Konstruktion af et sikkerhedsrelateret styresystem

Relaterede dokumenter
Love og regler for maskiner

Robot nr: Har deltaget: Oplysning om robotcellen: produktion og virkemåde; kort forklaring eller henvisning.

DC-Motor Controller. Brugermanual

Funktionssikre maskiner Aps. Anvendelse. Standarder

Maskindirektivet og Remote Access. Arbejdstilsynet Dau konference 2015 Arbejdsmiljøfagligt Center Erik Lund Lauridsen

STYRING FOR STOKERFYR

EN A1 Placering og fastgørelse af aftastere/afbrydere

Indholdsfortegnelse :

Motor til modulerende styring AME 435

SPEED-Commander Frekvensomformer. Program Nr. 05 Ver. 5.17a. Fortløbende en-vejs positionering

LV systemet. Ved tryk på drift startes/stoppes stinkskabet. Lysdiode lyser ved drift. Går stinkskabet i lav energitilstand blinker grøn lysdiode.

Dansk Mink Papir. Teknisk brugermanual

Svane Electronic Universal timer med 2 relæer og 18 funktioner hver 1

Online-datablad. UE410-XM3 Flexi Classic SIKKERHEDSSTYRINGER

Betjeningsanvisning til model KCVR9NE Installationsanvisninger:

Impac230. Beskrivelse. Egenskaber. Impac 230

Vind og regnmelder WRA 501

Installationsmanual SuperSail Marine Alarm Marine Alarm Wireless

NMT - /40, 60, 80 NMT ER - /40, 60, 80 EGHN SMART - /60

Anpartsselskabet BG Teknik Århus Grenåvej 148 DK-8240 Risskov Tel Fax

teknisk standard kv AC Station Kontrolanlæg Stationskontrol Stationsenhed ETS Rev. 0

OSIRIS KW VINDMØLLE SEPEEG

Hold 6 Tirsdag. Kristian Krøier, Jacob Christiansen & Thomas Duerlund Jensen Fag: ELA Lærer: Jan Petersen (JPe) Dato for aflevering: 29.

BLBd

KRAVSPECIFIKATIONER: ARBEJDSMILJØKRAV TIL MASKINER OG TEKNISKE HJÆLPEMIDLER

Temperaturmåler. Klaus Jørgensen. Itet. 1a. Klaus Jørgensen & Ole Rud. Odense Tekniskskole. Allegade 79 Odense C /

SPIDER Quick guide. DATO: August 2017 FORHANDLER: WASYS A/S. Langebjergvænget Roskilde

LET TILGÆNGELIG ENERGI OVERALT

Overvågning af punktsug, URANOS LOCAL EXHAUST GUARD

Beskyttelsesforanstaltninger på maskiner

Europaudvalget 2005 KOM (2005) 0457 Bilag 2 Offentligt

Proces Styring STF-1 til BalTec Radial Nittemaskine med RC 20 STYRING

Måleværdiprocessor for behovsstyret ventilation AQP63.1

STRA-01 til kølebafler

Alarmsystem. INSTALLATIONSVEJLEDNING Kun for kvalificerede teknikere

Online-datablad. UE410-XU3T0 Flexi Classic SIKKERHEDSSTYRINGER

IDAP manual Analog modul

Øvelse i Feed forward af 1. ordens system med PLC

SeeTool - KNX løsninger til

Svane Electronic Universal timer med 4 relæer og et valg af 18 funktioner hver 1. 4 kanals timer med 18 funktioner

Bruger manual AGAM kontrolboks

Original betjeningsvejledning 3.2. Læs den grundigt, før maskinen tages i brug! Version: 09/2011, v Order No.:

NETLON. KV2_2b beskrivelse. Dette dokument indeholder en beskrivelse af en KV2 klasseværelsesstyring fra Netlon.

SPEED-Commander frekvensomformer. Program nr. 04 Software version 5.12c. Synkron Kontrol

Motorer til modulerende styring

Online-datablad. T4000-1RBA01 T4000 Standard PRODUKTPORTEFØLJE

Digital positioner type RE 3446

SmartSlice. Systemkonfiguration

Tillæg 1 til Eksempelsamlingen om brandsikring af byggeri

Introduktion Til Functional Safety

Vejledning til varmevekslerstyring SILVER C RX, RECOnomic str. 100/120, RECOsorptic str

Fluke ScopeMeter 190 serien

Brugervenlig og kommunikativ!

Funktions-data Fabriksindstilling Variabel Indstilling

MEDDELELSE TIL MEDLEMMERNE

At-VEJLEDNING. Kranførercertifikat. At-vejledning B

Der er ikke tale om regler og krav, men om inspirationsmateriale, som I kan tilpasse efter behov.

PAR-555-SYS Konstanttrykregulering

kv AC Station

Kommunal Rottebekæmpelse tal og tendenser

Procesrør Strømforsyning. Counter. Tank Pumpe. Figur 1 forsøgsopstilling af energimåling med hastighedsregulering af pumpe.

Svane Electronic Timer universal med 8 funktioner 1

UniLock System 10. Manual til T550 Secure Radiomodtager og håndsender. Version 2.0 Revision

PLC - programmering af sekventielt projekt

DANSK LYS: Fremtidens bæredygtige solcelledrevne LED systemdesign i øjenhøjde. 31. maj 2014

PLC reguleringsteknik

Digital tæller Programerbar for MIX magnetisk målebånd

KRAV TIL INSTALLEREDE ANLÆG

Læs denne vejledning først!

230V Elektrisk Vibrator Motor NEA

Online-datablad. UE410-MU4T5 Flexi Classic SIKKERHEDSSTYRINGER

Calyma Ventilationsanlæg BYDÆKKER - TYPE mm NM 24A-SR CKE-01 ver. 1.01B

BRUGERMANUAL OG MONTERINGSVEJLEDNING

KONSTANT REGN 6 BETJENINGSVEJLEDNING VERSION 18 DATO UDLÆSNING I DISPLAY. - Indtrækshastighed. - Total vandingstid

Automatik. ControlMaster PLUS. Tekniske data. Climatix 600. Xenta 300. Uden styreenhed

APPLICATION SHEET Juli

DAB+ adaptor. Kære kunde,

VentilationAlarm EP1 ES 966

4 / DESITEK A/S CAW

Online-datablad. IN30-E0306K IN3000 Direct BERØRINGSFRIE SIKKERHEDSAFBRYDERE

Mulig, bemærk effektforbrug. Funktionsdata Moment Min. 1 Nm

KVA Vind kw Husstandsvindmølle

Brugsmanual Stama el-multitruck

MX2 Applikationsguide

SeeTool - KNX løsninger til

Projekt. HF-forstærker.

