Säkerhet Allmänt om maskinsäkerhet
Båda kan användas för att uppfylla maskindirektivets krav. SS-EN ISO 13849-1 använder PL och SS-EN 62061 använder SIL.
Information
Det finns två harmoniserade säkerhetsstandarder att jobba med för att uppfylla maskindirektivets krav vad gäller personsäkerhet kring maskiner.
SS-EN ISO 13849-1:2008/AC:2009 Säkerhetsrelaterade delar i styrsystem.
SS-EN 62061 A 1
Funktionssäkerhet hos säkerhetsrelaterade elektriska, elektroniska och programmerbara elektroniska säkerhetskritiska styrsystem.
Vad skiljer SS-EN ISO 13849-1 och SS-EN 62061?
SS-EN ISO 13849-1 omfattar styrsystem av alla energislag d.v.s. elektriska, elektroniska eller programmerbara styrningar såväl som hydrauliska, pneumatiska eller mekaniska styrkomponenter. SS-EN ISO 13849-1 innehåller även kvantitativa metoder för att bestämma lämplig feltålighetskategori. Dessutom kan man nu även använda standardkomponenter i sitt säkerhetssystem. I EN ISO 13849-1 betecknar man säkerhetsnivåerna med PL (Performance Level) klass a till e där e är högsta nivån.
EN 62061 är inte en designstandard utan till skillnad mot SS-EN ISO 13849-1 ger den en metodologi som tillverkare kan följa för att verifiera att den valda styrsystemstrukturen uppfyller de uppställda säkerhetskraven. I SS-EN 62061 betecknar man säkerhetsnivåerna med SIL (Safety Integrity Level) nivå 1-3 där 3 är den högsta nivån.Tillämpning av SIL innebär att man utför en systematisk granskning där fakta som t.ex. ett flödesschema, elschema och beräkningar tillsammans med riskbedömning och erfarenhetsgranskning ger ett mer kvalitativt säkerhetssystem.
Det är valfritt att använda sig av antingen SS-EN ISO 13849-1 eller SS-EN 62061, d.v.s. båda standarderna leder till samma resultat men på olika tillvägagångssätt. Man kan alltså välja vilken standard som passar bäst från fall till fall.
Vi på OEM Automatic rekommenderar våra kunder att arbeta efter SS-EN ISO 13849-1 då den standarden täcker in alla energislag.
Koppling mellan olika funktionsäkerhetsstandarder
Standarder för säkra styrsystem - SS-EN ISO 13849-
1 och SS-EN 62061
SS-EN 61508 SS-EN 62061 SS-EN ISO 13849-1
Industrisegment Allmänt Industriautomation Industriautomation
Säkerhetsfunktion Säkerhetsfunktion Säkerhetsrelaterade kontrollfunktioner (SCRF)
Säkerhetsfunktion Säkerhetsplattform Säkerhetsrelaterade
system
Säkerhetsrelaterade elektriska kontrollsystem (SRECS)
Säkerhetsrelaterade delar av kontrollsystem (SRP/CS)
Typ av produkter Komponenter System Komponenter/System
Riskreduceringsnivåer SIL 1-4 SIL 1-3 PL a-e
Kräver beräkning av hårdvarufelssannolikhet
Ja Ja Ja
Hårdvarufelssannolikhets- förkortning
PFD/PFH PFH MTFF
Standarden inkluderar en säkerhetslivscykel
Ja Ja Ja
Riskgrupper som hanteras av standarden
Personsäkerhet, miljö, ergonomi
Personsäkerhet Personsäkerhet
Risktyper som hanteras av standarden
Generell Risker direkt relaterade till en maskin eller en grupp av maskiner
Risker direkt relaterade till en maskin eller en grupp av maskiner Harmonisering under
EU-direktiv
Nej Ja, Maskindirektivet Ja, Maskindirektivet
Gränssnitt mellan SS-EN ISO 13849-1 och SS-EN 62061
Teknik SS-EN ISO 13849-1 SS-EN 62061
A Inte elektrisk som hydraulik Behandlas Behandlas inte
B Elektromekanisk som reläer, och/eller inte komplex elektronik
Begränsat till systemarkitektur och upp till PL e Alla arkitekturer och upp till SIL 3 C Komplex elektronik som
programmeras
Begränsat till systemarkitektur och upp till PL d Alla arkitekturer och upp till SIL 3 D A kombinerad med B Begränsat till systemarkitektur och upp till PL e
E C kombinerad med B Begränsat till systemarkitektur och upp till PL d Alla arkitekturer och upp till SIL 3 F C kombinerad med A,
eller C kombinerad med A eller B
Begränsat till systemarkitektur och upp till PL d Alla arkitekturer och upp till SIL 3 utom elektriska system
SS-EN ISO 13849-1:2008/AC:2009
SS-EN ISO 13849-1 ställer ett antal krav på att minimera sannolikheten för allvarliga fel i skyddsfunktionen.
