funksjonelle sikkerhetssystemer i overensstemmelse med maskindirektivet: ISO-standarden og IEC-standarden.

Uansett hvilken standard man følger, fører det til svært like resul-tater, og de resulterende sikkerhetsintegritetsnivåene (SIL) og ytelsesnivåene (PL) er faktisk sammenlignbare. For mer informa-sjon, se sammenligningstabellen i del 3, punkt 6.

I EN ISO 13849-1 and EN 62061 finner du en tabell som forklarer egnetheten til de to nye standardene for å designe systemer med bestemte teknologier.



Merk:Det er opp til maskinprodusenten å bestemme hvilken – om noen – sikkerhetssystemstandard som skal brukes (EN ISO 13849-1 eller EN 62061), og deretter må de følge den samme, valgte standarden hele veien fra begynnelse til slutt for å sikre samsvar med den nevnte standarden.

CEN-standarder er basert på ISO-standarder, og er hovedsake-lig for mekanisk utstyr – nye standarder har nummer i 10 000 serien. CENELEC-standarder er basert på IEC-standarder – nye standarder har nummer i 60 000 serien.

Merk:EN ISO-standarder presenteres i dette dokumentet ved hjelp av ”ISO”-merket. EN IEC-standarder presenteres imidlertid uten ”IEC”-merke, i henhold til konvensjonene som brukes i listen over harmoniserte standarder.

Standarder for å minimere risiko

Grunnleggende sikkerhetsstandarder for minimering av risiko inkluderer:

– EN ISO 12100-1:2003(Maskinsikkerhet – Grunnleggende konsepter, generelle prinsipper for design) og

– EN ISO 14121-1:2007(Maskinsikkerhet – Risikovurdering).

EN ISO 12100 gir designere et generelt rammeverk og veiledning, med en strategi for risikoreduksjon (tre-trinns metoden). EN ISO 12100-1 definerer den grunnleggende terminologien som brukes for å oppnå maskinsikkerhet.

EN ISO 14121-1 er en ny standard for risikovurdering som brukes i risikoreduksjonsprosessen som presenteres i EN ISO 12100-stan-darden. EN ISO 14121-1 har erstattet EN 1050:1996 standarden som utløp den 24. juni 2008.

Merk:Alle andre referanser til disse standardene i dette dokumentet gjelder alltid de ovenfor nevnte versjonene av standardene.

Standarder for elektroniske sikkerhetssystemer

Standardene for elektroniske sikkerhetssystemer er som følger:

– EN ISO 13849-1:2008 (Maskinsikkerhet – Sikkerhetsrelatert deler til styresystem – Del 1: Generelle prinsipper for design),



– EN ISO 13849-2:2008 (Maskinsikkerhet – Sikkerhetsrelaterte deler til styresystem – Del 2: Validering)

– EN 62061:2005 (Maskinsikkerhet – Funksjonssikkerhet til sik-kerhetsrelaterte elektriske, elektroniske og programmerbare elektroniske styresystemer),

– IEC 61508 ver. 2.0:2010 (Funksjonssikkerhet til elektriske / elektroniske / programmerbare elektroniske sikkerhetsrela-terte systemer), og

– EN 60204-1:2006 (Maskinsikkerhet – Elektrisk utstyr til mas-kiner – Generelle krav).


EN ISO 13849-1 er en standard som gir instruksjoner til desig-nere om å gjøre maskiner sikre. Disse instruksjonene inkluderer anbefalinger for design, integrering og validering av systemene. Den kan brukes for de sikkerhetsrelaterte delene i styresyste-mer og forskjellige typer maskiner, uansett hvilken teknologi og energi de bruker. Standarden inkluderer også spesielle krav til sikkerhetsrelaterte deler som har programmerbare elektroniske systemer. Denne standarden dekker hele sikkerhetsfunksjonen for alle enheter som er inkludert (en fullstendig sikkerhetskjede, for eksempel sensor–logikk–aktuator).

Standarden definerer hvordan nødvendig ytelsesnivå (PL) er bestemt og oppnådd PL verifisert i et system. PL beskriver hvor bra et sikkerhetssystem kan utføre en sikkerhetsfunksjon, under forutsigbare forhold. Det er fem mulige ytelsesnivåer: a, b, c, d og e. Ytelsesnivå ”e” har den høyeste sikkerhetspåliteligheten, mens PL ”a” har den laveste.

EN ISO 13849-2 spesifiserer valideringsprosessen for sikker-hetsfunksjoner som er designet iht. EN ISO 13849-1.

EN 62061 er en standard for å designe elektriske sikkerhets-systemer. Det er en maskinsektor spesifikk standard innenfor rammeverket til IEC 61508. EN 62061 inkluderer anbefalinger for design, integrering og validering av sikkerhetsrelatert elektrisk, elektronisk og programmerbare elektroniske styresystemer for maskineri. Hele sikkerhetskjeden – for eksempel sensor–logikk–aktuator – dekkes av denne standarden. Individuelle undersyste-mer må sertifiseres så lenge hele sikkerhetsfunksjonen oppfyller de definerte kravene. Det anbefales imidlertid på det sterkeste å bruke sertifiserte undersystemer som byggesteiner, da dette kan spare betydelige anstrengelser i designprosessen.

Merk:I motsetning til EN ISO 13849-1, dekker ikke EN 62061 kravene for ikke-elektrisk sikkerhetsrelatert kontrollutstyr for maskineri.



Denne standarden definerer hvordan et sikkerhetsintegritetsnivå (SIL) defineres. SIL representerer påliteligheten til sikkerhetsfunk-sjonene. Det er fire mulige sikkerhetsintegritetsnivåer: 1, 2, 3 og 4. ”SIL 4” er det høyeste sikkerhetsintegritetsnivået og ”SIL 1” er det laveste. Kun nivå 1-3 brukes i maskineriet.