En tolkning af EU's "Oversvømmelsesdirektiv" med fokus på oversvømmelser i byer

enige i, at der er et godt psykisk arbejdsmiljø. For begge enige i, at arbejdsmiljøet er godt. Hovedparten af sikkerhedsrepræsentanterne

Side 1. Installationsvejledning for. systemet. Version 1 December 2004

DCC digital dekoder til magnetiske produkter

Lovtidende A. Bekendtgørelse om udstyr i skibe 1)

Mono EZstrip Family. Unik (MIP) Maintenance In Place! Videoer på EZstrip pumper og Muncher på:

Der er derfor, for at alle kan sende, kun tilladt, at sende intermitterende. Altså korte pakker. ( Dette skal dog verificeres!!)

Regal A/S Industrivej Roskilde Tlf: Fax: regal@regal.dk

KVA Vind kw Husstandsvindmølle

Opgavesæt udviklet til kursus Grundlæggende elektronik på mobile maskiner 2. Udviklet i 2015

DANSK / EUROPÆISK STANDARD DS/EN 1838

betjeningsvejledning

Online-datablad. IN40-D0101K IN4000 Standard BERØRINGSFRIE SIKKERHEDSAFBRYDERE

Transkript:

Konstruktion af et sikkerhedsrelateret styresystem Bachelorprojekt forår 2016 Forfatter: Kasper Sørensen Studienr.: E20131015 Skole: Fredericia Maskinmesterskole Normalsider: 24 Anslag: 57.948 Afleveringsdato: 27. maj 2016

Tro og love erklæring Det erklæres herved på tro og love, at undertegnede egenhændigt og selvstændigt har udformet denne rapport. Alle citater i teksten er markeret som sådanne, og rapporten eller væsentlige dele af den har ikke tidligere været fremlagt i anden bedømmelsessammenhæng. Kasper Sørensen 2

Abstract This report examines how to construct a safety related control system on Xervo A/S s newly developed lifeboat system Solas. The purpose of constructing this control system is to achieve a risk reduction in relation to the use of the system. The elementary requirements for the control system resides in the machinery directive. To make sure that the control system is constructed in accordance with the machinery directive it is constructed in agreement with the harmonized standard ISO 13849-1, which gives the right to presumption of conformity with the machinery directive. In this relation there is conducted a risk assessment over the source of hazard overspeed. The result of the risk assessment shows that the required performance level is d. Based on the required performance level the control system is constructed according to the selected safety category 3 as a redundant two channel structure, which means that the safety function is still functional in the event of a failure in one of the two channels. Finally, the control system is verified in relation to the achieved performance-level and the requirements of the selected safety category 3. The verification shows that the control system has received the performance level d and observes the requirements according to a control system with safety category 3. Furthermore, the control system has not created any new risks. The total conclusion is that the control system decreases the risk and there is therefore no longer any risk for the users of the Solas System. 3

Indholdsfortegnelse ABSTRACT... 3 1 INDLEDNING... 5 1.1 PROBLEMFORMULERING... 5 2 AFGRÆNSNING... 6 3 REDEGØRENDE AFSNIT FOR FORSTÅELSE AF SOLAS SYSTEMET... 8 4 TEORI/METODE... 9 4.1 MASKINDIREKTIVETS BILAG 1... 9 4.2 STRATEGI FOR RISIKOREDUKTION... 12 5 ANALYSE... 25 5.1 STEP 1... 25 5.2 FASTLÆGGELSE AF KRÆVET PL-NIVEAU... 32 5.3 KONSTRUKTION AF SIKKERHEDSFUNKTIONEN OVERSPEED... 34 5.4 DIMENSIONERING AF REDUNDANT ENERGIFORSYNING... 46 5.5 EVALUERING AF DET OPNÅEDE PL-NIVEAU... 47 5.6 VERIFIKATION AF DET OPNÅEDE PL-NIVEAU... 48 5.7 VALIDERING AF SIKKERHEDSFUNKTIONEN... 48 6 KONKLUSION... 49 7 PERSPEKTIVERING... 49 8 KILDER... 50 9 LITTERATURLISTE... 51 9.1 BØGER, STANDARDER OG LOVGIVNING... 51 9.2 LINKS... 51 4

1 Indledning Xervo A/S, der ligesom SH Automation A/S, er et datterselskab til SH Group A/S har udviklet et nyt redningsbådssystem, Solas. I forbindelse med udviklingen af Solas systemet har Xervo identificeret en farekilde, som de har døbt overspeed. Farekilden vil opstå ved forekomst af en forhøjet nedfiringshastighed, hvor nedbremsningen af redningsbåden foregår igennem hydraulikmotoren på det hydrauliske wirespil. Ved en af Xervo s interne systemtest blev det påvist, at nedbremsning igennem hydraulikmotoren forårsager kavitation, hvilket resulterer i, at redningsbåden vil falde i frit fald mod havoverfladen uden nogen form for nedbremsning. Farekilden vil blive udløst ved nedfiring af redningsbåden, hvor nedbremsningen sker i wirespillets hydraulikmotor samt ved manglende energiforsyning til systemet. Xervo har derfor bedt SH Group om at udvikle en bremseanordning, der skal nedbremse det hydrauliske wirespil i tilfælde af en nedfiringshastighed, der overstiger 1,5 m/s. SH Group har udviklet bremseanordningen, der i store træk består af en skivebremse, bremsekaliber og et hydrauliksystem bestående af hydraulikakkumulatorer og hydrauliske styre ventiler. Da bremseanordningen kræver et elektrisk styresystem, er SH Automation blevet bedt om at udarbejde dette. Xervo ønsker, at systemet skal konstrueres i overensstemmelse med maskindirektivet og derfor tager denne rapport udgangspunkt i konstruktionen af styresystemet med baggrund i ISO 13849-1. 1.1 Problemformulering Hvordan kan der konstrueres et sikkerhedsrelateret styresystem, der medfører en risikonedsættelse af farekilden overspeed således, at der ikke længere er en potentiel fare for brugerne af Solas systemet. 5

