Kennisblog: Het noodstopcircuit bepalen

Hoe bepaal je de veiligheidscategorie van de noodstop?

Hoe bepaal je of er een noodstopcircuit nodig is? Hoe bepaal je vervolgens aan welk veiligheidsniveau en aan welke stopcategorie die moet voldoen?

Regelmatig krijgen wij de opdracht van klanten om een kast te ontwerpen met een noodstoprelais. De eerste vraag die we dan stellen is aan welk veiligheidsniveau en welke stopcategorie de noodstop moet voldoen. Regelmatig krijgen we dan een antwoord als: “zorg maar dat het gewoon aan de Europese machinerichtlijn voldoet”. Hieruit blijkt dat veel mensen niet (goed) weten wat de procedure is om te bepalen welk veiligheidsniveau er voor de noodstop moet worden toegepast. Daarom zal ik proberen uit te leggen welke stappen je moet doorlopen om de juiste categorie, en daarmee het noodstopcircuit, te bepalen.

De nood-uit of noodstop is in Europa noodzakelijk op grond van de machinerichtlijn (2006/42/EG) en de volgens deze richtlijn geharmoniseerde normen: NEN-EN-ISO 12100, NEN-EN-IEC 60204-1 en NEN-EN-ISO 13850.

Voordat we de stappen doorlopen om tot het juiste noodstopcircuit te komen, is het goed om te weten wat de diverse normen bedoelen met ‘risico’ en ‘schade’.

Lichamelijk letsel of aantasting van de gezondheid

NEN-EN-ISO 12100 geeft je als ontwerper waardevolle informatie over de fundamentele begrippen en beginselen voor het veilig ontwerpen van machines om schade te voorkomen. De definitie van ‘schade’ gaat in deze norm met name over lichamelijk letsel of aantasting van de gezondheid. De allereerste stap die je moet zetten, voordat je een besturingskast gaat ontwerpen, is het maken van een risicobeoordeling. Vraag jezelf dus af of de machine of installatie zodanig wordt ontworpen en gebouwd dat deze bediend, afgesteld en onderhouden kan worden, zonder dat iemand aan risico’s wordt blootgesteld bij het verrichten van handelingen onder de vastgestelde omstandigheden.

Schade aan milieu, natuur, gebouwen, machines en omgeving

Het begrip ‘schade’ wordt breder gedefinieerd dan ‘lichamelijk letsel’ of ‘aantasting van de gezondheid’. Het is daarom noodzakelijk om tijdens een risicobeoordeling ook rekening te houden met andere schadelijke uitwerkingen. Denk dan aan schade aan milieu, dure procesinstallaties, machines, gebouwen of omgeving.

HAZOP-methode

Bij procesveiligheid moet je rekening houden met onder andere ATEX 153 voor explosieveiligheid, Explosieveiligheidsdocument, Risicobeoordeling voor installatie, QRA-processen (Quantitative Risk Assessment) en HAZOP-processen. Tijdens de ontwerpfase van procesinstallaties wordt meestal de HAZOP-methode (Hazard and Operability study) toegepast. De HAZOP-methode is zeer geschikt voor de evaluatie van procesgerelateerde risico’s. De methode omvat een gestructureerde en systematische manier om potentiële risico’s te identificeren en te waarborgen in alle delen van het proces. Het is de essentiële basis voor procesveiligheid en is vastgelegd in een internationale norm (NEN-EN-IEC 61882). Het stappenplan hieronder is dan ook gebaseerd op de HAZOP-methode.

Stapsgewijs het noodstopcircuit bepalen

Voer de volgende stappen uit om tot het juiste noodstopcircuit te komen:

• Stap 1: Inventariseer de risico’s van de machine of installatie.
• Stap 2: Inventariseer de gangbare levensfasen van de machines of installatieonderdelen.
• Stap 3: Maak een risicobeoordeling.
• Stap 4: Ontwerp of kies de juiste SIL/PL oplossingen om risico’s te reduceren.
• Stap 5: Herhaal de risicobeoordeling.

Stap 1: Inventariseer de risico’s van de machine of installatie

Gebruik je boerenverstand en inventariseer daarmee eerst welke mogelijke gevaren er al direct zichtbaar zijn. Probeer deze eerst mechanisch op te lossen, door bijvoorbeeld afschermkappen te plaatsen bij draaiende of bewegende delen, hete oppervlakten, etc.

Maak daarnaast tijdens de risicoanalyse gebruik van een checklist waarin vrijwel alle gevaren worden benoemd. Zo moet je bij machineveiligheid rekening houden met de CE markering, Richtlijn Arbeidsmiddelen, Elektrische Veiligheid, Veiligheidsbesturingen SIL/PL en het Warenwetbesluit drukapparatuur.

Stap 2: Inventariseer de gangbare levensfasen van de machines of installatieonderdelen

Bij deze stap van de risicobeoordeling bekijk je alle levensfasen van een machine. Inventariseer de gangbare levensfasen van gelijke machines binnen de branche. Een machine heeft de volgende levensfasen:

• transport;
• samenbouw, installatie en ingebruikneming;
• afstellen, instellen/programmeren en/of proceswijziging;
• in bedrijf zijn;
• reiniging en onderhoud;
• opsporen en opheffen van defecten;
• buiten bedrijf stellen en ontmantelen.

