SIL en PL in machinebouw: hoe past u dit toe? Deel 2
Praktijkvoorbeeld: nieuwe besturing met noodstopcircuit
Onlangs had een elektrotechnisch aannemer voor een bestaande sluis een nieuwe besturing met noodstopcircuit gebouwd. Het circuit bestond uit een noodstopknop met één verbreek- en één maakcontact, elk aangesloten op een fail-safe digitale ingang van een veiligheids-PLC (zie hieronder de middelste tekening). Het systeem werd door de aannemer doorgerekend met een softwaretool en zou volgens de aannemer makkelijk voldoen aan SIL 2.
Figuur 3
De auditor van de opdrachtgever keurde het bewuste noodstopcircuit af en stelde voor dat de aannemer het circuit zou uitvoeren volgens het linkerplaatje. Bij het linkerplaatje wordt elk verbreekcontact vanuit de fail-safe PLC gevoed met een eigen dynamisch signaal, waardoor behalve onderbrekingen en vreemde spanningen ook een onderlinge sluiting tussen de twee contacten vroegtijdig wordt gedetecteerd. De foutdiagnose is erg hoog en wordt door de fabrikant van de veiligheids-PLC gezet op een diagnostic coverage (DC, red.: dekkingsgraad van de foutanalyse) van groter dan 90 procent.
Het middelste schema van figuur 3 kent de volgende problemen ten opzichte van het linkerschema. Deze aansluitmethode is om meerdere redenen niet correct:
- De werking van het maakcontact berust op het arbeidsstroomprincipe.
- Een noodstopschakelaar heeft alleen mechanisch gedwongen verbreekcontacten. De juiste werking van maakcontacten is niet gegarandeerd.
- Bij een onderbreking in de kabel van het maakcontact wordt dit niet vroegtijdig gedetecteerd.
- Een sluiting naar de plus of naar de aarde aan de onderzijde van de schakelaar wordt pas gedetecteerd bij indrukking.
- Tot slot: de aansluitmethodiek komt niet overeen met de user manual van de fail-safe digitale ingangskaart en de applicatievoorbeelden die de fabrikant ter beschikking stelt.
Het middelste schema resulteert slechts in een éénkanalig noodstopcircuit. Het rechterschema is helemaal foutief, omdat hier beide noodstopknoppen uitgevoerd zijn met een maakcontact.
De aannemer bleef, ook na uitleg van de bovengenoemde problemen, bij hoog en bij laag volhouden dat de SIL rekensom klopt en dat de tweekanalige noodstop uit het middelste plaatje zonder problemen voor SIL 2 kan worden toegepast. Hij werd hierbij ondersteund door het ingenieursbureau dat de calculatie had uitgevoerd. Het is duidelijk dat de adviseur van het ingenieursbureau een zogenaamde ‘getallengoochelaar’ is, die de uitkomst van de SIL rekentool als ‘heilig’ verklaart.
Werken met veiligheids-PLC’s
Bij een veiligheids-PLC horen vaak meerdere gebruiks- en toepassingshandleidingen die door een Europese Notified Body, zoals TÜV Rheinland, IFA, AIB Vincotte, worden gecontroleerd op juistheid. Pas als de handleiding ook correct is, ontvangt de fabrikant op een component een EG-typegoedkeuring onder de Machinerichtlijn 2006/42/EG.
Bij onderzoek van de user manual van de digitale ingangskaart en de applicatie manual van de veiligheids-PLC bleek dat een tweekanalige noodstop werd afgedrukt als de linkertekening. Met toepassing van het middelste schema door de aannemer vervalt daarom de certificatie door de Notified Body van de fail-safe kaart. Hierdoor voldoet de oplossing niet aan het vereiste SIL-level, SIL 2.
Het bovenstaande voorbeeld is duidelijk een systematische ontwerpfout gebaseerd op een eigen interpretatie van veiligheid door de aannemer en het ingenieursbureau. Een opdrachtgever dient bij de audit van complexe veiligheidssystemen niet alleen te kijken naar de SIL berekening, maar ook naar de juiste toepassing van de componenten.
Dit artikel is in 2017 gepubliceerd in AutomatiePMA. Laatste update: maart 2021
Ook aan de slag met SIL en Pl?
Tijdens de cursus Machineveiligheid D: PL en SIL krijgt u de handvatten om besturingstechnische veiligheidsfuncties op te stellen die ook voldoen aan de eisen volgens de Machinerichtlijn. Bekijk de cursus: https://mikrocentrum.nl/nl/kwaliteitsmanagement-veiligheid/machineveiligheid/cursus-machineveiligheid-d-pl-en-sil/
Over de auteur