SRP/CS (Safety Related Parts of Control System) Säkerhetsrelaterade delar i system.
MTTF (Mean Time to Dangerous Failure)
Komponenters tillförlitlighet ska beaktas för varje enskild kanal.
DC (Diagnostic Coverage)
Systemets feldetekteringsförmåga (feltålighetskategori 2, 3 och 4), kallas också för övervakning och gäller endast vid systemsäkerhet. DC uppskattas genom att bestämma systemets "feldetekteringsåtgärder" enligt tabeller i standarden.
CCF (Common Cause Failure)
Gäller endast vid systemsäkerhet (feltålighetskategori 2, 3 och 4). CCF uppskattas genom att värdera olika åtgärder mot gemensam felorsak i systemet enligt tabeller i standarden. I SS-EN ISO 13849-1 bedömer man vilken nivå på skyddet som behövs enligt nedan.
d
d
Konstruktionsprocessen för tillämpning av SS-EN ISO 13849-1
Konstruktionsprocessens olika steg. Den börjar med att identifiera nödvändiga skyddsfunktioner (t.ex. start-, stopp- och
återställningsfunktioner) och att bestämma dess egenskaper (t.ex. startkriterier, reaktionstid, cykeltid och larm) som den aktuella tillämpningen kräver.
Bestäm PL, konstruera SF och identifiera SRP/CS
Nästa steg i processen är att för varje vald (nödvändig) skyddsfunktion, som realiseras av SRP/CS bestämma erforderlig prestandanivå PL. Bestämningen av PL, är kopplas till riskbedömningens resultat och relaterar till nivån på riskreducerade åtgärder (bilaga A i SS-EN ISO 13849-1).
Fastställande av erforderlig prestandanivå (PL ) S= Skadans allvarlighetsgrad
S1= Reversibel skada (läkbar skada)
S2= Irreversibel skada på en eller flera personer eller dödsfall F= Frekvens och/eller exponeringstid för riskkällan F1= Sällan till mindre ofta och/eller kort exponeringstid F2= Ofta till kontinuerlig och/eller lång exponeringstid P= Möjlighet att undvika riskkällan eller begränsa skadan P1= Möjligt under vissa omständigheter
P2= Knappast möjligt 1. Startpunkt för utvärdering av en skyddsfunktions
bidrag till riskreduceringen
Samband mellan kategorier och PL
Feltålighetskategorierna B, 1, 2, 3 och 4 finns kvar men har fått mer preciserade egenskaper genom MTTF , DC och CCF.