2 Afgrænsning Denne rapport fokuserer på konstruktionen af det sikkerhedsrelaterede styresystem til sikkerhedsfunktionen overspeed på baggrund af Xervo s farekildeidentifikation. Rapporten kommer derfor ikke yderligere ind på risikovurderingen af det komplette Solas system, men for at skabe overblik over fremgangsmåden beskrives hele risikonedsættelsesprocessen. Ved konstruktion af styresystemet til sikkerhedsfunktionen afgrænses der fra at konstruere og dimensionere styresystemet efter andre relevante standarder end ISO 13849-1. Der afgrænses yderligere fra konstruktionen og udvælgelsen af mekaniske og hydrauliske komponenter samt ventilstyringsmodul til bremseanordningen, da dette bliver dimensioneret og konstrueret af SH Group. Da det er et ønske fra Xervo, at styresystemet bliver udarbejdet med udgangspunkt i maskindirektivet, vil der ikke yderligere blive undersøgt hvilke specifikke regler, der er gældende for skibe, som er klassificeret af klassifikationsselskaber udpeget af søfartsstyrelsen. Der afgrænses fra en udarbejdelse af en udtømmende og fyldestgørende dokumentation for det sikkerhedsrelaterede styresystem i forbindelse med valideringen af styresystemet samt dokumentationen for den sikkerhedsrelateret anvendelsessoftware, da omfanget heraf ellers ville udgøre en væsentlig del af denne rapports indhold. 6

Billede af Solas redningsbådssystem Billede 1 - Solas redningsbådssystem 1 Billede af hydraulisk wirespil, el-tavle, hydraulic power unit m.m. Billede 2 - Solas systemets hydrauliske anlæg, el-tavle m.m. 2 1 2 www.xervo.dk www.xervo.dk 7

3 Redegørende afsnit for forståelse af Solas systemet Solas systemet består af en davit med tilhørende hydraulisk wirespil, der tjener det formål at søsætte redningsbåden (se billede 1 på side 7). Systemet er designet efter Xervo s boat-in-a-box princip, hvor redningsbåden, hydraulikanlægget samt det elektriske styresystem er placeret under et cover og dermed skånet for miljø belastninger. Coveret er direkte fastgjort til daviten, mens båden er fastgjort til det hydrauliske wire spil. I vedligeholds- og træningssituationer bliver systemet betjent med en fast fortrådet fjernbetjening, mens søsætningen i en nødsituation aktiveres fra redningsbåden, hvorved hydrauliksystemets akkumulatorer har den nødvendige energi oplagret til at bringe redningsbåden ud over siden på skibet. Når redningsbåden er vandbåren frakobles wirerne automatisk af et elektrisk system, der får et aktiveringssignal fra en oscillerende viskositetsmåler, der måler ændringen i viskositet fra luft til vand og derved opfanger, hvornår redningsbåden er vandbåren. Som det også er nævnt i indledningen består bremseanordningen af en skivebremse, bremsekaliber og et hydraulisksystem bestående af hydraulikakkumulatorer og hydrauliske styreventiler og fungerer på den måde, at bremsekaliberen aktiveres ved faldende olietryk og derved bremser det hydrauliske wirespil. Bremsekaliberen er hydraulisk forbundet med systemets hydraulikakkumulator igennem en PVG hydraulikventil, der regulerer bremsekaliberens hydraulikforsyning. PVG hydraulikventilen styres af et elektrisk ventilstyringsmodul, Wandfluh SD6. Ventilstyringsmodulet regulerer PVG hydraulikventilen med en puls vidde moduleret udgangsspænding på 6-18V og 0-250Hz. Ventilstyringsmodulet reguleres af et analogt 4-20mA signal fra PLC en. 3 3 Se bilag 30 8

4 Teori/Metode I afsnit 4.1 præsenteres de krav, der er gældende for konstruktion af sikkerhedsfunktionen overspeed og som fremgår af maskindirektivets bilag 1 Generelle principper for konstruktion og fremstilling af maskiner. Efterfølgende i afsnit 4.2 præsenteres den benyttede strategi for opnåelse af risikoreduktion ved anvendelse af et sikkerhedsrelateret styresystem. 4.1 Maskindirektivets bilag 1 I maskindirektivets bilag 1 er de generelle principper for konstruktion og fremstilling af maskiner beskrevet. Herunder præsenteres de punkter, der er gældende ved konstruktion af styresystemet til sikkerhedsfunktionen overspeed. I afsnit 1.2.1 Styresystemers sikkerhed og pålidelighed er der fremsat krav om, at: Styresystemerne skal være konstrueret og fremstillet således, at der ikke kan opstå farlige situationer 4 Til opfyldelse af maskindirektivets bilag 1 afsnit 1.2.1 anvendes den harmoniserede standard ISO 13849-1, hvorved der må formodes en overensstemmelse med maskindirektivet jf. Maskindirektivets artikel 7 pkt. 2: En maskine fremstillet i overensstemmelse med en harmoniseret standard, hvis reference er blevet offentliggjort i Den Europæiske Unions Tidende, formodes at være i overensstemmelse med de væsentlige sikkerheds- og sundhedskrav, der er omfattet af den pågældende standard. 5 Der skal ligeledes foretages nødvendige foranstaltninger for at imødegå kravene i maskindirektivets bilag 1 afsnit 1.2.6 og afsnit 4.1.2.6, som begge omhandler kravene til, at et styresystem indtager en sikker tilstand ved svigt i energitilførslen. I afsnit 1.2.6 Svigt i energitilførslen fremsættes krav om: Afbrydelse, genetablering efter afbrydelse eller variation, opad eller nedad, i energitilførslen til maskinen må ikke skabe farlige situationer. 6 4 Se bilag 2 pkt. 1 5 Se bilag 2 pkt. 2 og bilag 24 6 Se bilag 2 pkt. 3 9

I forlængelse af afsnit 1.2.6 gælder afsnit 4.1.2.6 Styring af maskinens bevægelser Pkt. c: Maskinen skal være konstrueret og fremstillet på en sådan måde, at byrden ikke kan løsgøres på farlig måde eller falde utilsigtet i frit fald, hvis der opstår delvis eller totalt energisvigt 7 For at styresystemet i denne rapport bliver konstrueret i overensstemmelse med kravene om at opretholde en sikker tilstand ved svigt af energitilførslen, vil der i afsnit 5.4 blive konstrueret en foranstaltning, som vil opfylde kravene herom. 7 Se bilag 2 pkt. 4 10

Illustration af strategi for risikoreduktion Figur 1 - Oversigt over risikovurdering/risikonedsættelse 8 8 www.jokabsafety.dk 11