Stap 3: Maak een risicobeoordeling

Maak vervolgens een risicobeoordeling, benoem bijvoorbeeld:

• mechanische gevaren (knellen, pletten, snijden, knippen, steken, stoten, etc.);
• elektrische gevaren (aanrakingsgevaar spanningvoerende delen, kortsluiting, etc.);
• thermische gevaren (hete of koude oppervlakken);
• risico’s door foute bediening (onbedoeld starten);
• risico’s door defecten in de machine;
• hydraulische en pneumatisch risico’s.

NEN-EN-ISO 12100 zet duidelijk uiteen hoe je een risicobeoordeling op moet bouwen en welke stappen er in een volledige beoordeling thuishoren. Je vindt in deze norm een aantal handige tabellen die helpen dit proces te faciliteren.

Uit de risicobeoordeling komen mogelijk een aantal gevaren die niet mechanisch op te lossen zijn. Hiervoor moeten veiligheidscircuits worden bedacht. Dat kan door een sensor op een hekwerk te plaatsen, die de bewegende delen uitschakelt bij het openen van het hek. Je kunt ook een sensor op een inspectieluik plaatsen, die bij het openen de machine uitschakelt of een dubbelhandse bedieningen aanbrengen, enzovoorts. Ook de lokale handbediende noodstops moeten aan een bepaalde veiligheidscategorie voldoen. Welk veiligheidscategorie dat is, bepaal je aan de hand van de wegingsfactor in de risicograaf. De uitkomst van de risicograaf heb je weer nodig bij stap 4.

Risicograaf

NEN-EN-ISO 13849-1
Om het benodigde PL te bepalen, moet je rekening houden met verschillende criteria: de omvang van de schade, de frequentie en verblijfsduur alsmede mogelijkheden ter voorkoming van het gevaar. Gebruik onderstaande tabel om tot het juiste PL te komen.

Parameters risicograaf

S: ernst van het letsel

• S1 – licht letsel (doorgaans omkeerbaar)
• S2 – ernstig letsel, tot en met overlijden (doorgaans onomkeerbaar)

F: frequentie en/of duur van blootstelling aan gevaar

• F1 – zelden tot vaker en/of van korte duur
• F2 – vaak tot continu en/of van lange duur

P: mogelijkheid voor het vermijden van het gevaar

• P1 – mogelijk onder bepaalde omstandigheden
• P2 – nauwelijks mogelijk

Stap 4: Bepalen van de juiste SIL/PL oplossingen om risico’s te reduceren

NEN-EN-IEC 62061 (SIL) beschrijft de functionele veiligheidsaspecten van elektrische, elektronische en programmeerbare besturingssystemen. NEN-EN-ISO 13849-1 (PL) beschrijft de uitvoering van de veiligheidsgerelateerde componenten van besturingen. Bij de specificatie van de functionele vereiste gaat het erom de betreffende veiligheidsfuncties gedetailleerd te beschrijven. Om dit te waarborgen, moet je de cruciale interfaces met andere besturingsfuncties en foutreacties vastleggen. Daarnaast dien je het Safety Integrity Level (SIL) of het Performance Level (PL) bepalen. Tegenwoordig zijn er ook veiligheids-PLC’s in de handel die je mag gebruiken voor je noodstopcircuits. Echter moeten dan beproefde, gecertificeerde softwareblokken worden toegepast, waarvan je de functionaliteit zelf niet kan aanpassen om fouten of falen te voorkomen.

Dat alle onderdelen afzonderlijk een bepaalde SIL-classificatie hebben, wil niet per definitie zeggen dat de hele schakeling automatisch aan die SIL-klasse voldoet. De faalkans moet eerst worden berekend met alle componenten van het veiligheidscircuit. Pas hierna kan je zeggen welke SIL-classificatie de schakeling heeft.

Stopcategorieën

Er zijn verschillende stopcategorieën. Soms kan het gevaar opleveren als je plotseling de voeding van een machine of installatie geheel uitschakelt. In dat geval moet je de machine juist gecontroleerd en in stappen uitschakelen. Het is belangrijk om dit in het ontwerp mee te nemen.

In de vorige versie van de norm NEN-EN-IEC 60204-1 worden al drie ‘stopcategorieën’ gedefinieerd:

• Stopcategorie 0: stoppen van bewegingen door meteen de voeding af te schakelen;
• Stopcategorie 1: gecontroleerd tot stilstand brengen (aftoeren, remmen, enzovoort) en daarna de voeding afschakelen;
• Stop categorie 2: gecontroleerd tot stilstand brengen waarbij de energie beschikbaar mag blijven.

Veiligheidscategorie

Aan de hand van het performance level dat uit de risicograaf komt (zie stap 3), bepaal je het ontwerp voor de veiligheidscategorie van de noodstop. Gebruik daarvoor onderstaande tabel.