IEC 61508 er en grunnleggende funksjonssikkerhetsstandard. Den dekker livssyklusen til systemer som består av elektriske og/eller elektroniske og/eller programmerbare elektroniske kompo-nenter som brukes til å utføre sikkerhetsfunksjoner. IEC 61508 er ingen harmonisert standard, men det er hovedstandarden som skisserer kravene og metodene for å designe sikkerhetsrelaterte kontrollsystemer med kompleks maskinvare og programvare. IEC 61508 brukes generelt ved design av sikkerhetsundersystemer som kan sertifiseres. Standarder EN ISO 13849-1 og EN 62061 er basert på prinsippene i IEC 61508.

EN 60204-1 kommer med anbefalinger og krav til det elektriske utstyret i maskiner for å øke sikkerheten og anvendeligheten.

Produktspesifikke sikkerhetsstandarder (standarder type C)

Produktspesifikke sikkerhetsstandarder, kjent som type-C standarder, håndterer en bestemt maskin eller maskinklasse, og er basert på en antakelse av samsvar med tanke på HMS dekket av standarden.

Man må være oppmerksom på at: – Kravene som er spesifisert i type-C standardene generelt

overstyrer kravene som er satt av de generelle sikkerhets-standardene (EN 62061, EN ISO 13849-1, etc.).

– Type-C standarder kan ha satt SIL / PL krav for noen sik-kerhetsfunksjoner. I det minste må disse kravene oppfylles, uansett resultatene av risikoanalysen.

Merk:Selv om listene over farer som kan påvirke maskinen, satt sammen under risikovurderingen, og type-C standarden er identiske, er det ikke sikkert at standarden vurderer alle relevante HMS aspekter. Standarden må alltid undersøkes grundig for å fastslå hvilke farer som kan være unntatt fra listen.

Spesifikk standard for sikkerhetsrelaterte frekvensomformersystemer

En spesifikk standard for sikkerhetsrelaterte frekvensomformer-systemer er:

– EN 61800-5-2:2007 (Elektriske drivsystemer med variabel hastighet - krav til funksjonssikkerhet).




EN 61800-5-2 gir spesifikasjoner og anbefalinger for drivsyste-mer i sikkerhetsrelaterte applikasjoner. Det er en produktstandard som presenterer sikkerhetsrelaterte aspekter når det gjelder ram-meverket til IEC 61508, og introduserer krav for slike systemer når de brukes som undersystemer i sikkerhetssystemer.

Standardiserte sikkerhetsfunksjoner

Standard EN 61800-5-2 inkluderer definisjoner for flere sik-kerhetsfunksjoner. Et drivsystem kan ha én eller flere av disse funksjonene. Her er noen eksempler:

Sikker momentutkobling (Safe torque-off - STO)Denne funksjonen bringer maskinen sikkert i en tilstand hvor den ikke har noe drivmoment og / eller hindrer den i å starte utilsiktet.

|n|

0t

Funksjon forespurt

Sikkerhetsstopp 1 (Safe stop 1 -SS1)Denne funksjonen stopper motoren sikkert, initierer STO-funksjo-nen under en angitt hastighet eller etter en definert tidsgrense.

|n|

0t

Funksjon forespurt

Sikker stopp 2 (Safe stop 2 -SS2)Denne funksjonen stopper motoren sikkert, initierer SOS-funksjo-nen under en angitt hastighet eller etter en definert tidsgrense.

Sikker driftsstopp (Safe operation stop - SOS)Denne funksjonen holder motoren i en sikker stillstand mens motormomentet opprettholdes.



Sikkerhetsbegrenset hastighet (Safe limmited speed - SLS)Denne funksjonen hindrer motoren i å overskride den definerte hastighetsgrensen.

|n|

0t

Funksjon forespurtFunksjon forespurt

Sikker retning (Safe direction - SDI)Denne funksjonen hindrer motorakslingen i å bevege seg i uøn-sket retning.

|n|

0t

Funksjon forespurt

Sikkerhets-bremsestyring (Safe brake control - SBC)Denne funksjonen sørger for en sikker utgang for å styre eksterne (mekaniske) bremser.

Sikker hastighetsovervåking (Safe speed monitoring - SSM)Denne funksjonen gir en sikker utgang som indikerer at hastig-heten er under den angitte hastighetsgrensen.

|n|

0t

Utgang aktiv

Funksjon forespurtFunksjon forespurt

Se standard EN 61800-5-2 for flere eksempler om sikkerhets-funksjoner.

NødstoppdriftStandard EN 60204-1 introduserer to nødoperasjoner, nødav-stenginger og nødstopp.

NødutkoblingNødutkoblings-funksjonen kobler fra strømmen til et system eller del av det hvis det oppstår en fare for elektrisk støt.

Denne funksjonen krever eksterne svitsjekomponenter, og kan ikke oppnås med frekvensomformerbaserte funksjoner som Sikker momentutkobling (STO).



NødstoppEn nødstopp må når den aktiveres fungere på en slik måte at den farlige bevegelsen til maskineriet stoppes, og at maskinen ikke kan starte under noen som helst omstendighet, selv etter at nødstoppen er frigjort. Utløsing av nødstoppen tillater kun at maskinen restartes.

Nødstoppen kan stoppe en farlig bevegelse på følgende måter: – optimal retardasjonshastighet til maskinen stopper – ved å bruke én eller to nødstoppkategorier, 0 eller 1, eller – ved å benytte en forhåndsdefinert nedstengingssekvens.

Nødstoppkategori 0 betyr at effekten til motoren kuttes umid-delbart. Stoppkategori 0 tilsvarer sikkerhetsutkoblings (STO)-funksjonen, som definert av standard EN 61800-5-2.

Nødstoppkategori 1 betyr at maskinhastigheten er stanset via kontrollert retardasjon og deretter ble strømmen til motoren kuttet. Stoppkategori 1 tilsvarer sikkerhetsstopp (SS1)-funksjonen, som definert av standard EN 61800-5-2.

Når nødstoppfunksjonen aktiveres, må den ikke utgjøre tilleggs-farer eller kreve ytterligere involvering av maskinoperatøren.

Merk:Prinsippene for design av en nødstoppfunksjon introduseres i standard EN ISO 13850:2008.

Hindring av uventet oppstartÅ sikre at en maskin forblir i ro når det befinner seg personer i fareområdet er en av de viktigste betingelsene i sikre maskiner.

