16-5-2017

1

Safety Event 9 mei 2017

Eisen noodstop bij een samenstel van machines

A. Probleemstelling noodstopfilosofie bij een samenstel van machinesB. Wanneer spreken we over een samenstel volgens de MRL-GuideC. Eisen uit Wet- & RegelgevingD. Welke mogelijkheden biedt de noodstopnorm EN-ISO 13850E. Voorbeelden oplossingsrichtingenF. Welk veiligheidsniveau moet een noodstopcircuit hebben?G. Ontwerpproces functionele veiligheid, Faalmodi, diagnose, foutreactieH. Information for use

Harry Krosse - Directeur en Senior Consultant D&F Consulting b.v.

PASSION FOR SAFETY

16-5-2017

2

D&F introductie

PASSION FOR SAFETY

D&F referenties

PASSION FOR SAFETY

16-5-2017

3

Samenstellen van machines

▪ Bestaande situatie of nieuwbouw?▪ welke noodstopfilosofie is

“passend”, verplicht,

vereist?▪ Hoe pak je dit aan?

A. Probleemstelling noodstopfilosofie samenstel

PASSION FOR SAFETY

Bedenk de filosofie vóór de uitvraag!

▪ Meerdere mogelijkheden, afhankelijk van de risicobeoordeling en de eisen uit de Wet- & Regelgeving.

▪ Stel overzichts-lay-out van de machines op. ▪ Neem in ogenschouw:

- Uniformiteit overige productielijnen;- Aantal werkplekken en operators.- Overzichtelijkheid voor de operators;

A. Probleemstelling noodstopfilosofie samenstel

PASSION FOR SAFETY

16-5-2017

4

Machinerichtlijn 2006/42/EG - Bijlage 1

Bijlage 1.2.1 veiligheid besturingssystemenVeiligheidsgerelateerde elementen van het besturingssysteem moeten op coherente (samenhangende) wijze gelden voor eensamenstel van machines.

1.2.4.4. Complexe machinesMachines of machinedelen die zijn ontworpen om in combinatie te functioneren, moeten zodanig zijn ontworpen en gebouwd dat de stopinrichtingen — met inbegrip van de noodstopinrichtingen —niet alleen de machine, maar tevens alle daarmee verbonden installaties kunnen stopzetten, indien het blijven functionerendaarvan gevaar kan opleveren.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

Toelichting 2e editie op de MRL §203

Tevens moeten de noodstopinrichtingen alle verbonden eenheden van de samengestelde machine uitschakelen indien dit belangrijk is om bedieners van één eenheid van een samengestelde machine in een noodgeval in staat te stellen verbonden eenheden van de machine buiten werking te stellen.

Als een samengestelde machine onderverdeeld is in verschillende zones die bestuurd worden door verschillende normale stopinrichtingen ennoodstopinrichtingen, moeten deze zones duidelijk worden aangegeven en moet duidelijk worden aangegeven welke elementen van de samengestelde machine bij welke zone horen.

De raakvlakken tussen zones moeten zodanig worden ontworpen dat het blijven functioneren van uitrusting in één zone geen aanleiding kan geven tot gevaarlijke situaties in andere zones die zijn stopgezet.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

16-5-2017

5

Normatieve tekstenSamenbouw Bron: Guide 2006/42/EC, §39

‘Een groep eenheden van machines of niet-voltooide machines wordt pasals samenstel van machines beschouwd als aan alle volgende criteria wordt voldaan:1. De samenstellende eenheden worden samengevoegd om een

gemeenschappelijke functie te vervullen, bijvoorbeeld de totstandbrenging van een bepaald product.

2. De samenstellende eenheden zijn functioneel zodanig verbonden dat de werking van elke eenheid rechtstreeks van invloed is op de werking van andere eenheden of van het samenstel als geheel, zodat een risicobeoordeling nodig is voor het hele samenstel.

3. De samenstellende eenheden hebben een gemeenschappelijk besturingssysteem.

Een groep machines die op elkaar zijn aangesloten, maar onafhankelijk van elkaar werken, wordt niet beschouwd als een samenstel van machines in voornoemde zin.’