r
d
MTTF för den kompletta kanalen
KategoriFeltålighetskrav (sammanfattning) Systemets uppträdande MTTF DC CCF
B Säkerhetsrelaterade delar utförs med standardkomponenter
- rätt dimensionerade
Fel kan leda till förlust av säkerhetsfunktionen
Låg till medium
Ingen Ej
relevant 1 Säkerhetsrelaterade delar utförs med väl
beprövade principer och säkerhetskomponenter - rätt dimensionerade - väl beprövade
Fel kan leda till förlust av säkerhetsfunktionen, men sannolikheten är lägre i kategori B
Hög Ingen Ej
relevant
2 System utförs med väl beprövade principer och är
- rätt dimensionerat
- enkelt och kontrollerat (lämpligt intervall)
Fel kan leda till förlust av säkerhetsfunktionen, mellan kontrollerna
Låg till hög Låg till medium Bilaga F
3 System utförs med väl beprövade principer och är
- rätt dimensionerat
- har säkerhet mot enkelfel t.ex.
dubblerat och övervakat (exklusive felackumulering)
- Vid enkelfel kvarstår säkerhetsfunktionen - Alla fel detekteras inte - Felackumulering kan leda till förlust av säkerhetsfunktionen
Låg till hög Låg till medium Bilaga F
4 System utförs med väl beprövade principer och är
- rätt dimensionerat
- har säkerhet mot enkelfel t.ex.
dubblerat och övervakat (inklusive felackumulering)
- Vid enkelfel kvarstår säkerhetsfunktionen
- Detektering av ackumulerade fel - Felen detekteras och hindrar förlust av säkerhetsfunktionen
Hög Hög inkl.
ackumulering av fel
Bilaga F
Beräkning av MTTF för komponenter utifrån B
B = medel antal cykler tills 10 % av komponenter har fått farliga fel. Omvandling från B (operationscykler) till MTTF (år).
MTTF = B /0,1 xn
Medel antal arbetscykler/år n = d x h x3600/t n = medelvärde antal operationer per år
d = genomsnittligt antal operationer per dag årligen h = genomsnittligt antal operationer per dag
t = genomsnittligt krav på den säkra funktionen i S (t.ex. 4 x i timmen = 90S) Används mest för pneumatiska och elektromekaniska komponenter.
Delberäkningsmetoden för att uppskatta MTTF för varje kanal
(MTTF , Mean time to dangerous failure) medeltal till farligt fel, se bilaga D Den allmänna formeln:
d avg
d 10d
10d 10d d
d 10d op
op op op cycle
op op op cycle
d d
d
MTTF respektive MTTF för varje komponent som bidrar till skyddsfunktionen
Den 1:a summan är för varje separat komponent, den 2:a summan är en ekvivalent, förenklas form, där alla identiska komponenter med samma MTTF är grupperade tillsammans
Om man har olika MTTF värde per kanal i en tvåkanalig krets, hanterar man det på två sätt:
Använd det lägsta värdet eller nedan formel.
Beteckning för MTTF för varje kanal Område för MTTF
Låg 3 år ≤ MTTF < 10 år
Medel 10 år ≤ MTTF < 30 år
Hög 30 år ≤ MTTF < 100 år
Feldetekteringsförmåga (DC) gäller endast för systemsäkerhet, feltålighetskategori 2, 3 och 4.
(DC, Diagnostic Coverage) feldetekteringsförmåga, se bilaga E.
För SRP/CS bestående av flera delar används ett medelvärde DC . DC kan bestämmas som förhållandet mellan felfrekvens för detekterade farliga fel och felfrekvens för totalt antal fel.
Beteckning för DC Område för DC
Ingen DC < 60%
Låg 60% ≤ DC < 90%
Medium 90% ≤ DC < 99%
Hög 99% ≤ DC
Exempel på DC-värden:
Dubbla övervakade kontaktorer ger DC 99 % Säkerhetsrelä ger DC 99 %
Två seriekopplade nyckelbrytare ger DC 0-60 % (0 om man kan öppna båda samtidigt) Egensäkra givare typ SensaGuard ger DC 99 %
Uppskattade värden för gemensam felorsak (CCF) gäller endast för systemsäkerhet, feltålighetskategori 2, 3 och 4 (CCF, Common Cause Failure ) gemensam felorsak, se bilaga F.
dl d
d
d
d d
d d d
avg avg
avg avg avg avg
Fel hos olika individer som resultat av enstaka händelser, där dessa inte är konsekvenser av varandra. För att det ska vara godkänt måste man få ihop minst 65 poäng. Poäng samlas genom att vidta åtgärder enligt nedan tabell. Godkänt värde är ≥65 (max. 100).