Funksjonen Sikker momentutkobling (STO) kan brukes til effektivt å implementere forebygging av uventet oppstart, og dermed gjør stopp trygt ved å hindre strømmen bare til moto-ren, mens det fortsatt er strøm til hoveddrifts-styrekretsene. Forebygging av uventet oppstart krever for eksempel en låsbar bryter i tillegg til STO-funksjonen.

Prinsippene og kravene for å forebygge uventet oppstart er beskrevet i standarden EN 1037:1995+A1.



Maskindirektivet krever at maskinen er sikker, men det eksisterer ingen nullrisiko. Målet er å minimere risikoen.

Samsvar med maskindirektivet kan oppnås:

– ved å oppfylle kravene som er fastsatt av de harmoniserte standardene eller

– ved å få utført en maskin godkjenning av en autorisert tred-jepart.

Prosessen for å oppfylle HMS krav i maskindirektivet ved å bruke harmoniserte standarder kan deles inn i ni trinn:

– Trinn 1: Håndtering av funksjonssikkerhet – håndtere funksjonssikkerhet så lenge maskinen varer.

– Trinn 2: Risikovurdering – analysere og evaluere risikoer. – Trinn 3: Risikoreduksjon – eliminere eller minimere risikoer

gjennom design og dokumentasjon. – Trinn 4: Etablere sikkerhetskrav – definere hva som er

nødvendig (funksjonalitet, sikkerhetsytelse) for å eliminere risikoen eller redusere den til et akseptabelt nivå.

– Trinn 5: Implementere funksjonelt sikkerhetssystem – de-signe og skape sikkerhetsfunksjoner.

– Trinn 6: Verifisere sikkerhetssystem – sikre at sikkerhets-systemet oppfyller de definerte kravene.

– Trinn 7: Validere sikkerhetssystem – gå tilbake til risikovur-deringsprosessen og sørge for at sikkerhetssystemet virkelig lyktes i å redusere risikoer som angitt.

– Trinn 8: Dokumentere – dokumentere designen, produsere brukerdokumentasjon.

– Trinn 9: Samsvar – bevise maskinens samsvar med HMS krav i maskindirektivet gjennom samsvarsvurdering og en teknisk fil.

Hvert av disse trinnene blir forklart nærmere i de følgende ka-pitlene.

Del 3 – Metoder for å oppfylle kravene i maskindirektivet


Oppdatere eksisterende maskineriFølgende temaer må vurderes ved oppdatering av sikkerhetskrav for eksisterende maskiner:

– For maskiner som allerede har CE-merke – nye komponenter som er lagt til maskinen må også ha CE-merke. Det må være definert i hvert enkelt tilfelle hvordan de nye komponentene brukes til det gamle systemet i henhold til maskindirektivet.

– For maskiner som ikke har CE-merke – maskinens sikker-hetsnivå kan opprettholdes ved å bytte komponenter i nye som har CE-merke. I så fall leveres ikke monteringserklæring sammen med maskinen. Direktiv 89/655/EEC og endring 95/63/EC må være oppfylt.

Til sjuende og sist er det relevant myndighet som avgjør om endringen var omfattende nok til å kreve en oppdatering av sik-kerhetsnivået.

Maskindirektiv (HMS)

Risikovurdering og evaluering, risikoreduksjon

Arkitektur, undersystemer,

sikkerhet / pålitelighet

Funksjonstesting, oppnådd

SIL / PL-nivå

Oppfyller funksjonen kravet til

risikoreduksjon?Dokumentere designen,

restrisiko, brukerinstruksjoner

Samsvarsvurdering, teknisk fil,

dokumentasjon

Spesifikasjon- Funksjonalitet

- Sikkerhetsytelse (SIL, PLT)

LOVER, KRAV IDENTIFISERING AV RISIKO

steg2 - 3 steg 4

steg 5

steg 6

steg 7steg 8

steg 9

SIKKERHETSFUNKSJON

IMPLEMENTERING

VERIFISERING

VALIDERINGDOKUMENTASJON

SAMSVAR

Figur 3-1 Prosessflyt for å oppfylle kravene i maskindirektivet

TRINN 1: Administrering av funksjonssikkerhet

For å oppnå nødvendig funksjonssikkerhet er det nødvendig å implementere et administrasjons- og kvalitetsstyringssystem som f.eks. kan sammenlignes med IEC 61508 eller ISO 9001 standarder. Dette administrasjonssystemet kan spesifiseres i form av en sikkerhetsplan.

SikkerhetsplanStandard EN 62061 spesifiserer en sikkerhetsplan for proses-sen med å oppfylle kravene i maskindirektivet. Denne planen må designes og dokumenteres for hvert sikkerhetssystem, og oppdateres ved behov.



Sikkerhetsplan:

– identifiserer alle relevante aktiviteter, – beskriver policyen og strategien for å fullføre kravene til

funksjonssikkerhet, – identifiserer ansvar, – identifiserer eller etablerer prosedyrer og ressurser for do-

kumentasjon, – beskriver strategi for konfigurasjonsstyring, og – inkluderer planer for verifisering og validering.

Merk:Selv om aktivitetene som er listet opp ovenfor ikke er spesielt angitt EN ISO 13849-1:2008, er lignende aktiviteter nødvendig for å oppfylle kravene i maskindirektivet helt.

Risikovurderingen starter når sikkerhetsplanen (iht. EN 62061) er blitt opprettet.

TRINN 2: Risikovurdering

Risikovurderingen er en prosess hvor risikoer analyseres og eva-lueres. En risiko er en kombinasjon av konsekvensen av skade og muligheten for skade som oppstår ved eksponering for en fare.

Merk:Ifølge det nye maskindirektivet 2006/42/EC er det obligatorisk å foreta en risikovurdering for en maskin.

Maskindirektivet 2006/42/EC krever at produsenter foretar risiko-vurderinger og tar resultatene i betraktning når man designer en maskin. Enhver risiko som betraktes som ”høy” må reduseres til et akseptabelt nivå ved å endre design eller ved å bruke egnede sikringsteknikker.

