16-5-2017
Safety Event 9 mei 2017
Eisen noodstop bij een samenstel van machines
A.
B.
C.
D.
E.
F.
G.
H.
Probleemstelling noodstopfilosofie bij een samenstel van machines
Wanneer spreken we over een samenstel volgens de MRL-Guide
Eisen uit Wet- & Regelgeving
Welke mogelijkheden biedt de noodstopnorm EN-ISO 13850
Voorbeelden oplossingsrichtingen
Welk veiligheidsniveau moet een noodstopcircuit hebben?
Ontwerpproces functionele veiligheid, Faalmodi, diagnose, foutreactie
Information for use
Harry Krosse - Directeur en Senior Consultant D&F Consulting b.v.
PASSION FOR SAFETY
1
16-5-2017
D&F introductie
PASSION FOR SAFETY
D&F referenties
PASSION FOR SAFETY
2
16-5-2017
A. Probleemstelling noodstopfilosofie samenstel
Samenstellen van machines
▪ Bestaande situatie of nieuwbouw?
▪ welke noodstopfilosofie is
“passend”,
verplicht,
vereist?
▪ Hoe pak je dit aan?
PASSION FOR SAFETY
A. Probleemstelling noodstopfilosofie samenstel
Bedenk de filosofie vóór de uitvraag!
▪ Meerdere mogelijkheden, afhankelijk
van de risicobeoordeling en de
eisen uit de Wet- & Regelgeving.
▪ Stel overzichts-lay-out van de machines op.
▪ Neem in ogenschouw:
- Uniformiteit overige productielijnen;
- Aantal werkplekken en operators.
- Overzichtelijkheid voor de operators;
PASSION FOR SAFETY
3
16-5-2017
C. Eisen uit Wet- & Regelgeving
Machinerichtlijn 2006/42/EG - Bijlage 1
Bijlage 1.2.1 veiligheid besturingssystemen
Veiligheidsgerelateerde elementen van het besturingssysteem
moeten op coherente (samenhangende) wijze gelden voor een
samenstel van machines.
1.2.4.4. Complexe machines
Machines of machinedelen die zijn ontworpen om in combinatie te
functioneren, moeten zodanig zijn ontworpen en gebouwd dat de
stopinrichtingen — met inbegrip van de noodstopinrichtingen —
niet alleen de machine, maar tevens alle daarmee verbonden
installaties kunnen stopzetten, indien het blijven functioneren
daarvan gevaar kan opleveren.
PASSION FOR SAFETY
C. Eisen uit Wet- & Regelgeving
Toelichting 2e editie op de MRL
§203
Tevens moeten de noodstopinrichtingen alle verbonden eenheden van de
samengestelde machine uitschakelen indien dit belangrijk is om bedieners
van één eenheid van een samengestelde machine in een noodgeval in
staat te stellen verbonden eenheden van de machine buiten werking te
stellen.
Als een samengestelde machine onderverdeeld is in verschillende zones
die bestuurd worden door verschillende normale stopinrichtingen en
noodstopinrichtingen, moeten deze zones duidelijk worden aangegeven en
moet duidelijk worden aangegeven welke elementen van de
samengestelde machine bij welke zone horen.
De raakvlakken tussen zones moeten zodanig worden ontworpen dat het
blijven functioneren van uitrusting in één zone geen aanleiding kan geven
tot gevaarlijke situaties in andere zones die zijn stopgezet.
PASSION FOR SAFETY
4
16-5-2017
B. Wanneer spreken we over een samenstel van machines
SAMENSTELLEN
Normatieve teksten
Samenbouw Bron: Guide 2006/42/EC, §39
‘Een groep eenheden van machines of niet-voltooide machines wordt pas
als samenstel van machines beschouwd als aan alle volgende criteria wordt
voldaan:
1. De samenstellende eenheden worden samengevoegd om een
gemeenschappelijke functie te vervullen, bijvoorbeeld de
totstandbrenging van een bepaald product.
2. De samenstellende eenheden zijn functioneel zodanig verbonden dat de
werking van elke eenheid rechtstreeks van invloed is op de werking van
andere eenheden of van het samenstel als geheel, zodat een
risicobeoordeling nodig is voor het hele samenstel.
3. De samenstellende eenheden hebben een gemeenschappelijk
besturingssysteem.
Een groep machines die op elkaar zijn aangesloten, maar onafhankelijk van
elkaar werken, wordt niet beschouwd als een samenstel van machines in
voornoemde zin.’