SAMENSTELLEN

B. Wanneer spreken we over een samenstel van machines

PASSION FOR SAFETY

NEN-EN-ISO 12100 Risicobeoordeling §6.2.11.1

Ten behoeve van noodstoppen, voor een stop die het gevolg is van beschermende voorzieningen en/of voor het onderbreken van de energievoorziening en laten wegvloeien van energie, mag een samenstel van machines in verschillende zones worden verdeeld. De verschillende zones moeten duidelijk zijn aangegeven en het moet duidelijk zijn welke delen van de machine bij welke zone horen. Op dezelfde wijze moet duidelijk zijn welke bedieningsorganen (bijvoorbeeld van de noodstopvoorzieningen, energie onderbrekingsvoorzieningen) en/of beschermende voorzieningen bij welke zone behoren. De raakvlakkentussen zones moeten zo worden ontworpen dat geen enkele functie in de ene zone gevaren oplevert in een andere zone die ten behoeve van een ingreep is stopgezet.

Zodra na een noodstopopdracht de actieve werking van de noodstop-voorziening is beëindigd, moet het gevolg van deze opdracht in stand blijven tot dat het wordt teruggesteld. Dit terugstellen mag alleen mogelijkzijn op de plaats waar de noodstopopdracht is geïnitieerd. Het terugstellen van de voorziening mag de machine niet herstarten, maar het herstarten alleen toelaten.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

16-5-2017

6

NEN-EN-ISO 11161 IMS Integrated Manufacturing Systems

§8.2 Span of control gerelateerd aan de zones dienen bepaald te worden in overeenstemming risicobeoordeling en relevante C-normen, rekening houdende met:▪ Fysieke Lay-out;▪ Het productieproces zelf;▪ De toegang tot de taakzones.

§ 8.11 The integrator shall design and construct the IMS so that the emergency stop can stop not only the component machine(s) but also all equipment upstream and/or downstream if their continued operation can be hazardous.

After the actuation of an emergency stop device for a zone, no hazards shall exist at the interface between this zone and other areas of the system.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

NEN-EN-ISO 11161 IMS Integrated Manufacturing Systems

§ 8.11 – vervolg

▪ All IMS emergency stop devices shall have the same span of control or shall have clearly identified spans of control.

▪ All emergency stop devices for a task zone shall have the same span of control. The span of control may include multiple zones.

▪ Actuation of the emergency stop shall not create additional hazard(s).

▪ Where manual intervention with suspended safeguarding is provided, readily accessible emergency stop devices shall be located within the task zone(s).

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

16-5-2017

7

Noodstopfunctie algemeen

▪ Noodstopinrichtingen dienen ter ondersteuning van andere veiligheidsmaatregelen, niet ter vervanging ervan (Aanvullende beveiliging).

▪ De noodstopfunctie moet te allen tijde beschikbaar en operationeel zijn, ongeacht de bedrijfsmodus.

▪ Noodstop voor Mens, Machine, Product en Milieu.▪ Naar een veilige toestand brengen.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

Noodstopfunctie algemeen

Ontwerp de noodstopfunctie zodanig dat de bediener bij de beslissing voor het gebruiken van de noodstopvoorziening, niet de gevolgen van een eventuele noodstop hoeft te overwegen.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

16-5-2017

8

Noodstopfunctie algemeen

Neem daarnaast maatregelen om verwarring bij niet actieve bedienunits te voorkomen zoals:- Colour changing;- Afschermen inactieve NS;- Opbergen niet gebruikte bedienunits;- Licht de maatregelen toe in de gebruiksaanwijzing.

C. Eisen uit Wet- & Regelgeving

PASSION FOR SAFETY

§ 4.1.2. Span of control of emergency stop device(s)

In principe ‘single span of control’ dus elk noodstoptoestel stopt de gehele machine. (shall)

Bij uitzondering multiple spans of control bijvoorbeeld bij onnodige verstoring van de productie of aanvullende gevaren.

Span of control kan dus zijn:

▪ Sectie;▪ Machine;▪ Groep van machines.