Risikovurderingsprosessen stiller krav til maskinkonstruktøren om hvordan man designer en maskin med innebygget sikkerhet. Det er svært viktig å vurdere risikoer i designfasen fordi det generelt er mer effektivt enn å gi brukerinstrukser om hvordan utstyret drives på en sikker måte.

Risikovurderingsprosessen iht. EN ISO 12100-1 består av to deler: risikoanalyse og risikovurdering. Risikoanalyse innebærer identifisering og estimering av risikoene, og risikovurdering inne-bærer å fastslå om risikoen er akseptabel eller om risikoreduksjon er nødvendig.



Risikovurdering utføres basert på resultatene av risikoanalysen. Avgjørelser om nødvendigheten av risikoreduksjon gjøres i hen-hold til risikovurderingsprosedyren.

Merk:Risikoevaluering må utføres separat for hver fare.

Fire trinn i risikoanalysen:1. Fastslå grensene og tiltenkt bruk av maskinen.

Disse grensene omfatter: – grenser for bruk – romlige begrensninger – omgivelsesbegrensninger eller miljømessige begrens-

ninger – levetidsbegrensninger

2. Identifisere farene som kan genereres av maskinen.

3. Estimere identifiserte risikoer én om gangen. – Risikoens alvorlighet (potensielle konsekvenser) – Sannsynlighet for risikoen (frekvens, sannsynlighet, unn-

gåelse)

4. Vurdere risikoen: Er risikoreduksjon nødvendig? – JA: Bruke risikoreduksjonstiltak og gå tilbake til trinn 2 i

risikoanalysen.

3-trinns metoden for risikoreduksjon iht. EN ISO 12100-1 presenteres i neste kapittel.

– NEI: Målet for risikoreduksjonen er oppfylt og risikovur-deringsprosessen avsluttes.

Dokumenter risikovurderingsprosessen og resultatene for hver enkelt fare.



Risikovurdering

1. Fastslå grensene / tiltenkt bruk av maskinen

2. Identifisere farer

3. Estimere risikoer én om gangen

4. Vurdere risikoen:

JA

Til risikoreduksjon

NEI

Slutt

Figur 3-2 Risikovurdering og evaluering i henhold til EN ISO 14121-1

Etter at risikovurderingen er gjennomført, er det to alternativer, avhengig av utfallet av vurderingen:

Alternativ 1Hvis vurderingen fikk konklusjonen at risikoreduksjonen ikke var nødvendig, har maskinen nådd det tilstrekkelige sikkerhetsnivået som kreves iht. maskindirektivet.

Merk:For at maskinen skal bli godkjent og få CE-merking, må re-sterende risikoer dokumenteres i de tilhørende drifts- og vedli-keholdshåndbøkene. Det er alltid noe restrisiko.

Alternativ 2Hvis vurderingen avslørte at restrisikoene er uakseptable, startes prosessen for risikoreduksjon.

TRINN 3: Risikoreduksjon

Den mest effektive måten å minimere risikoen på, er å eliminere dem i designfasen, f.eks. ved å endre designen eller maskinens arbeidsprosess. Hvis ikke dette er mulig, kan man utføre risikore-duksjonsprosessen og sikre samsvar med kravene ved å anvende egnede harmoniserte standarder under maskindirektivet.



Hvis risikovurderingsprosessen konkluderer med at det er nød-vendig med risikoreduksjon, opprettes det en strategi for risiko-minimering. Iht. standard EN ISO 12100-1 kan risikoreduksjon deles inn i tre trinn (tretrinnsmetoden):

3-trinnsmetoden1. Innebygde sikkerhetsfunksjoner – for en sikrere konstruksjon, endring av prosessen, el iminer ing av r is iko gjennom konstruksjon.

2. Sikring og komplementære beskyttelsestiltak – sikkerhets funksjoner, statisk vern.

3. Informasjon om bruk (håndtering av restrisiko): – på maskinen – varselstegn, signaler og varselsinnretnin-

ger – og – i bruksanvisningene.

Tilbake til risikovurdering

Fra risikovurdering

Risikoreduksjon

JA

3-T

RIN

NS

ME

TO

DE

N

Iverksett risikoreduserende tiltak

NO

NO

Risikoreduksjon gjennom design

endringer

Risikoreduksjon gjennom

funksjonssikkerhet

Risikoreduksjon av prosesser og informasjon

JA

JA

JA

NEI

NEI

NEI

NO

Tilstrekkelig reduksjon

(J/N)?

1.Designen-

dringer

2.Sikker-

hetsteknologi (funksjonssik

kerhet)

3.Prosesser,

bruksanvisning

?

?

?

Figur 3-3 3-trinnsmetoden for risikoreduksjon iht. EN ISO 12100-1



Restrisiko er risikoen som er igjen når alle andre beskyttelsestil-tak er vurdert og implementert. Med teknologi er det ikke mulig å oppnå en tilstand med null risiko, da det alltid vil være igjen noe restrisiko.

All restrisiko må dokumenteres i bruksanvisningene.

Brukerens del av risikoreduksjonen inkluderer informasjon gitt av designeren (produsenten). Risikoreduserende tiltak for maskinens bruker/organisasjon er som følger:

– Risikoreduserende tiltak som typisk iverksettes av organi-sasjonen:

– introdusere sikre arbeidsprosedyrer – arbeidsledelse – arbeidstillatelses-systemer

– Forskrifter og bruk av ytterligere sikkerhetsanordninger – Bruk av personlig verneutstyr – Opplæring av brukere – Lesing av drifts- og sikkerhetsinstruksjonene og handle

deretter.

Ved definering av beskyttelsestiltak, skal designere også søke verdifull tilbakemelding fra brukeren.

Når risikoreduksjonen er gjennomført, må systemet undersøkes for å sikre at de iverksatte tiltakene var tilstrekkelig for å redusere risikoen til et akseptabelt nivå. Dette kan utføres ved å repetere risikovurderingsprosessen.

De følgende resterende trinnene beskriver alternativ 2 i 3-trinns-metoden: Sikring gjennom en funksjonssikkerhetsløsning.