PASSION FOR SAFETY
C. Eisen uit Wet- & Regelgeving
NEN-EN-ISO 12100 Risicobeoordeling §6.2.11.1
Ten behoeve van noodstoppen, voor een stop die het gevolg is van
beschermende voorzieningen en/of voor het onderbreken van de
energievoorziening en laten wegvloeien van energie, mag een samenstel
van machines in verschillende zones worden verdeeld. De verschillende
zones moeten duidelijk zijn aangegeven en het moet duidelijk zijn welke
delen van de machine bij welke zone horen. Op dezelfde wijze moet
duidelijk zijn welke bedieningsorganen (bijvoorbeeld van de
noodstopvoorzieningen, energie onderbrekingsvoorzieningen) en/of
beschermende voorzieningen bij welke zone behoren. De raakvlakken
tussen zones moeten zo worden ontworpen dat geen enkele functie in de
ene zone gevaren oplevert in een andere zone die ten behoeve van een
ingreep is stopgezet.
Zodra na een noodstopopdracht de actieve werking van de noodstopvoorziening is beëindigd, moet het gevolg van deze opdracht in stand
blijven tot dat het wordt teruggesteld. Dit terugstellen mag alleen mogelijk
zijn op de plaats waar de noodstopopdracht is geïnitieerd. Het terugstellen
van de voorziening mag de machine niet herstarten, maar het herstarten
alleen toelaten.
PASSION FOR SAFETY
5
16-5-2017
C. Eisen uit Wet- & Regelgeving
NEN-EN-ISO 11161 IMS Integrated Manufacturing Systems
§8.2 Span of control gerelateerd aan de zones dienen bepaald te worden
in overeenstemming risicobeoordeling en relevante C-normen,
rekening houdende met:
▪ Fysieke Lay-out;
▪ Het productieproces zelf;
▪ De toegang tot de taakzones.
§ 8.11 The integrator shall design and construct the IMS so that the
emergency stop can stop not only the component machine(s) but also all
equipment upstream and/or downstream if their continued operation can
be hazardous.
After the actuation of an emergency stop device for a zone, no hazards
shall exist at the interface between this zone and other areas of the
system.
PASSION FOR SAFETY
C. Eisen uit Wet- & Regelgeving
NEN-EN-ISO 11161 IMS Integrated Manufacturing Systems
§ 8.11 – vervolg
▪ All IMS emergency stop devices shall have the same span of control or
shall have clearly identified spans of control.
▪ All emergency stop devices for a task zone shall have the same span of
control. The span of control may include multiple zones.
▪ Actuation of the emergency stop shall not create additional hazard(s).
▪ Where manual intervention with suspended safeguarding is provided,
readily accessible emergency stop devices shall be located within the
task zone(s).
PASSION FOR SAFETY
6
16-5-2017
C. Eisen uit Wet- & Regelgeving
Noodstopfunctie algemeen
▪ Noodstopinrichtingen dienen ter ondersteuning van andere
veiligheidsmaatregelen, niet ter vervanging ervan
(Aanvullende beveiliging).
▪ De noodstopfunctie moet te allen tijde beschikbaar en operationeel
zijn, ongeacht de bedrijfsmodus.
▪ Noodstop voor Mens, Machine, Product en Milieu.
▪ Naar een veilige toestand brengen.
PASSION FOR SAFETY
C. Eisen uit Wet- & Regelgeving
Noodstopfunctie algemeen
Ontwerp de noodstopfunctie zodanig dat de bediener bij de beslissing voor
het gebruiken van de noodstopvoorziening, niet de gevolgen van een
eventuele noodstop hoeft te overwegen.
PASSION FOR SAFETY
7
16-5-2017
C. Eisen uit Wet- & Regelgeving
Noodstopfunctie algemeen
Neem daarnaast maatregelen om verwarring bij niet actieve bedienunits te
voorkomen zoals:
- Colour changing;
- Afschermen inactieve NS;
- Opbergen niet gebruikte bedienunits;
- Licht de maatregelen toe in de gebruiksaanwijzing.
PASSION FOR SAFETY
D. Noodstopnorm EN-ISO 13850
§ 4.1.2. Span of control of emergency stop device(s)
In principe ‘single span of control’ dus elk noodstoptoestel stopt de
gehele machine. (shall)
Bij uitzondering multiple spans of control bijvoorbeeld bij onnodige
verstoring van de productie of aanvullende gevaren.