D. Noodstopnorm EN-ISO 13850

PASSION FOR SAFETY

16-5-2017

9

D. Noodstopnorm EN-ISO 13850

Lijn 1 Lijn 2

NS beide lijnen

§ 4.1.2. Span of control of emergency stop device(s)

PASSION FOR SAFETY

Argumenten voor het toekennen van een span of control:

▪ Lay-out en zicht;▪ Mogelijkheden om gevaren te herkennen (zicht, geluid, reuk);▪ Het productieproces;▪ Voorzienbare blootstelling aan gevaren;▪ Aangrenzende gevaren.

D. Noodstopnorm EN-ISO 13850

§ 4.1.2. Span of control of emergency stop device(s)

PASSION FOR SAFETY

16-5-2017

10

Bij multiple spans of control:

▪ Duidelijk gedefinieerd en herkenbaar;▪ Duidelijk verband tussen een gevaar en de noodstopdrukker;▪ Bij het noodstoptoestel is de span of control duidelijk herkenbaar;▪ Drukken van een noodstopknop creëert geen aanvullende gevaren

in een andere span of control;▪ Drukken van een noodstopknop verhindert niet het bedienen

van een noodstop in een andere span of control;▪ Neem instructies op in de gebruiksaanwijzing.

Monteer noodstopdrukkers met verschillende span of controlniet naast elkaar (indien praktisch mogelijk).

D. Noodstopnorm EN-ISO 13850

§ 4.1.2. Span of control of emergency stop device(s)

PASSION FOR SAFETY

E. Voorbeelden oplossingsrichtingen

Meerdere mogelijkheden, afhankelijk van de risicobeoordeling en eisen uit Wet- & Regelgeving:

1. Single span of control (‘Lijnnoodstop’) voor het gehele samenstel van machines

Bij één overkoepelende besturingskast, geen probleem.

Bij meerdere besturingskasten:

a. Externe schil om diverse besturingskasten die gehele hoofdstroom uitschakelen met enkele centrale noodstopknoppen.

b. Veiligheid-PLC’s van separate kasten koppelen via bussysteem of andere wijze om lijnnoodstop te creëren (b.v. contactelementen op adapter van NS voor separaat NC circuit te creëren.)

Let op terugkoppelcircuits en verschil in veiligheidsniveaus subsystemen.

PASSION FOR SAFETY

16-5-2017

11

Lijn 1 Lijn 2

NS beide lijnen

E. Voorbeelden oplossingsrichtingen

Externe schil

Actuator (OUTPUT)

Controller (LOGIC)

Sensor (INPUT)

De motorcontactoren schakelen redundant de hoofdstroom van beide lijnen uit middels centrale Noodstoptoestellen

PASSION FOR SAFETY

E. Voorbeelden oplossingsrichtingen

Meerdere mogelijkheden, afhankelijk van de risicobeoordeling en eisen uit Wet- & Regelgeving:

2. Multiple spans of control voor het samenstel

▪ Aanduiding middels gekleurde vloerlijnen en aanduiding op of rondom noodstoptoestellen.

▪ Lay-out waarin duidelijk is wat de span of control is van elk separaat noodstoptoestel.

PASSION FOR SAFETY

16-5-2017

12

Elke machine heeft een eigen besturingskast, geen samenstel.Span of control zichtbaar door kleuren op vloer, op noodstopknop en instructie aanbrengen.

E. Voorbeelden oplossingsrichtingen

PASSION FOR SAFETY

Stappenplan bij opdeling in zone’s:

1. Welke eisen zijn van toepassing uit W&R.2. Voer een risicobeoordeling uit.3. Bepaal de veiligheidsniveau’s.4. Ontwerp de veiligheidsfuncties conform SIL en/of PL.5. Stel een noodstopoverzicht op met daarop duidelijk de span of

control van elk noodstoptoestel.6. Zorg ervoor dat er geen verwarring mogelijk is (b.v. kleuren)

a. Is er uniformiteit met andere lijnen binnen de productiehal?b. Wisselen operators periodiek van productielijn?

7. Voorzie de machines/noodstoptoestellen van noodstopoverzicht/lay-out, instructie(s).

1. Houd periodiek toolboxmeetings voor de operators en onderhoudspersoneel betreffende de noodstopfilosofie.

2. Verwerk een en ander in het Technisch Dossier.

E. Voorbeelden oplossingsrichtingen

PASSION FOR SAFETY

16-5-2017

13

F. Welk veiligheidsniveau

EN-ISO 13850: 4.1.5 Emergency stop equipment

4.1.5.1 The safety related parts of the control system or subsystems which perform the emergency stop function shall comply with the relevant requirements of ISO 13849-1 (PL) and/or IEC 62061 (SIL).