TRINN 4: Opprette sikkerhetskrav

Etter at all risikoreduksjon som kan gjennomføres via design-endringer er gjennomført, må ytterligere sikring spesifiseres. Funksjonssikkerhetsløsninger kan brukes mot de resterende farene som et risikoreduserende tiltak.

SikkerhetsfunksjonerEn sikkerhetsfunksjon er en funksjon til en maskin, hvor en feil kan resultere i en umiddelbar risikoøkning. Enkelt sagt består den av tiltakene som må iverksettes for å redusere sannsynligheten av at det oppstår en uønsket hendelse under fareeksponering. En sikkerhetsfunksjon er ikke en del av selve maskinen. Dette betyr at hvis sikkerhetsfunksjonen feiler, kan maskinen fungere normalt, men risikoen for personskader fra driften av maskinen øker.



Definering av en sikkerhetsfunksjon inkluderer alltid to kompo-nenter:

– nødvendige tiltak (hva som må gjøres for å redusere risi-koen) og

– sikkerhetsytelse (sikkerhetsintegritetsnivå - SIL eller ytel-sesnivå - PL).

Merk:En sikkerhetsfunksjon må spesifiseres, verifiseres (funksjonalitet- og sikkerhetsytelse) og valideres separat for hver identifiserte fare.

Eksempel på en sikkerhetsfunksjon:Krav: En eksponert roterende aksel kan forårsake en skade hvis man kommer for nær akselen.

Tiltak: For å forhindre personskade fra akselen, må motoren stoppe på ett (1) sekund når sikkerhetsporten åpnes.

Etter at sikkerhetsfunksjonen som utfører handlingen er definert, bestemmes nødvendig sikkerhetsnivå for den.

Sikkerhetsytelse / -integritetSikkerhetsintegritet måler ytelsen til en sikkerhetsfunksjon. Den viser sannsynligheten til sikkerhetsfunksjonen som oppnås, på forespørsel. Den nødvendige sikkerhetsintegriteten for en funk-sjon bestemmes under risikovurderingen og representeres av det oppnådde sikkerhetsintegritetsnivået (SIL) eller ytelsesnivået (PL), avhengig av standarden som brukes.

De to standardene bruker forskjellige evalueringsteknikker for en sikkerhetsfunksjon, men resultatene er sammenlignbare. Betingelsene og definisjonene er like for begge standardene.

Bestemme nødvendig SIL (EN 62061)Prosessen for å bestemme nødvendig sikkerhetsintegritetsnivå (SIL) er som følger:

1. Bestemme alvorlighetsgraden til konsekvensen av en farlig hendelse.2. Bestemme punktverdien for frekvensen og varigheten en person er eksponert for faren.3. Bestemme punktverdien for sannsynligheten av at den farlige hendelsen oppstår når noen er eksponert for den.4. Bestemme punktverdien for muligheten for å forhindre eller begrense skadeomfanget.

Eksempel:Parameterne som brukes ved å fastsette punktverdiene, presen-teres i det følgende eksemplet i en SIL-tabell.



SIL-klasse

Klasse CI3-4 5-7 8-10 11-13 14-15

SIL2 SIL2 SIL2 SIL3 SIL3

OM SIL1 SIL2 SIL3

OM SIL1 SIL2

OM SIL1

FrFrekvens, varighet

1h dag 2 uker 1 år 2

AvUnngåelse

Umulig 5

Mulig 3

Sannsynlig 1

PrSannsynlighet for farlig hendelse

Svært høy 5

Sannsynlig 4

Mulig 3

Sjelden 2

Ubetydelig 1

SANNSYNLIGHETEN FOR skade

5 + 3 + 3 = 11

En SIL2-sikkerhets-funksjon er nødvendig

ALVORSGRADEN av skaden

SeKonsekvenser (alvorsgrad)

Død, tap av øye eller arm 4

Permanent, tap av fi ngre 3

Reversibel, medisinsk hjelp 2

Reversibel, førstehjelp 1

Figur 3-4 Eksempel på SIL-tabell

I dette eksemplet utføres fareanalysen for en eksponert roterende aksel.1 Alvorsgrad (Se) = 3. Konsekvensen av faren er permanent skade, muligens tap av fingre.2. Frekvens (Fr) = 5. En person eksponeres for faren flere ganger daglig.3. Sannsynlighet (Pr) = 3. Det er mulig at faren vil finne sted.4. Unngåelse (Av) = 3. Faren kan unngås.

– 5 + 3 + 3 = 11, med den bestemte konsekvensen, dette tilsvarer SIL 2.

Tabellene som brukes for å fastslå punktene, presenteres i standarden.

Etter at nødvendig SIL er definert, kan implementeringen av sikkerhetssystemet starte.

Bestemme nødvendig PL (EN ISO 13849-1)For å bestemme nødvendig PL, velg ett av alternativene fra følgende kategorier og lag en ”bane” til nødvendig PL i diagrammet.



1. Bestem alvorlighetsgraden av skaden.Alvorlighetsgradene erS1 Lett, normalt reversibel skadeS2 Alvorlig, normalt irreversibel skade, inkludert død

2. Bestem frekvensen og varigheten av eksponeringen for faren.

Frekvens- og varighetsparametrene erF1 Sjelden til ofte og/eller kort eksponeringF2 Hyppig til kontinuerlig og/eller lang eksponering

3. Bestem muligheten for å forhindre faren eller begrense skaden som oppsto fra faren.

Parameterne for fareforebygging og skadebegrensning erP1 Mulig under visse forholdP2 Knapt mulig

Eksempel:Det resulterende ytelsesnivået representeres av a, b, c, d og e i følgende eksempel i PL-risikodiagrammet.

STARTHER

Høy risiko

Lav risiko

S1

Lett

S2

Alvorlig

F1

Sjelden til ofte

Mulig

Knapt mulig

F2

F1

F2

P2

P1

P2

P2

P2

P1

P1

P1

Hyppig til kont.

a

b

c

e

dEn PL d sikkerhetsfunksjon er nødvendig

S2

Alvorlig

F1

Sjelden til ofte

MuligF2P2

P1

P2

P1

Figur 3-5 Eksempel på PL-risikodiagram

I dette eksemplet utføres fareanalysen for en eksponert rote-rende aksel. – Konsekvensen av faren er en alvorlig, irreversibel skade.