Span of control kan dus zijn:
▪ Sectie;
▪ Machine;
▪ Groep van machines.
PASSION FOR SAFETY
8
16-5-2017
D. Noodstopnorm EN-ISO 13850
§ 4.1.2. Span of control of emergency stop device(s)
Lijn 1
Lijn 2
NS
beide
lijnen
PASSION FOR SAFETY
D. Noodstopnorm EN-ISO 13850
§ 4.1.2. Span of control of emergency stop device(s)
Argumenten voor het toekennen van een span of control:
▪
▪
▪
▪
▪
Lay-out en zicht;
Mogelijkheden om gevaren te herkennen (zicht, geluid, reuk);
Het productieproces;
Voorzienbare blootstelling aan gevaren;
Aangrenzende gevaren.
PASSION FOR SAFETY
9
16-5-2017
D. Noodstopnorm EN-ISO 13850
§ 4.1.2. Span of control of emergency stop device(s)
Bij multiple spans of control:
Duidelijk gedefinieerd en herkenbaar;
Duidelijk verband tussen een gevaar en de noodstopdrukker;
Bij het noodstoptoestel is de span of control duidelijk herkenbaar;
Drukken van een noodstopknop creëert geen aanvullende gevaren
in een andere span of control;
▪ Drukken van een noodstopknop verhindert niet het bedienen
van een noodstop in een andere span of control;
▪ Neem instructies op in de gebruiksaanwijzing.
▪
▪
▪
▪
Monteer noodstopdrukkers met verschillende span of control
niet naast elkaar (indien praktisch mogelijk).
PASSION FOR SAFETY
E. Voorbeelden oplossingsrichtingen
Meerdere mogelijkheden, afhankelijk van de risicobeoordeling en
eisen uit Wet- & Regelgeving:
1. Single span of control (‘Lijnnoodstop’) voor het gehele
samenstel van machines
Bij één overkoepelende besturingskast, geen probleem.
Bij meerdere besturingskasten:
a. Externe schil om diverse besturingskasten die gehele hoofdstroom
uitschakelen met enkele centrale noodstopknoppen.
b. Veiligheid-PLC’s van separate kasten koppelen via bussysteem of andere
wijze om lijnnoodstop te creëren (b.v. contactelementen op adapter van
NS voor separaat NC circuit te creëren.)
Let op terugkoppelcircuits en verschil in veiligheidsniveaus
subsystemen.
PASSION FOR SAFETY
10
16-5-2017
E. Voorbeelden oplossingsrichtingen
Externe schil
Lijn 1
Lijn 2
Sensor (INPUT)
Controller (LOGIC)
NS
beide
lijnen
Actuator (OUTPUT)
De motorcontactoren schakelen redundant
de hoofdstroom van beide lijnen uit middels centrale Noodstoptoestellen
PASSION FOR SAFETY
E. Voorbeelden oplossingsrichtingen
Meerdere mogelijkheden, afhankelijk van de risicobeoordeling en
eisen uit Wet- & Regelgeving:
2. Multiple spans of control voor het samenstel
▪
Aanduiding middels gekleurde vloerlijnen en aanduiding op of rondom
noodstoptoestellen.
▪
Lay-out waarin duidelijk is wat de span of control is van elk separaat
noodstoptoestel.
PASSION FOR SAFETY
11
16-5-2017
E. Voorbeelden oplossingsrichtingen
Elke machine heeft een eigen besturingskast, geen samenstel.
Span of control zichtbaar door kleuren op vloer, op noodstopknop en
instructie aanbrengen.
PASSION FOR SAFETY
E. Voorbeelden oplossingsrichtingen
Stappenplan bij opdeling in zone’s:
1.
2.
3.
4.
5.
6.
7.
1.
2.
Welke eisen zijn van toepassing uit W&R.
Voer een risicobeoordeling uit.
Bepaal de veiligheidsniveau’s.
Ontwerp de veiligheidsfuncties conform SIL en/of PL.
Stel een noodstopoverzicht op met daarop duidelijk de span of
control van elk noodstoptoestel.
Zorg ervoor dat er geen verwarring mogelijk is (b.v. kleuren)
a. Is er uniformiteit met andere lijnen binnen de productiehal?
b. Wisselen operators periodiek van productielijn?
Voorzie de machines/noodstoptoestellen van noodstopoverzicht/
lay-out, instructie(s).