4.2 Strategi for risikoreduktion 4.2.1 Step 1 - risikovurdering I maskindirektivets bilag 1 pkt. 1 9 er der krav om, at der skal udarbejdes en risikovurdering ved konstruktion af en maskine. Risikovurderingen skal udarbejdes af maskinbyggeren eller dennes repræsentant og som det ses i step 1 på figur 1 side 11 (er også udklippet og vist på billede 3 nederst på denne side), består risikovurderingen af 4 punkter: 1) fastlæggelse af maskinens begrænsninger 2) risikoidentifikation 3) risikoskøn og 4) risikoevaluering. Figur 1 er opbygget på baggrund af i ISO 13849-1 s figur 1. 10 Risikovurderingen har til formål at fastlægge den enkelte maskines farekilder og potentielle risici, som kan medføre skade på personer, miljøet eller maskinen selv igennem hele dennes levetid. Resultatet af risikovurderingsaktiviteterne skal bidrage til udarbejdelsen af en strategi for, hvordan maskinen kan konstrueres således, at maskinens brugere ikke udsættes for de identificerede farekilder. Billede 3 - Step 1 9 Se bilag 2 pkt. 5 10 Se bilag 3 12

Nedenfor beskrives de 4 punkter, der indgår i step 1. 1) I risikovurderingens punkt 1 fastlægges maskinens begrænsninger ved at beskrive, hvad maskinen må bruges til og hvordan den må bruges, herunder fx maskinens forskellige driftstilstande samt tidsbegrænsninger i form af komponenters levetid og serviceintervaller. Billede 4 - Step 1 pkt. 1 2) Risikovurderingens punkt 2 omhandler risikoidentifikation. Risikokildeidentifikationen indeholder en analyse af alle maskinens dele og processer, der kan udgøre en risici for personer, miljø eller for maskinen selv. Farekilderne kan bestå af både permanent tilstedeværende farer, men også af farer, der kan opstå uventet som fx ved komponentsvigt. Billede 5 - Step 1 pkt. 2 13

3) Risikovurderingens punkt 3 omhandler risikoskønnet. Risikoskøn består af en analyse af farekilden, hvorved risikoen skønnes ved hjælp af tre faktorer 1) skadens alvorlighed 2) eksponeringstiden/frekvensen for, at skaden sker samt 3) muligheden for at begrænse/afværge skaden. Formålet med risikoskønnet er til brug ved fastlæggelsen af det krævede PL-niveau (Performance Level) i step 3 punkt 2. Billede 6 - Step 1 pkt. 3 4) Den sidste del af risikovurderingen er fjerde fase, risikoevaluering. Risikoevalueringen har til formål at vurdere, hvorvidt der skal etableres foranstaltninger til nedsættelse af den risiko, der er analyseret i risikoskønnet i step 1 punkt 3. Billede 7 - Step 1 pkt. 4 14

4.2.2 Step 2 3 trins metoden Er risikoniveauet ikke reduceret tilstrækkeligt, anvendes step 2 i figur 1. (Step 2 er vist på billede 8 nederst på denne side) Teksten konstruktion, beskyttelsesudstyr, informere i step 2 refererer til maskindirektivets bilag 1 punkt 1.1.2.b, der beskriver 3-trins metoden og som tilstræber mest mulig iboende sikkerhed. 11 Det betyder, at det decideret er et lovkrav, at maskiner konstrueres med størst mulig indbygget sikkerhed som første prioritet. Kan risikonedsættelsen ikke praktiseres med indbygget sikkerhed anvendes supplerende sikkerhedsforanstaltninger som anden prioritet og som tredje prioritet anvendes information såsom brugermanualer. Det sikkerhedsrelaterede styresystem i denne rapport bliver derfor konstrueret som en beskyttelsesforanstaltning med det formål at nedbringe risikoen ved farekilden overspeed, som Xervo ikke har kunne fjerne igennem design- eller konstruktionsændringer. Udklip af step 2 fra figur 1 Strategi for risikoreduktion Billede 8 - Udklip af step 2 fra figur 1 11 Se bilag 2 pkt. 6 15

4.2.3 Step 3 - Konstruktion af et sikkerhedsrelateret styresystem Da bremseanordningen er afhængig af et styresystem anvendes step 3 på figur 1. Step 3 er illustreret på billede 9 nedenfor og som det kan ses er den opbygget af 6 punkter på baggrund af ISO 13849-1 s figur 3 Iterativ proces til konstruktion af sikkerhedsrelaterede dele af styresystemer. 12 De 6 punkter bliver gennemgået herefter. Udklip af step 3 fra figur 1 Strategi for risikoreduktion Billede 9 Udklip af step 3 fra figur 1 12 Se bilag 4 16

Figur til bestemmelse af krævet PL-niveau Figur 2 Bestemmelse af krævet PL-niveau 13 13 www.jokabsafety.dk 17

1) Første punkt er identificering af sikkerhedsfunktioner, hvilket fører tilbage til Xervo s identificering af farekilden overspeed. Farekilden kan ikke fjernes, men der kan konstrueres en sikkerhedsfunktion, der har til formål at nedbringe sandsynligheden for en farlig situation. Ved dette første punkt udarbejdes også en specifikation af sikkerhedsfunktionen. Denne specifikation beskriver sikkerhedsfunktionens karakteristik og de egenskaber, der kræves af sikkerhedsfunktionen. Specifikationen har til formål at angive de præcise hensigter med sikkerhedsfunktionen, herunder hvordan sikkerhedsfunktionen skal opføre sig ved fejl samt hvordan, hvornår og hvor hurtigt den skal gøre det. Billede 10 - Step 3 pkt. 1 2) Punkt 2 er fastlæggelse af det krævede performance level. Fastlæggelsen af det krævede PL-niveau er resultatet af risikovurderingen og det bliver her fastlagt, hvor stor en risikonedsættelse styresystemet skal bidrage med. Det skal forstås sådan, at jo højere risikonedsættelse, der kræves af sikkerhedsfunktionen desto højere bliver det krævede PLniveau. Til vurderingen af det krævede PL-niveau anvendes risikoparametrene S, F og P, som fremgår af figur 2 på side 17. 14 Billede 11 - Step 3 pkt. 2 14 DS-håndbog 116.2.0, side 191 (ISO 13849-1 Anneks A) 18

Figur til valg af sikkerhedskategori Figur 3 - Valg af sikkerhedskategori 15 15 www.jokabsafety.dk 19