Alvorsgrad = S2. – En person eksponeres for faren flere ganger daglig.

Frekvens = F2. – Det er mulig å unngå eller begrense skaden forårsaket av

faren. Mulig = P2.

Banen fører til PLr verdi d. Tabellene brukes til å bestemme punktene som presenteres i standarden. Etter at PLr er definert, kan implementeringen av sikkerhetssystemet starte.



TRINN 5: Implementering av funksjonssikkerhetssystem

Når man designer og konstruerer en sikkerhetsfunksjon, er idéen å planlegge og konstruere sikkerhetsfunksjonen slik at den oppfyller påkrevd SIL / PL som ble spesifisert i forrige kapittel. Ved å bruke sertifiserte undersystemer i funksjonelle sikkerhetssystemer, kan systemdesigneren spare seg for mye arbeid. Implementering av sikkerhetsfunksjoner blir mer praktisk når noen av sikkerhets- og pålitelighetsberegningene allerede er gjort og undersystemer er sertifiserte.

Merk:Hvis det ikke brukes sertifiserte undersystemer, kan det være nødvendig å utføre sikkerhetsberegninger for hvert av undersys-temene. Standardene EN 62061 og EN ISO 13849-1 inkluderer informasjon om prosessen og de nødvendige beregningspara-metrene.

Implementerings- og verifiseringsprosessene går parallelt med hverandre. Idéen er å bruke verifisering som et verktøy under implementeringen for å sikre at det definerte sikkerhetsnivået nås med det implementerte systemet. For mer informasjon om verifiseringsprosessen, se neste trinn.

Merk:Systemet er bare så sterkt som dets svakeste ledd. Dette betyr at for å oppfylle HMS kravene som er angitt av maskindirektivet, må alle undersystemene til funksjonssikkerhetssystemet oppfylle i det minste den nødvendige SIL / PL-verdien til systemet.

Det finnes flere beregningsprogrammer på markedet som er designet for verifisering av funksjonssikkerhetssystemer. Disse programmene gjør hele prosessen med å utvikle og verifisere systemet mer praktisk.

De generelle trinnene for implementering av et funksjonssikker-hetssystem inkluderer:

1. Å definere sikkerhetskrav i en form for SIL og PL, i henhold til standard EN 62061 eller EN ISO 13849-1.

2. Å velge systemarkitekturen som skal brukes til sikker-hetssystemet.

Standardene EN 62061 og EN ISO 13849-1 tilbyr grunnleggende arkitekturer med beregningsformler. – kategori B, 1, 2, 3 eller 4, som presentert i standard

EN ISO 13849-1 eller – designert arkitektur A, B, C eller D, som presentert i standard

EN 62061 for undersystemene og hele systemet.



For mer informasjon om designerte arkitekturer, se de respektive standardene.

3. Å konstruere systemet fra sikkerhetsrelaterte undersys-temer – sensor/bryter, inngang, logikk, utgang og aktuator.

Enten: – ved å bruke sertifiserte undersystemer (anbefalt) eller – ved å utføre sikkerhetsberegninger for hvert undersystem.

Sikkerhetsnivået til hele systemet etableres ved å legge sammen undersystemets sikkerhetsnivåer.

4. Installere sikkerhetssystemet.

Systemet må installeres korrekt for å unngå faren for vanlige feil på grunn av feil kabling, miljø eller andre slike faktorer. Et sik-kerhetssystem som ikke fungerer korrekt på grunn av skjødesløs installasjon er av liten eller ingen nytte, og kan faktisk utgjøre en sikkerhetsrisiko.

5. Verifisere funksjonaliteten til systemet.

Gategrensebrytere

Undersystem 1

Sikkerhetslogikk + I/O

Undersystem 2 Undersystem 3

Aktuator(Sikker momentut-kobling, STO)

Figur 3-6 Strukturen til en sikkerhetsfunksjon

TRINN 6: Verifisere et funksjonssikkerhetssystem

Verifiseringen av funksjonssikkerhetssystemet viser og sikrer at det implementerte sikkerhetssystemet oppfyller de spesifiserte kravene til systemet i sikkerhetskravfasen og om sikkerhetsfunk-sjonen er levedyktig.

Verifiseringen skal ikke utføres etter implementeringsprosessen, men samtidig, slik at implementeringen faktisk kan gi et system som vil oppfylle de spesifiserte kravene.

I tillegg til å verifisere SIL eller PL til systemet, må riktig drift av sikkerhetssystemet også verifiseres ved å utføre funksjonstesting.



Verifisere SIL til sikkerhetssystemet (EN 62061)For å verifisere integritetsnivåene må det vises at sikkerhetsytel-sen, med andre ord påliteligheten, til den skapte sikkerhetsfunk-sjonen er lik eller større enn påkrevd ytelsesmål som ble angitt under risikoevalueringen. Det anbefales å bruke sertifiserte un-dersystemer, fordi produsenten har allerede definerte verdier for å bestemme systematisk sikkerhetsintegritet (SILCL) og tilfeldig maskinvaresikkerhetsintegritet (PFHd) for disse.

For å verifisere SIL til et sikkerhetssystem som bruker sertifiserte undersystemer:

1. Bestem den systematiske sikkerhetsintegriteten for systemet ved å bruke SIL Claim Limit (SILCL) verdier definert for undersystemene.

SILCL representerer maksimum SIL-verdi som undersystemet er strukturelt egnet for. SILCL brukes som en indikator får å bestemme oppnådd SIL: SILCL til hele systemet skal ikke være høyere enn SILCL for det laveste undersystemet.

2. Beregn tilfeldig maskinvaresikkerhetsintegritet for systemet ved å bruke verdiene for sannsynligheten av en farlig feil per time (PFHd) som er definert for undersystemene. Produsenter av sertifiserte undersystemer vil vanligvis oppgi PFHd-verdier for sine systemer.

PFHd er verdien til tilfeldig maskinvarefeil som brukes for å bestemme SIL.