Determination of the Performance Level (PL) or SIL required should take into account the purpose (Risicobeoordeling) of the emergency stop function, but the minimum required is PLr c or SIL 1.

NOTE The emergency stop function can share safety related parts with other safety functions taking into account the requirements of ISO 13849-1 and/or IEC 62061.

PASSION FOR SAFETY

F. Welk veiligheidsniveau

“Stapelen” van veiligheidsniveau’s.

Als de noodstopfunctie alleen bedoeld is om bij falen van overige veiligheidsfuncties in te kunnen grijpen hoef je niet te “stapelen” .

Meerdere besturingskasten met verschillende veiligheidniveau’s?➢ Let dan op dat de gemeenschappelijke delen (subsystemen)

voldoen aan het hoogste veiligheidniveau.

PASSION FOR SAFETY

16-5-2017

14

F. Welk veiligheidsniveau

Actuator (OUTPUT)

Controller (LOGIC)

Sensor (INPUT)

FOUT: Enkelvoudige Noodstopknop PL=c schakelt redundante logic en actuators (PL=e) van andere machine uit.

PASSION FOR SAFETY

Machine PL=c Machine PL=e

Samenstelmet meerdere besturings-kastenSingleSpan ofcontrol

G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie

Doel:

▪ Leren bepalen welke faalmodi er zijn.▪ Welke faalmodi (tijdig) gediagnosticeerd worden.▪ Wat de foutreactie is.▪ Gevaarlijk falen en single point of failure.

Life cycle safety

▪ Goed ontwerpproces – V-model, Verificatie & Validatie.▪ Naast functionele testen ook foutsimulatie testen,

statisch en dynamisch.▪ Information for use voor de gebruiksfase.

PASSION FOR SAFETY

16-5-2017

15

HDS (Hardware Design Specification): Faalmodi, diagnose en foutreactie.

Beschrijving faalmodi

Navolgende faalmodi zijn geanalyseerd:1. Onderbreking contact.2. Overbrugging contact.3. Sluiting kanaal naar aarde.4. Sluiting kanaal naar plus.5. Onderlinge sluiting kanalen.6. Losraken noodstopcontacten in behuizing.7. Breuk in noodstopknop.

Beschrijving CCF

8. Fysiek losraken contactblok 2NC van noodstop.9. Noodstop raakt vol/halfvol water of andere vloeistof.

G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie

PASSION FOR SAFETY

HDS: Faalmodi, diagnose en foutreactie

Beschrijving van de diagnose functies

De diagnose vindt plaats in de inputkaart en de Safe-PLC. Ad. 1: Onderbreking contact; wordt direct door logica gedetecteerd.Ad. 2: Overbrugging contact; wordt gedetecteerd bij aanspraak (demand) op noodstopfunctie door discrepantiebewaking in logica.Ad. 3: Sluiting kanaal naar aarde; wordt direct gedetecteerd door logica.Ad. 4: Sluiting kanaal naar plus; wordt direct gedetecteerd door takpulsbewaking in logica. (pulstrein uit logica).Ad. 5: Onderlinge sluiting kanalen; wordt direct gedetecteerd door logica bij gebruik twee verschillende taktpulsen. (pulstrein uit logica).Ad. 6: Losraken noodstopcontacten in behuizing; wordt bij aanspraak (demand) op noodstopfunctie door discrepantiebewaking in logica. Ad. 7: Mechanische breuk in noodstopknop; wordt tijdens prooftest of normaal gebruik gedetecteerd. Machine schakelt dan niet af.Ad. 8: Wordt tijdens prooftest of normaal gebruik gedetecteerd. Machine schakelt dan niet af.Ad. 9: Wordt tijdens prooftest of normaal gebruik gedetecteerd. Machine schakelt dan niet af. Onderlinge sluiting kan gedetecteerd worden door gebruik twee verschillende taktpulsen.

G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie

PASSION FOR SAFETY

16-5-2017

16

HDS: Faalmodi, diagnose en foutreactie.