3) Ved punkt 3 skal styresystemet konstrueres. Her inddrages specifikationen for sikkerhedsfunktionen fra første punkt i step 3 samt det krævede PL-niveau fra punkt 2 i step 3. Ud fra det krævede PL-niveau anvendes figur 3 16 (figur 3 er vist på side 19) til bestemmelse af den sikkerhedskategori, som styresystemet skal konstrueres efter. Formålet med de forskellige sikkerhedskategorier er, at jo højere risikonedsættelse der kræves af styresystemet desto mere skal sikkerheden i styresystemet være opnået på baggrund af dets struktur frem for de enkelte komponenters MTTF d (Mean Time To Dangerous Failure). Billede 12 - Step 3 pkt. 3 Som det fremgår af figur 3 på side 19, er der 3 faktorer, der er bestemmende for at opnå det krævede PL-niveau. De 3 faktorer er den valgte sikkerhedskategori, diagnostisk dækning (herefter nævnt DC - Diagnostic Coverage, hvilket betyder styresystemets evne til at detektere fejl i sig selv) og MTTF d. Sammenhængen mellem disse 3 faktorer skal forstås på den måde, at jo højere risikonedsættelse, der kræves af styresystemet og dermed højere krævet PL-niveau, jo større sikkerhed skal der være for, at styresystemet indtager en sikker tilstand ved fejl, hvorved risikoen for tab af sikkerhedsfunktionen mindskes. For hver enkelt af de 5 sikkerhedskategorier findes der i ISO 13849-1 pkt. 6.2.3-6.2.7 17 en udpeget arkitektur, der hver især stiller krav til styresystemets opførsel ved en fejltilstand samt specifikke krav til konstruktionen af styresystemet. 18 De udpegede arkitekturer har til formål at sikre, at 16 DS-håndbog 116.2.0 (ISO 13849-1), side 139 fig. 5 17 Se bilag 5 18 DS-håndbog 116.2.0 (ISO 13849-1), side 161 20

styresystemet bliver konstrueret på en sådan måde, at strukturen i styresystemet virker som den grundlæggende sikkerhed. På figur 3 (illustreret på side 19) indikerer farverne på de lodrette søjler kravet til den samlede MTTF d (Mean Time To Dangerous Failure) for hver kanal i styresystemet. Inddelingen af tidsintervallerne fremgår af tabel 5 i ISO 13849-1 og er gengivet nederst på figur 3 på side 19. 19 For at lette forståelsen af figur 3 bringes herunder et eksempel, hvor der tages udgangspunkt i et krævet PL-niveau d. På figur 3 på side 19 findes det krævede PL-niveau d på figurens y-akse. Området for PL-niveau d forskydes til højre indtil de lodrette farvede søjler rammes. Fra de lodrette farvede søjler følges området lodret ned, hvor der kan aflæses sikkerhedskategori 3 samt DC (Diagnostic Coverage) lav og middel. Det betyder, at styresystemet derfor både kan konstrueres efter kategori 3 med DC lav eller kategori 3 med DC middel. Hvis det vælges at konstruere styresystemet efter DC lav så kræver det, at MTTF d (Mean Time To Dangerous Failure) for hver kanal er høj, hvilket kan ses på den lodrette søjles grønne farve. Hvis det derimod vælges at konstruere styresystemet efter kategori 3 med DC middel så kræver det, at MTTF d for hver kanal er middel. Indflydelsen på MTTF d afhænger udelukkende af de anvendte komponenters individuelle MTTF d. Efter valget af sikkerhedskategori konstrueres styresystemet på baggrund af de specifikke krav, der stilles til de enkelte sikkerhedskategorier i ISO 13849-1 afsnit 6.2.3-6.2.7. 20 Da der i styresystemet i denne rapport anvendes en PLC, stilles der i ISO 13849-1 afsnit 4.6 21 yderligere sikkerhedskrav hertil. De sikkerhedskrav der er gældende for styresystemet i denne rapport bliver præsenteret i afsnit 5.3.1. 19 DS-håndbog 116.2.0 (ISO 13849-1), side 133 tabel 5 20 DS-håndbog 116.2.0 (ISO 13849-1), side 163-173 21 DS-håndbog 116.2.0 (ISO 13849-1), side 141 21

4) Fjerde punkt i processen er beregning/evaluering af det opnåede PL-niveau. Formålet med dette punkt er at beregne resultatet af den opnåede risikonedsættelse. Resultatet af den opnåede risikonedsættelse bruges til verificering af styresystemet i processens efterfølgende punkt 5 i step 3. Resultatet af risikonedsættelsen findes ved beregning af den samlede MTTF d for hver kanal, som der i denne rapport kan gøres ved anvendelse af fremgangsmåderne i ISO 13849-1 anneks A til H, J og K 22. Disse annekser præsenterer fremgangs- og beregningsmetoder i forbindelse med konstruktion og evaluering af et sikkerhedsrelateret styresystem. Disse fremgangsmåder kan anvendes da styresystemet i denne rapport er konstrueret i overensstemmelse med de udpegede arkitekturer (sikkerhedskategorier) jf. ISO 13849-1 s pkt. 6. 23 Billede 13 - Step 3 pkt. 4 22 DS-håndbog 116.2.0 (ISO 13849-1), side 187-263 23 DS-håndbog 116.2.0 (ISO 13849-1), side 131 linje 13 22

5) Punkt 5 har til formål at verificere, hvorvidt styresystemet overholder den krævede risikonedsættelse. Dette gøres ved at sammenligne resultatet fra punkt 4 på side 22 (det beregnede PL-niveau) og det krævede PL-niveau. Det opnåede PLniveau skal være større end eller lig med det krævede PLniveau. 24 Billede 14 - Step 3 pkt. 5 6) Punkt 6 er sidste punkt i step 3 og det er her, at styresystemet skal valideres. Formålet med valideringen er at bekræfte styresystemets overensstemmelse med de krav, der er beskrevet i specifikationen for styresystemet, under første punkt i dette afsnit. Yderligere har valideringen til formål at sikre styresystemets opfyldelse af de krav, der sættes til konstruktionen af styresystemet som følge af den valgte sikkerhedskategori. Som det er beskrevet i afgrænsningen vil der i denne rapport ikke blive udarbejdet en udtømmende validering. Billede 15 - Step 3 pkt. 6 24 DS-håndbog 116.2.0 (ISO13849-1), side 151 afsnit 4.7 23