De NEN-EN-IEC 60204-1 zegt onder andere:
Nooduitschakeling wordt bereikt doordat elektromechanische schakeltoestellen de relevante voeding van de machine onderbreken. Dat activeert een stopfunctie van stopcategorie 0 van machineaandrijvingen die met deze inkomende voeding zijn verbonden. Wanneer bij een machine de stopfunctie in categorie 0 niet mogelijk is, kunnen andere maatregelen noodzakelijk zijn. Denk dan aan basisbescherming, zodat nooduitschakeling niet nodig is. De kleur ROOD moet worden gebruikt voor noodstopschakelaars en toestellen voor nooduitschakeling. Noodstoptoestellen moeten gemakkelijk bereikbaar zijn en moeten zijn aangebracht op elke plaats vanwaar de inwerkingstelling van een noodstop vereist kan zijn. Een noodstop moet altijd hardwarematig worden uitgevoerd en mag niet via een logische module of PLC lopen (met uitzondering van een veiligheids-PLC).

Voorbeelden

Hoe voer je de schakelingen uit van verschillende performance levels binnen stopcategorie 0? Aan de hand van een aantal voorbeelden, leg ik je dat hieronder uit.

Veiligheidscategorie 1

Veiligheidscategorie 1

Eénkanalig noodstopcircuit met bedienorganen. Deze besturing herkent kabelbreuken en aardlekken in het besturingscircuit.

Veiligheidscategorie 2

Veiligheidscategorie 2

Eénkanalig noodstopcircuit met bedienorganen. Deze besturing herkent kabelbreuken en aardlekken in het besturingscircuit.

Veiligheidscategorie 3

Veiligheidscategorie 3

Tweekanalige noodstopschakeling met bedienorganen. Deze besturing herkent kabelbreuken en aardlekken in het besturingscircuit. Dwarssluitingen tussen de besturingscircuits worden niet herkend. De veiligheidsfunctie wordt gegarandeerd bij een enkele fout. Sommige, maar niet alle, fouten worden gedetecteerd. Een opeenhoping van niet gedetecteerde fouten kan tot het verlies van de veiligheidsfunctie leiden.

Veiligheidscategorie 4

Veiligheidscategorie 4

Tweekanalige noodstopschakeling met bedienorganen. Deze besturing herkent kabelbreuken en aardlekken in de besturingscircuits. Dwarssluitingen tussen de besturingscircuits worden ook herkend. De veiligheidsfunctie wordt te allen tijde gegarandeerd. Fouten dienen tijdig te worden gedetecteerd zodat er geen verlies van de veiligheidsfunctie optreedt.

Let op!

Vergeet de nul van het veiligheidscircuit niet aan aarde te leggen, anders heb je een zwevend circuit en wordt een aardfout niet gedetecteerd; met alle risico’s van dien.

Stap 5: Herhaal de risicobeoordeling

De controleslag is de laatste stap van de risicobeoordeling: zijn de risico’s met de juiste maatregelen afdoende gereduceerd. Hoofdstuk 6 van de norm NEN-EN-ISO 12100 geeft een algemene aanpak voor het reduceren van risico’s. Dit vormt een deels technische invulling van de essentiële veiligheids- en gezondheidseisen van bijlage I van de Machinerichtlijn. Hoofdstuk 6 geeft de basisbepalingen voor een veilige machine. Dit loopt van vaste afschermingen en tweehandenbediening, tot de gebruiksaanwijzing. Het gehele palet aan beschermende maatregelen komt hierin aan bod. Daar waar zaken meer uitleg nodig hebben, staat een verwijzing naar een specifieke norm over dat onderwerp. NEN-EN-ISO 12100 is de basis voor het ontwerp. Als je deze norm toepast, doorloop je automatisch het proces dat de Machinerichtlijn aan de ontwerper voorschrijft. Is er meer informatie nodig, dan kan je gebruikmaken van meer specifieke normen.

Wanneer er een hoge bedrijfszekerheid wordt geëist, moeten alle componenten (sensoren), veiligheidsrelais en actuatoren worden meegenomen in de SIL-berekening. Dit vergt enig specialisme. Heb je hier zelf geen of weinig ervaring mee? Dan is het aan te raden een deskundig bureau in te schakelen. Zij zullen dan, samen met de ontwerper van de machine of installatie, een goede en gedegen risicoanalyse maken, die aan alle eisen van de machinerichtlijn voldoet. Uiteindelijk wordt de analyse gebruikt om de installatie of machine CE te certificeren.

Bijkomende tip

Vooropgesteld: er zijn bureaus die de risicobeoordeling uit handen nemen. Er komt veel bij kijken wil je de beoordeling zelf uitvoeren. Ga je toch zelf aan de slag? Pak dan de ‘Praktijkgids Risicobeoordeling in het kader van Machinerichtlijn’ erbij. Deze gids is geschreven door Ir. Paul Hoogerkamp (lid van diverse normcommissies) en uitgegeven door de NEN. De gids biedt houvast om tot een gedegen risicobeoordeling te komen en zo het juiste noodstopcircuit mee te nemen in je ontwerp.

Bron : voormalig engineering manager John Meijer