Åtgärd mot CCF Poäng
Separation/segregering Fysisk (två-kanalig) separation mellan signalledare 15
Diversitet Användning av olika tekniker eller fysiska principer 20
Konstruktion/tillämpning/erfarenhet Skydd mot överspänning mm 15
Väl beprövade komponenter 5
Bedömning/analys Är resultaten från feleffektsanalysen beaktade för att undvika fel av samma orsak 5
Kompetens/utbildning Förstå orsak och verkan av fel av samma orsak 5
Omgivning Förebyggande åtgärder mot föroreningar och EMC 25
Har kraven på tålighet mot t.ex. temperatur och vibrationer beaktats? 10
Sammanlagt (max) 100
Verifiering av att uppnådd PL matchar PL
För varje individuell kanal/skyddsfunktion verifieras att PL hos säkerhetsrelaterade delar matchar PL, d.v.s. PL ≥ PL och att specifierade krav uppfylls. Om så inte är fallet återförs arbetet till "konstruera SF och identifiera SRP/CS".
Validering
Validering innebär att systemet uppfyller tillämpningens funktions- och säkerhetskrav.
Relation PL-SIL
PL (SS-EN ISO 13849-1) SIL (SS-EN 61508-1)
a Ingen motsvarighet
b 1
c 1
d 2
e 3
OBS!
Vid sidan av sannolikhetsmedelvärdet för farliga fel per timme behövs även andra åtgärder för att uppnå PL .
Arkitekturer för olika kategorier Förutbestämd arkitektur kategori B
i : Förbindningar I: Indata, t.ex. givare L: Logik
O: Utdata, t.ex. kontaktorer
OBS! Varken i indata, utdata eller i logiken detekteras fel. MTTF är låg till medium. DC och CCF är inte relevant.
Förutbestämd arkitektur kategori 1 r
r
r
m
d
i : Förbindningar I: Indata, t.ex. givare L: Logik
O: Utdata, t.ex. kontaktorer
OBS! Varken i indata, utdata eller i logiken detekteras fel. MTTF är hög. DC och CCF är inte relevant.
Förutbestämd arkitektur kategori 2
i : Förbindningar
m: Övervakning
I: Indata, t.ex. givare
L: Logik
O: Utdata, t.ex. kontaktorer TE: Testutrustning
OTE: Utdata från TE
OBS! Säkerhetsfunktionen testas. MTTF är låg till hög. DC är låg till medium. Åtgärder mot CCF beaktas.
Förutbestämd arkitektur kategori 3
i : Förbindningar
I1, I2: Indata, t.ex. givare
L1, L2: Logik
O1, O2: Utdata, t.ex. kontaktorer
OBS! Enkelfelssäkerhet. Enkelfel detekteras. MTTF är låg till hög. DC är låg till medium. Åtgärder mot CCF beaktas.
Förutbestämd arkitektur kategori 4 m
d
m
d
m
d
i : Förbindningar I1, I2: Indata, t.ex. givare
L1, L2: Logik
O1, O2: Utdata, t.ex. kontaktorer
OBS! Enkelfelssäkerhet. Enkelfel detekteras före nästa cykel. MTTF är hög. DC är hög. Åtgärder mot CCF beaktas.