Xervo s farekildeidentifikation Figur 4 Farekildeidentifikation 24

5 Analyse Dette afsnit er opbygget efter den iterative proces, som er beskrevet i det foregående afsnit 4.2 og illustreret på figur 1 side 11. Da Xervo i forvejen har identificeret farekilden overspeed, starter dette analyseafsnit derfor i step 1 mellem punkt 2 og 3 på figur 1, med en præsentation af Xervo s farekildeidentifikation. Med udgangspunkt i farekildeidentifikationen udarbejdes et risikoskøn, der senere skal danne grundlag for det krævede PL-niveau. På baggrund af det krævede PL-niveau vælges, hvilken sikkerhedskategori styresystemet skal konstrueres efter. Afslutningsvis beregnes og evalueres det opnåede PL-niveau og slutteligt gennemgås en verificering af styresystemet, der fastlægger om styresystemet lever op til det krævede PL-niveau samt de specifikke krav, der stilles til styresystemet i forbindelse med den valgte sikkerhedskategori. 5.1 Step 1 5.1.1 Farekildeidentifikation Se Xervo s farekildeidentifikation illustreret på figur 4 på side 24. Xervo har i forbindelse med farekildeidentifikationen defineret en maksimum hastighed på 1,5 m/s. Ydermere er Xervo s vurdering, at det krævede PL-niveau skal være d. Dette vil blive undersøgt nærmere i de efterfølgende afsnit. 5.1.2 Specifikation af sikkerhedsfunktionen Sikkerhedsfunktionen overspeed skal overvåge nedfiringshastigheden og aktivere nedbremsningen af det hydrauliske wirespil, hvis redningsbåden bliver nedfiret med en hastighed, der er højere end 1,5 m/s, jf. figur 4 på side 24. Aktivering af nedbremsningen skal foregå igennem en reguleringssløjfe, der skal være i stand til at regulere nedbremsningen således, at når der detekteres en overspeed så aktiveres nedbremsningen øjeblikkeligt og med en effektivitet, der ikke medfører en vedvarende acceleration af redningsbåden. Reguleringssløjfen skal regulere nedbremsningen således, at der fastholdes en nedfiringshastighed svarende til den ønskede maksimum nedfiringshastighed på 1,5 m/s jf. figur 4 på side 24. Sikkerhedsfunktionen skal påbegynde nedbremsningen af det hydrauliske wirespil øjeblikkeligt ved detektering af en overspeed. 25

5.1.3 Risikoskøn Skadens alvorlighed Skadens alvorlighed skal vurderes i forhold til det værst tænkelige scenarie. I tilfælde af frit fald vil Solas systemet være udsat for de største kraftpåvirkninger i det tilfælde, hvor redningsbåden starter sit frie fald ved det højest mulige punkt, som ifølge Xervo er 35 meter, når systemet anvendes på et skib. 25 Med udgangspunkt i teorien om, at et legeme i frit fald kun har jordens tiltrækningskraft som Billede 16 - Udklip fra figur 2 påvirkende kraft, så vil hastigheden som redningsbåden opnår i det frie fald, uden hensyntagen til vindmodstanden kunne beregnes som vist på bilag 7. På bilag 7 er det ud fra den teoretisk opnåede hastighed beregnet, at personerne i redningsbåden vil blive udsat for en kraftpåvirkning på 5,34 gange gravitationen svarerende til, at en person der vejer 90 kg bliver udsat for en kraftpåvirkning svarende til, at personen vejer 480 kg. Med en kraftpåvirkning af denne størrelse må det formodes, at der er stor sandsynlighed for at personerne i redningsbåden vil pådrage sig irreversible skader i form af brækkede lemmer og i værste tilfælde skader med døden til følge. Ydermere er der stor risiko for en skade på redningsbådens konstruktion, da denne ifølge salgsordren 26 kun er testet i forhold til Maritime Safety Comittee (MSC) 81(70) Revised recommendation on testing of life-saving appliances 27. I MSC 81(70) afsnit 6.4.3 beskrives et krav om konstruktionstest af redningsbåde ved et frit fald på 3 meter. Efter frit falds testen skal redningsbåden være fuldt funktionsdygtig og uden skader på konstruktionen. 25 Se bilag 6 26 Se bilag 8 27 Se bilag 9 26

Solas systemet har en frit falds højde på 35 meter, hvorfor det må påregnes, at redningsbåden med stor sandsynlighed vil pådrage sig en skade på konstruktionen. Yderligere er redningsbåden ikke konstrueret som en frit falds båd, hvorfor redningsbådens vægtfordeling vil kunne forårsage, at redningsbåden vil rotere om sin egen akse i løbet af det frie fald med sandsynlighed for, at redningsbåden lander på siden, hvilket vil forværre skaderne på redningsbådens konstruktion. En skade på redningsbådens konstruktion vil medføre, at båden ikke er i stand til at udføre sin tillidsfulde oprindelige funktion og er derfor absolut ikke ønskværdigt, da konsekvensen er, at der ikke nødvendigvis er plads til alle skibets besætningsmedlemmer i de øvrige redningsmidler. Det kan derfor i værste tilfælde forårsage en massiv ulykke med mange tabte menneskeliv til følge. Eksponeringstiden Frekvensen for hvor ofte der vil ske fejl, som medfører et frit fald af redningsbåden er direkte afhængig af hvor ofte og hvor længe systemet bruges. Som udgangspunkt skal Solas systemet anvendes med den minimums frekvens, som er beskrevet i Kapitel 3 i Bekendtgørelse om Meddelelser fra Søfarts-styrelsen B, teknisk forskrift om skibes bygning og udstyr m.v. 28 Billede 17 - Udklip fra figur 2 Kapitel 3 regel 19 Nødtræning og øvelser beskriver hvor ofte, at der kræves anvendelse af Solas systemet i forbindelse med træning og øvelser, mens regel 20 Beredskab, vedligeholdelse og eftersyn punkt 6 og 7 beskriver de lov mæssige krav til, hvor ofte og hvordan der skal foretages eftersyn og vedligeholdelse af redningsbådssystemer. 28 www.retsinformation.dk 27