Houd periodiek toolboxmeetings voor de operators en
onderhoudspersoneel betreffende de noodstopfilosofie.
Verwerk een en ander in het Technisch Dossier.
PASSION FOR SAFETY
12
16-5-2017
F. Welk veiligheidsniveau
EN-ISO 13850: 4.1.5 Emergency stop equipment
4.1.5.1 The safety related parts of the control system or subsystems
which perform the emergency stop function shall comply with the
relevant requirements of ISO 13849-1 (PL) and/or IEC 62061 (SIL).
Determination of the Performance Level (PL) or SIL required should take
into account the purpose (Risicobeoordeling) of the emergency stop
function, but the minimum required is PLr c or SIL 1.
NOTE The emergency stop function can share safety related parts with
other safety functions taking into account the requirements of ISO
13849-1 and/or IEC 62061.
PASSION FOR SAFETY
F. Welk veiligheidsniveau
“Stapelen” van veiligheidsniveau’s.
Als de noodstopfunctie alleen bedoeld is om bij falen van overige
veiligheidsfuncties in te kunnen grijpen hoef je niet te “stapelen” .
Meerdere besturingskasten met verschillende veiligheidniveau’s?
➢ Let dan op dat de gemeenschappelijke delen (subsystemen)
voldoen aan het hoogste veiligheidniveau.
PASSION FOR SAFETY
13
16-5-2017
F. Welk veiligheidsniveau
Samenstel
met
meerdere
besturingskasten
Single
Span of
control
Sensor (INPUT)
Controller (LOGIC)
Actuator (OUTPUT)
Machine PL=c
Machine PL=e
FOUT: Enkelvoudige Noodstopknop PL=c schakelt redundante logic en
actuators (PL=e) van andere machine uit.
PASSION FOR SAFETY
G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie
Doel:
▪
▪
▪
▪
Leren bepalen welke faalmodi er zijn.
Welke faalmodi (tijdig) gediagnosticeerd worden.
Wat de foutreactie is.
Gevaarlijk falen en single point of failure.
Life cycle safety
▪ Goed ontwerpproces – V-model, Verificatie & Validatie.
▪ Naast functionele testen ook foutsimulatie testen,
statisch en dynamisch.
▪ Information for use voor de gebruiksfase.
PASSION FOR SAFETY
14
16-5-2017
G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie
HDS (Hardware Design Specification): Faalmodi, diagnose en foutreactie.
Beschrijving
faalmodi
Beschrijving
CCF
Navolgende faalmodi zijn geanalyseerd:
1.
Onderbreking contact.
2.
Overbrugging contact.
3.
Sluiting kanaal naar aarde.
4.
Sluiting kanaal naar plus.
5.
Onderlinge sluiting kanalen.
6.
Losraken noodstopcontacten in behuizing.
7.
Breuk in noodstopknop.
8.
Fysiek losraken contactblok 2NC van noodstop.
9.
Noodstop raakt vol/halfvol water of andere vloeistof.
PASSION FOR SAFETY
G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie
HDS: Faalmodi, diagnose en foutreactie
Beschrijving
van de
diagnose
functies
De diagnose vindt plaats in de inputkaart en de Safe-PLC.
Ad. 1: Onderbreking contact; wordt direct door logica gedetecteerd.
Ad. 2: Overbrugging contact; wordt gedetecteerd bij aanspraak
(demand) op noodstopfunctie door discrepantiebewaking in logica.
Ad. 3: Sluiting kanaal naar aarde; wordt direct gedetecteerd door
logica.
Ad. 4: Sluiting kanaal naar plus; wordt direct gedetecteerd door
takpulsbewaking in logica. (pulstrein uit logica).
Ad. 5: Onderlinge sluiting kanalen; wordt direct gedetecteerd door
logica bij gebruik twee verschillende taktpulsen. (pulstrein uit
logica).
Ad. 6: Losraken noodstopcontacten in behuizing; wordt bij
aanspraak (demand) op noodstopfunctie door
discrepantiebewaking in logica.
Ad. 7: Mechanische breuk in noodstopknop; wordt tijdens prooftest
of normaal gebruik gedetecteerd. Machine schakelt dan niet af.
Ad. 8: Wordt tijdens prooftest of normaal gebruik gedetecteerd.
Machine schakelt dan niet af.
Ad. 9: Wordt tijdens prooftest of normaal gebruik gedetecteerd.
Machine schakelt dan niet af. Onderlinge sluiting kan gedetecteerd
worden door gebruik twee verschillende taktpulsen.