3. Bruk sjekklisten Vanlige årsaker til svikt (CCF) for å sikre at alle nødvendige aspekter ved utarbeidelse av sikkerhetssystemene er behandlet.

CCF-sjekklistetabeller fi nner du i EN 62061 standard, Vedlegg F.Å beregne punktene i henhold til listen og sammenligne den totale skåren med verdiene listet opp i standarden EN 62061 Vedlegg F, Tabell F.2 gir CCF-faktoren (β). Denne verdien bru-kes for å estimere sannsynlighetsverdien til PFHd.

4. Bestem oppnådd SIL fra tabellen for å bestemme SIL.

Eksempel på verifisering av SIL:Verifisere funksjonssikkerhetssystem med roterende aksel:



SIL CL = 2PFHd = 2,4 x 10

-7


-9


-10

Endebrytere

Undersystem 1

Sikkerhetslogikk + I/O

Undersystem 2 Undersystem 3

Aktuator(Sikker momentut-kobling, STO)

Figur 3-7 Eksempel på verifisering av SIL

– Systematisk sikkerhetsintegritet: SIL CLsys ≤ (SIL CLsubsystem)lowest -> SIL Claim Limit 2

– Tilfeldig maskinvaresikkerhetsintegritet: PFHd = PFHd1+PFHd2+PFHd3 = 2,5 x 10

-7 < 10-6

= systemet oppfyller SIL 2.

Tabell for å bestemme SIL i henhold til PFHd-verdien oppnådd fra hele sikkerhetssystemet (i høy etterspørsel/kontinuerlig modus):

SIL Sannsynligheten av farlige feil per time (1/t)

SIL 1 ≥ 10-6 opp til < 10-5

SIL 2 ≥ 10-7 opp til < 10-6

SIL 3 ≥ 10-8 opp til < 10-7

Tabel 3-1 Tabell for å bestemme SIL

Verifisere PL til sikkerhetssystemet (EN ISO 13849-1)For å verifisere ytelsesnivået, må det etableres at PL til kor-responderende sikkerhetsfunksjon stemmer overens med den nødvendige PLr. Hvis flere undersystemer utgjør én sikkerhets-funksjon, må ytelsesnivåene til disse være lik eller høyere enn ytelsesnivået som kreves for nevnte sikkerhetsfunksjon. Det anbefales å bruke sertifiserte undersystemer, fordi sikkerhetsy-telsesverdiene allerede er blitt definert for disse.

For å verifisere PL til et sikkerhetssystem som bruker sertifiserte undersystemer:

1. Bestem systemets følsomhet for vanlige årsaker til svikt (CCF) ved å bruke CCF-sjekklisten.

CCF-sjekklistetabellene finner du i standarden EN ISO 13849-1:2008, Vedlegg I. Påkrevd minimum skår er 65 punkter.



2. Bestem oppnådd PL med søylegrafen som bruker den etablerte:

– Kategori – Midlere tid til farlig feil (MTTFd) – Diagnostisk dekning (DC)

MTTFd er gjennomsnittstiden det tar for en farlig feil å opp-stå. DC representerer antall farlige feil som kan detekteres av diagnosen.

Mer informasjon om beregningsdetaljer finner du i standarden EN ISO 13849-1.

3. Legg inn de resulterende verdiene i PL-diagrammet, hvor du da kan bestemme resulterende PL.

Eksempel på verifisering av PL:Verifisere funksjonssikkerhetssystem med roterende aksel:

1 = lav

2 = middels

3 = høy

PL

a

b

c

d

e

Kat. BDCavgnone

Kat. 1DCavgnone

Kat. 2DCavglav

Kat. 3DCavglav

Kat. 3DCavgmiddels

Kat. 3DCavghøy

Kat. 2DCavgmiddels

1

2

3

MTTFd for hver kanal

Figur 3-8 Eksempel på verifisering av PL

For å oppnå PLr definert i det tidligere eksemplet:

– designert arkitektur som i kategori 3, – MTTFd -verdien er høy og – DC-gjennomsnittsverdien er lav.

= systemet oppfyller PL-verdi d.



Tabell for å bestemme PL iht. PFHd -verdien som er oppnådd for hele sikkerhetssystemet:

PL Sannsynligheten av farlige feil per time (1/t)

a ≥ 10-5 opp til < 10-4

b ≥ 3 x 10-6 opp til < 10-5

c ≥ 10-6 opp til < 3 x 10-6

d ≥ 10-7 opp til < 10-6

e ≥ 10-8 opp til < 10-7

Tabel 3-2 Tabell for å bestemme PL

Sammenligne SIL og PL-verdierSelv om evalueringsmetodene for de to standardene er forskjel-lige, kan evalueringsresultatene sammenlignes på grunnlag av tilfeldig maskinvarefeil.

Sikkerhetsintegritetsnivå SIL Ytelsesnivå PL

ikke samsvar a

1 b

1 c

2 d

3 e

Tabell 3-3 Tabell for sammenligning av SIL og PL

TRINN 7: Validering av funksjonssikkerhetssystem

Hver sikkerhetsfunksjon må valideres for å sikre at den reduserer risiko som kreves i risikovurderingsfasen.

For å bestemme gyldigheten til sikkerhetssystemet, må syste-met inspiseres mot risikovurderingsprosessen som ble utført på begynnelsen av prosedyren for å oppfylle HMS krav i maskindi-rektivet (se trinn 2 side 24). Systemet er gyldig hvis det virkelig reduserer de analyserte og evaluerte risikoene i risikovurde-ringsprosessen.

TRINN 8: Dokumentere funksjonssikkerhetssystem

Designen til maskinen må dokumenteres og relevant bruker-dokumentasjon fremskaffes før maskinen oppfyller kravene i maskindirektivet.



Dokumentasjonen må fremskaffes for å tjene sin hensikt. Den må være nøyaktig og presis, men samtidig informativ og enkel for brukeren å forstå. All restrisiko må dokumenteres i bruker-dokumentasjonen, med egnede instruksjoner om hvordan man betjener maskinen på sikker måte. Dokumentasjonen må være tilgjengelig og holdbar. Brukerdokumentasjonen leveres sammen med maskinen.