Regel 19 beskriver i pkt. 3.2 hvor ofte, at der skal praktiseres øvelser, der vil inkludere anvendelsen af Solas systemet: Hvert medlem af besætningen skal deltage i mindst én bådøvelse og brandøvelse hver måned 29 Dette betyder, at Solas systemet som minimum skal anvendes én gang månedligt i forbindelse med øvelse og træning. Tidsforbruget hertil antages at andrage 15 minutter. Regel 20 Pkt. 6 Ugentlige eftersyn Ved det ugentlige eftersyn kræves det jf. pkt. 6.2 at: Alle motorer i redningsbåde og mand-overbordbåde skal startes og køre i mindst tre minutter 30 Da konstruktionen af Solas systemet er udført på en sådan måde, at redningsbåden i sin stuvede position er omgivet af coveret, vil det af hensyn til udstødningsgassen fra redningsbådens motor ikke være hensigtsmæssigt, at lade motoren køre i 3 minutter, som krævet. Dette kan medføre risiko for kulilte forgiftning af mandskabet, der betjener motoren inde i redningsbåden. Der kan med udgangspunkt i risikoen for kulilte forgiftning derfor argumenteres for, at redningsbåden ved det ugentlige eftersyn/afprøvning af motoren, skal flyttes fra sin stuvede position hvorved det hydrauliske wirespil vil blive anvendt, med risikoen for frit fald til følge. Det vurderes, at Solas systemet ved ovenstående procedure er i brug i en samlet tid på 10 minutter pr. uge. Der kræves ligeledes jf. pkt. 6.3 at Redningsbåde på lastskibe, undtagen redningsbåde udsat ved frit fald, skal i det omfang vejret tillader det, bevæges fra deres stuvede position uden personer om bord for at demonstrere, at udsætningsmidlerne fungerer tilfredsstillende 31 Med ovennævnte argumentation for at flytte redningsbåden fra dens stuvede position ved afprøvning af motoren kan det diskuteres, hvorvidt pkt. 6.3 i praksis vil blive udført. Da det fremgår som et egentlig krav vil proceduren principielt skulle udføres ugentligt. Som det fremgår af pkt. 6.3 skal det 29 Meddelelser fra søfartsstyrelsen kapitel 3 regel 19 pkt. 3.2 30 Meddelelser fra søfartsstyrelsen kapitel 3 regel 20 pkt. 6.2 31 Meddelelser fra søfartsstyrelsen kapitel 3 regel 20 pkt. 6.3 28

demonstreres, at udsætningsmidlerne fungerer tilfredsstillende. For demonstration af dette vil det kræve, at båden søsættes for bl.a. at teste bådens frigørelses anordning. Det skønnes, at ovenstående procedure vil medføre en brug af Solas systemet i en varighed på i alt 10 minutter. Regel 20 Pkt. 7 Månedlige eftersyn Ved det månedlige eftersyn er der i pkt. 7.1 et enkelt krav, som medfører betjening af redningsbådssystemet: Alle redningsbåde, undtagen redningsbåde udsat ved frit fald, skal svinges ud over skibssiden uden, at der er personer om bord, hvis vejr- og havforholdene tillader det. 32 Kravet om, at redningsbåden skal svinges ud over skibssiden virker umiddelbart enslydende med kravet i pkt. 6.3 om, at redningsbåde skal bevæges fra deres stuvede position. Kravet kan dog også tolkes på den måde, at redningsbåden skal svinges ud over skibssiden ved hjælp af de hydrauliske akkumulatorer, som anvendes i tilfælde af sort skib. Sidstnævnte tolkning vil medføre en skønnet anvendelse af Solas systemet i 10 minutter. Den samlede anvendelsestid pr. måned for Solas systemet vil på baggrund af ovenstående være: t #$%&$'&()& = (t,-. 0.2 4,33 uger/mdr) + (t,-.. 0.@ 4,33 uger/mdr) + t,-..a.b + t,-.. @.2 t #$%&$'&()& = 10 4,33 + 10 4,33 + 10 + 15 = 111,6 min./mdr. 2 timer/mdr. 32 Meddelelser fra søfartsstyrelsen kapitel 3 regel 20 pkt. 7.1 29

Muligheden for at undgå faren eller begrænse skaden Muligheden for at afværge risikoen for, at redningsbåden kommer i frit fald er ikke tilstedeværende. Ligeledes vil personerne i redningsbåden heller ikke have mulighed for at flygte ved redningsbådens frie fald. Samlet set er der derfor på trods af korrekte udførte vedligeholdelsesarbejder begrænsede muligheder for at undgå redningsbådens frie fald, da risikoen altid vil være til stede Billede 18 - Udklip fra figur 2 5.1.4 Risikoevaluering Som afslutning af step 1 i figur 1 (side 11) evalueres den risiko, der er forbundet med redningsbådens frie fald. Med udgangspunkt i risikoskønnet vurderer jeg, at risikoniveauet ikke er acceptabelt, da konsekvenserne ved et frit fald i værste tilfælde kan have en dødelig udgang. Det er derfor nødvendigt at etablere en foranstaltning i form af et sikkerhedsrelateret styresystem, der skal bidrage til den samlede risikonedsættelse. Som det kan ses på billede 19 nedenfor, kan der svares nej til om risikoniveauet er reduceret tilstrækkeligt. I step 2 svares der ja til, at løsningen er afhængig af et styresystem. Vi ledes derfor videre til step 3 på figur 1 på side 11. Billede 19 - Udklip fra figur 1 30

Figur 5 Krævet PL-niveau for sikkerhedsfunktionen overspeed 31

På baggrund af Xervo s farekildeidentifikation (figur 4 side 24) er sikkerhedsfunktionen identificeret. Derfor starter næste afsnit i step 3 punkt 2 (figur 1 side 11) med fastlæggelse af krævet PL-niveau (Performance Level). 5.2 Fastlæggelse af krævet PL-niveau Fastlæggelsen af det krævede PL-niveau tager udgangspunkt i det risikoskøn, som er udarbejdet i risikoskønnet (afsnit 5.1.3). Fastsættelsen af risikoparametrene S, F og P er illustreret på figur 5 på side 31 og er som følger: 5.2.1 S Skadens alvorlighed: Som det fremgår af afsnit 7 pkt. 3 vil personer, der udsættes for frit fald kunne pådrage sig irreversible skader i form af brækkede lemmer og i værste tilfælde skader med døden til følge. I ISO 13849-1 Anneks A klassificeres S1 som skader med karakter af slag og/eller flænger uden komplikationer og S2 som skader med amputation eller død til følge. Med afsæt i risikoskønnet blev det vurderet, at der var stor sandsynlighed for, at personerne ville pådrage sig store skader hvormed der argumenteres for, at S2 vælges. 5.2.2 F Frekvens og/eller eksponeringstid for faren: Valget mellem F1 og F2 bør i følge ISO 13849-1 Anneks A pkt. A2.2 vurderes ud fra det tidsrum, at Solas systemet bliver anvendt. F2 bør vælges, hvis personer hyppigt eller kontinuerligt er udsat for faren. Med afsæt i risikoskønnet blev den månedlige anvendelsestid skønnet til 2 timer/mdr. På baggrund heraf vælges F1. 5.2.3 P Mulighed for at afværge faren eller begrænse skaden: Som det er beskrevet i risikoskønnet (afsnit 5.1.3 side 26) er der begrænsede muligheder for at undgå redningsbådens frie fald, da risikoen altid vil være til stede og dermed vil det ikke være muligt for mandskabet at forudse redningsbådens frie fald. Ifølge ISO 13849-1 Anneks A punkt A.2.3 bør P2 vælges, hvis der næsten ikke er nogen mulighed for at undgå faren. På baggrund heraf vælges P2. Ved indsættelse af risikoparametrene S, F og P i figur 5 på side 31, kan det krævede PL-niveau fastlægges til PL r = d. 32