SS-EN 62061
Den eventuella skadans allvarlighetsgrad (Se)
Hur ofta och hur länge behöver man vistas i riskområdet (Fr) Sannolikhet att riskhändelsen inträffar (Pr)
Möjlighet att undvika eller begränsa skadan (Av)
Saker att ta hänsyn till när man arbetar med SS-EN 62061.
SRECS (Safety Related Electrical Control System)
Elektrisk del i en maskins styrsystem, fel i denna kan leda till farlig situation.
SRCF (Safety Related Control Function)
Säkerhetsfunktion med tilldelad SIL-nivå, upprätthåller säkert läge eller förhindrar olycka.
SFF (Safe Failure Fraction)
Feltolerans av hårdvaran. Lämnas av tillverkaren.
DC (Diagnostic Coverage)
Systemets feldetekteringsförmåga.
PFH (Probability of dangerous Failure per Hour)
Sannolikhet av farligt fel/timme. Komponenttillverkaren deklarerar SIL, PFH och SFF.
SS-EN 62061 Arbetsgång
Riskbedömning bestämning av SIL-nivå,
Metoden i SS-EN 62061 har 4 olika parametrar att ta hänsyn till:
Den eventuella skadans allvarlighetsgrad (Se)
Konsekvens Allvarlighetsgrad (Se)
Inte reversibel: död, förlust av öga/ögon eller arm(ar) 4
Inte reversibel: benbrott, förlust av finger (fingrar) 3
Reversibel: kräver läkarbesök 2
Reversibel: kräver första hjälpen 1
Hur ofta och hur länge behöver man vistas i riskområdet (Fr) m
d
D
D
Hur ofta man måste befinna sig i det riskfyllda området i de olika driftsmoderna (normal drift, rengöring, underhåll, felsökning)
Vilken typ av uppgifterna man genomför t.ex. manuell inmatning av material, parameterinställning etc.
Vid uppskattning av frekvens skall man ej ta hänsyn till säkerhetsfunktioner (SRECS), detta är nödvändigt då man behöver uppskatta alla risker som kan uppkomma om (SRECS) falerar.
Mänskligt beteende då riskfyllda situationer kan uppstå, t.ex. stress på grund av tidsbrist samt bristande information och kunskap om hur man skall hantera situationen.
Plötslig, snabb eller långsam hastighet då den riskfyllda händelsen uppstår.
Möjligheterna att ta sig bort från riskområdet, t.ex. utrymningsvägar.
Hur ofta krävs vistelse i riskområdet? ≥10 min. <10 min.
≤1 timme 5 5
>1 timme till <1 dag 5 4
>1 dag till <2 veckor 4 3
>2 veckor till <1 år 3 2
>1 år 2 1
Följande aspekter skall tas i beaktning vid bestämning av Fr:
Sannolikhet att riskhändelsen inträffar (Pr)
Sannolikhet att riskhändelsen inträffar Pr
Mycket stor 5
Trolig 4
Möjlig 3
Ovanlig 2
Försumbar 1
Följande aspekter skall tas i beaktning i samband med uppskattning av sannolikheten för en viss riskfylld händelse:
Möjlighet att undvika eller begränsa skadan (Av) Möjlighet att undvika eller begränsa skadan (Av)
Omöjligt 5
Sällan 3
Sannolikt 1
Då man uppskattar möjligheten att kunna undvika eller begränsa skadan skall man ta hänsyn till maskinens uppbyggnad samt dess tilltänkta användning, där bland annat följande aspekter är viktiga:
Nivå på sannolikhet för skada (Cl)
Skriv in poängen för varje risk i respektive kolumn för Fr, Pr och Av. Summan av dessa läggs in i Cl-kolumnen.
Pos Risk Se Fr Pr Av Cl
1 Krossning mellan maskin och robot 4 5 5 5 15
2 3
Cl = Fr + Pr + Av = 5 + 5 + 5 = 15
Enligt ovan tabell skulle SIL nivån hamna på SIL 3 på den aktuella SRCF i fråga.
Exempel på riskbedömning