Beschrijving van de voorgenomen foutreactie functies

Voor de noodstop wordt een gecertificeerde software bouwsteen gebruikt. Ad. 1, 3, 4, 5 en 9 leiden direct tot afschakeling door FB bouwsteen.Ad. 2 en 6 leiden tot afschakeling als een aanspraak plaatsvindt.Voor meer diagnose kan 8-bits ‘DIAG’ van FB gebruikt worden.Ad.7 en 8 leiden niet tot afschakeling.Bepaal eveneens of passivering per input of per groep inputs plaatsvindt.

G. Ontwerpproces - Faalmodi – Diagnose - Foutreactie

PASSION FOR SAFETY

De fabrikant dient de gebruiker te informeren over alle relevante aspecten ten aanzien van veiligheidsfuncties.

Dit om te garanderen dat de veiligheidsfuncties gedurende de gehele levenscyclus blijven doen waarvoor ze ontworpen zijn, nl:

▪ De machine bij falen naar een veilige toestand brengen;▪ De fout tijdig diagnosticeren.

Een en ander staat beschreven in:

▪ Hfdst. 11 PL norm EN-ISO 13849-1;▪ Hfdst. 7 SIL norm EN-IEC 62061.

Er zit verschil tussen de beschreven onderwerpen uit beide normen.

H. Information for use veiligheidsfuncties

PASSION FOR SAFETY

16-5-2017

17

Een aantal onderwerpen dat beschreven dient te worden:

1. Uitgebreide beschrijving van de componenten, installatie enbevestiging.

Input: Schmersal BNS 33-12Z veiligheidsensor met beschermingsgraad IP 67; aansluiting Boflex kabel/M8 stekker; aansluitkabel 4 x 0,25 mm2; schakelstroom max. 400 mA; schokbestendigheid 30 g/11 ms; omgevingstemperatuur -25 °C ... +70 °C; aandraaimoment max. 0,3 Nm; spanning 32 V; schakelspanning max. 100 VAC; zekere schakelafstand 5 mm; zekere uitschakelafstand 15 mm)

H. Information for use veiligheidsfuncties

PASSION FOR SAFETY

Onderwerpen vervolg:

2. Bedienmodi waarin de veiligheidsfunctie actief is / niet actief is.3. Functionele beschrijving van de werking.4. Veiligheidsniveau en architectuur.5. Triggering action.5. Response time.6. Block diagram & stroomkringschema.

Schmersal BNS 33-

12Z

Phoenix PSR

Trisafe

Moeller DLM7

Moeller DLM7

VF1

VF2

Noodstop-drukknop

H. Information for use veiligheidsfuncties

PASSION FOR SAFETY

16-5-2017

18

Onderwerpen vervolg:

7. Mission time – T10d tijd.8. Testinterval en uit te voeren (proof)testen (beschrijf het stap voor stap

vanaf het activeren welke componenten (code, LED aanduiding) op welke volgorde schakelen.

H. Information for use veiligheidsfuncties

PASSION FOR SAFETY

Onderwerpen vervolg:

9. Fault exclusions.10. Onderhoud en inspectie;

- Visuele inspectie behuizing en pakking op breuk, veroudering;- Aansluitdraden vast in klemmen;- Bekabeling niet beschadigd of verouderd, goed afgeschermd;- Sensor goed uitgelijnd met te detecteren achtergrond;- Vervuiling, vocht in de behuizing;- Waterafscheider en drukregelaar controleren;- Filter jaarlijks reinigen en om de 2 jaren vervangen;- Reflector maandelijks reinigen.

11. Referentie naar originele operating instructions/datasheet.

H. Information for use veiligheidsfuncties

PASSION FOR SAFETY

16-5-2017

19

PROFESSIONEEL ADVIES

Bedankt voor uw interesse en deelname aan deze learnshop!

Mocht u vragen hebben over dit onderwerp of meer informatie wensen over onze adviesdiensten en trainingen, neem dan gerust contact met ons op:

• Stuur een e-mail naar info@denf.nl en wij nemen contact met u op. • Vul ons contactformulier in: klik hier• Bel ons via telefoonnummer: +31 (0)76 504 03 40.

Team D&F helpt u graag verder!

PASSION FOR SAFETY