For mer informasjon om nødvendig dokumentasjon og innholdet i denne, se HMS krav i vedlegg I i maskindirektivet.

TRINN 9: Bevise samsvar

Før en maskin kan plasseres i markedet, må produsenten sikre at maskinen er implementert i samsvar med harmoniserte stan-darder. Det må også dokumenteres at kombinasjonen for hver sikkerhetsfunksjon til de sikkerhetsrelaterte delene oppfyller de definerte kravene.

For å bevise samsvar med maskindirektivet, må det bevises at:

1. Maskinen oppfyller de relevante kravene til helse, miljø og sikkerhet (HMS) som definert i maskindirektivet.

2. Maskineriet oppfyller kravene til andre mulige relaterte direktiver.Samsvaret med disse kravene kan sikres ved å følge de rele-vante harmoniserte standardene.

3. Den tekniske filen er oppdatert og tilgjengelig.Den tekniske filen viser at maskinen er i samsvar med forskrif-tene i maskindirektivet.



Merk:En manglende teknisk fil kan være grunn nok til å sette maskinens samsvar med HMS i tvil.

Den tekniske filen skal dekke designen, produksjonen og driften av maskineriet i den grad det er nødvendig for å vise samsvar. For mer informasjon om innholdet i den tekniske filen, se Vedlegg VII i maskindirektivet 2006/42/EC.

4. Prosedyrer for vurdering av konformitet er fulgt.

5. Spesielle krav for maskiner listet opp i maskindirektivets Vedlegg IV er oppfylt, hvis relevant.

6. EF-samsvarserklæringen er produsert og leveres med maskinen.

Når samsvar er etablert, settes det på et CE-merke.

Maskiner som er CE-merket og som leveres sammen med EF-samsvarserklæringen antas å oppfylle kravene i maskindirektivet.



CE-merkingEt påbudt samsvarsmerke på maskineri og mange andre pro-dukttyper på markedet i EØS (Det europeiske økonomiske samarbeidsområdet). Ved å CE-merke produktet, garanterer produsenten at produktet oppfyller alle de grunnleggende kra-vene til de relevante EU-direktivene.

CCF, Vanlige årsaker til sviktEn situasjon der flere undersystemer feiler på grunn av en en-kel hendelse. Alle feil forårsakes av selve hendelsen og er ikke konsekvenser av hverandre.

DC, Diagnostisk dekningDiagnostisk dekning (DC) er effektiviteten til feilovervåkingen av et system eller undersystem. Det er forholdet mellom feilfrekvensen til detekterte farlige feil og feilfrekvensen til totalt antall farlige feil.

HMS krav, Relevante krav til helse, miljø og sikkerhetKrav som maskineriet må tilfredsstille for å samsvare med det EUs maskindirektiv og for å få CE-merket. Disse kravene er listet opp i maskindirektivets Vedlegg I.

ENStår for ”EuroNorm”. Dette prefikset brukes med harmoniserte standarder.

SkadePersonskader.

Harmoniserte standarderEn europeisk standard som er utarbeidet iht. mandat fra EU-kommisjonen eller EFTA-sekretariatet hvor formålet er å støtte de grunnleggende kravene til et direktiv og er obligatorisk iht. EU-lovgivningen.

FarePotensiell kilde til skader.

IEC International Electrotechnical Commission (Den inter-nasjonale elektrotekniske kommisjonen)En verdensomfattende standardiseringsorganisasjon som består av alle nasjonale elektrotekniske komitéer.www.iec.ch

Ordliste


ISO, Internasjonal standardiseringsorganisasjonEn verdensomspennende sammenslutning av nasjonale stan-dardiseringsorganer.www.iso.org

MTTFd, Midlere tid til farlig feilForventet gjennomsnittstid for at en farlig feil skal oppstå.

PFHd, Sannsynlighet for farlig feil per timeGjennomsnittssannsynlighet for at det skjer en farlig feil i løpet av én (1) time. PFHd er verdien som brukes for å bestemme SIL eller PL-verdien til en sikkerhetsfunksjon.

PL, YtelsesnivåNivåer (a, b, c, d, e) for å spesifisere et sikkerhetssystem sin evne til å utføre sikkerhetsfunksjoner under forventede bruksforhold.

PLrNødvendig ytelsesnivå (basert på risikoevalueringen).

RisikoEn kombinasjon av sannsynligheten for at det oppstår skade og hvor alvorlig skaden vil være.

SikkerhetsfunksjonEn funksjon som er designet for å øke sikkerheten til en maskin hvor en feil kan resultere i en umiddelbar risikoøkning.

SIL, SikkerhetsintegritetsnivåNivåer (1, 2, 3, 4) for å spesifisere et elektrisk sikkerhetssystem sin evne til å utføre sikkerhetsfunksjoner under forventede bruks-forhold. Kun nivå 1-3 brukes i maskineriet.

SILCL, SIL Claim LimitMaksimum sikkerhetsintegritetsnivå (SIL) som kan påberopes for et elektrisk sikkerhetssystem, som tar hensyn til arkitektoniske begrensninger og systematisk sikkerhetsintegritet.

UndersystemEn komponent av en sikkerhetsfunksjon som har sitt eget sik-kerhetsnivå (SIL /PL) som påvirker sikkerhetsnivået til hele sik-kerhetsfunksjonen. Hvis noen av undersystemene feiler, feiler hele sikkerhetsfunksjonen.

Ordliste

3AU

A00

0011

0049

RE

V D

NO

2.1

1.20

11 #

1594

7

Kontakt oss

For mer informasjon kontakter du din lokale ABB-representant eller besøker:

www.abb.com/driveswww.abb.com/drivespartners

© Copyright 2011 ABB. Alle rettigheter forbeholdt. Spesifikasjoner kan endres uten varsel.

Teknisk veiledning nr. 10 - Funksjonssikkerhet...Teknisk veiledning nr. 10 | Funksjonssikkerhety 11...

Documents

Transcript of Teknisk veiledning nr. 10 - Funksjonssikkerhet...Teknisk veiledning nr. 10 | Funksjonssikkerhety 11...