PASSION FOR SAFETY
15
16-5-2017
G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie
HDS: Faalmodi, diagnose en foutreactie.
Beschrijving van de
voorgenomen
foutreactie functies
Voor de noodstop wordt een gecertificeerde software
bouwsteen gebruikt.
Ad. 1, 3, 4, 5 en 9 leiden direct tot afschakeling door FB
bouwsteen.
Ad. 2 en 6 leiden tot afschakeling als een aanspraak
plaatsvindt.
Voor meer diagnose kan 8-bits ‘DIAG’ van FB gebruikt
worden.
Ad.7 en 8 leiden niet tot afschakeling.
Bepaal eveneens of passivering per input of per groep inputs
plaatsvindt.
PASSION FOR SAFETY
H. Information for use veiligheidsfuncties
De fabrikant dient de gebruiker te informeren over alle relevante
aspecten ten aanzien van veiligheidsfuncties.
Dit om te garanderen dat de veiligheidsfuncties gedurende de gehele
levenscyclus blijven doen waarvoor ze ontworpen zijn, nl:
▪ De machine bij falen naar een veilige toestand brengen;
▪ De fout tijdig diagnosticeren.
Een en ander staat beschreven in:
▪ Hfdst. 11 PL norm EN-ISO 13849-1;
▪ Hfdst. 7 SIL norm EN-IEC 62061.
Er zit verschil tussen de beschreven onderwerpen uit beide normen.
PASSION FOR SAFETY
16
16-5-2017
H. Information for use veiligheidsfuncties
Een aantal onderwerpen dat beschreven dient te worden:
1. Uitgebreide beschrijving van de componenten, installatie en
bevestiging.
Input: Schmersal BNS 33-12Z veiligheidsensor met beschermingsgraad IP 67;
aansluiting Boflex kabel/M8 stekker; aansluitkabel 4 x 0,25 mm2; schakelstroom
max. 400 mA; schokbestendigheid 30 g/11 ms; omgevingstemperatuur -25 °C ...
+70 °C; aandraaimoment max. 0,3 Nm; spanning 32 V; schakelspanning max. 100
VAC; zekere schakelafstand 5 mm; zekere uitschakelafstand 15 mm)
PASSION FOR SAFETY
H. Information for use veiligheidsfuncties
Onderwerpen vervolg:
2.
3.
4.
5.
5.
6.
Bedienmodi waarin de veiligheidsfunctie actief is / niet actief is.
Functionele beschrijving van de werking.
Veiligheidsniveau en architectuur.
Triggering action.
Response time.
Block diagram & stroomkringschema.
VF2
Noodstop
-drukknop
VF1
Schmersal
BNS 3312Z
Phoenix
PSR
Trisafe
Moeller
DLM7
Moeller
DLM7
PASSION FOR SAFETY
17
16-5-2017
H. Information for use veiligheidsfuncties
Onderwerpen vervolg:
7. Mission time – T10d tijd.
8. Testinterval en uit te voeren (proof)testen (beschrijf het stap voor stap
vanaf het activeren welke componenten (code, LED aanduiding) op welke
volgorde schakelen.
PASSION FOR SAFETY
H. Information for use veiligheidsfuncties
Onderwerpen vervolg:
9. Fault exclusions.
10. Onderhoud en inspectie;
- Visuele inspectie behuizing en pakking op breuk, veroudering;
- Aansluitdraden vast in klemmen;
- Bekabeling niet beschadigd of verouderd, goed afgeschermd;
- Sensor goed uitgelijnd met te detecteren achtergrond;
- Vervuiling, vocht in de behuizing;
- Waterafscheider en drukregelaar controleren;
- Filter jaarlijks reinigen en om de 2 jaren vervangen;
- Reflector maandelijks reinigen.
11. Referentie naar originele operating instructions/datasheet.
PASSION FOR SAFETY
18
16-5-2017
PROFESSIONEEL ADVIES
Bedankt voor uw interesse en deelname aan deze learnshop!
Mocht u vragen hebben over dit onderwerp of meer informatie wensen
over onze adviesdiensten en trainingen, neem dan gerust contact met ons
op:
• Stuur een e-mail naar info@denf.nl en wij nemen contact met u op.
• Vul ons contactformulier in: klik hier
• Bel ons via telefoonnummer: +31 (0)76 504 03 40.
Team D&F helpt u graag verder!
PASSION FOR SAFETY
19