Figur 6 - Valg af sikkerhedskategori 33

5.3 Konstruktion af sikkerhedsfunktionen overspeed I dette afsnit vælges den sikkerhedskategori som styresystemet vil blive konstrueret efter. Derudover præsenteres de krav, der er gældende for den valgte sikkerhedskategori. På baggrund af disse krav og det krævede PL-niveau (Performance Level) konstrueres styresystemet. Valget af komponenter er begrænset til SH Automations sædvanlige indkøbsrammer. 5.3.1 Valg af sikkerhedskategori I det foregående afsnit 5.2 blev det krævede PL-niveau fastlagt til PL r = d og ved indsættelse i figur 6 på side 33 kan det ses, at det krævede PL-niveau kan opnås ved at konstruere styresystemet efter kategori 3, enten med DC lav (Diagnostic Coverage) eller med DC middel. Styresystemet i denne rapport bliver konstrueret efter kategori 3 med DC middel, hvilket kræver en samlet MTTF d (Mean Time To Dangerous Failure) på middel for hver kanal. Som det fremgår af figur 6 (side 33), vil det også kunne lade sig gøre at konstruere styresystemet efter kategori 3 DC lav, hvilket vil kræve en samlet MTTF d høj for hver kanal, men det vil i praksis være svært at opnå, da det kræver, at hver enkelt komponent skal have en ekstremt høj MTTF d for at opnå en samlet MTTF d høj i hver enkelt kanal. Ved kategori 3 skal styresystemet opfylde de nedenfor oplistede krav jf. ISO 13849-1 pkt. 6.2.6: For kategori 3 gælder samme krav som kravene ifølge 6.2.3 til kategori B. Velgennemprøvede sikkerhedsprincipper i overensstemmelse med 6.2.4 skal også følges 33 De grundlæggende krav til kategori 3 skal altså findes i ISO 13849-1 pkt. 6.2.3 og 6.2.4, som relaterer til kategori B samt kategori 1. For overskuelighedens skyld oplistes kravene nedenfor. Kravene til kategori B er, at styresystemet som minimum skal konstrueres, fremstilles og samles ud fra grundlæggende sikkerhedsprincipper. De grundlæggende sikkerhedsprincipper har til formål at imødegå de forventede driftsbelastninger, fx det forventede antal cyklusser, indflydelsen fra det omgivne miljø herunder temperatur samt andre relevante påvirkninger som fx vibrationer. 34 33 DS-håndbog 116.2.0 (ISO 13849-1), side 169 34 DS-håndbog 116.2.0 (ISO13849-1), side 163 34

De grundlæggende sikkerhedsprincipper fremgår af ISO 13849-2 Anneks D tabel D.1 35 og indeholder overordnet set en liste, der skal sikre, at styresystemet er håndværksmæssigt korrekt udført. Kravene til anvendelse af velgennemprøvede sikkerhedsprincipper i overensstemmelse med ISO 13849-1 pkt. 6.2.4 fremgår af ISO 13849-2 Anneks D pkt. D.2 36 og omhandler i korte træk de tekniske foranstaltninger, der skal tages højde for ved konstruktion af systemet fx valg af komponenter med en specificeret tilstand ved svigt. Foruden de ovenstående grundlæggende krav er der i ISO 13849-1 pkt. 6.2.6 beskrevet hvilke yderligere krav, der er til et styresystem i kategori 3. Disse krav er oplistet nedenfor. Styresystemet skal konstrueres sådan, at en fejl i en sikkerhedsrelateret del ikke medfører tab af sikkerhedsfunktionen. Der skal ligeledes træffes foranstaltninger mod fælles svigt med samme årsag (forkortes CCF Common Cause Failure). Foranstaltningerne mod CCF kvantificeres ved brug af tabel F.1 i ISO 13849-1 anneks F. 37 For at opfylde ovenstående krav bliver styresystemet konstrueret jf. den udpeget arkitektur for sikkerhedskategori 3, som er en redundant struktur, der vil sikre at en fejl i styresystemet ikke medfører tab af sikkerhedsfunktionen. Den udpegede arkitektur for sikkerhedskategori 3 er vist nedenfor 38. Figur 7 - Udpeget arkitektur for kategori 3 39 35 Se bilag 10 pkt. 1 og 2 36 Se bilag 12 pkt. 1 og 2 37 DS-håndbog 116.2.0 (ISO 13849-1), side 225 38 DS-håndbog 116.2.0 (ISO 13849-1), side 171 figur 11 39 Se bilag 5 figur 11 35

5.3.2 Hastighedsmåler For at overholde kravene til sikkerhedskategori 3 udføres måling af nedfiringshastigheden ved to redundante kanaler. Som en foranstaltning mod CCF (Common Cause Failure) udføres de to kanaler i praksis med fysisk adskillelse mellem ledningernes føringsveje, hvilket reducerer risikoen for kabelfejl på begge kanaler samtidigt. Desuden skal der ved valg af hastighedsmåler indarbejdes endnu en foranstaltning mod CCF for at opfylde kravet om diversitet. Kravet om diversitet indebærer, at der anvendes forskellige teknologier fx brug af komponenter med forskelligt fabrikat. 40 Dette krav efterkommes ved, at der i kanal 1 anvendes en induktiv sensor af typen Turck BI2 og der i kanal 2 anvendes en absolut encoder af typen TWK TRT/S3. Den induktive sensor udmærker sig ved at være godkendt til brug i systemer, der kræver SIL 2 (Safety Integrity Level jf. IEC 61508-1) svarende til performance level D. 41 Sensoren skifter mellem at forbruge to strømværdier. Strømværdierne afhænger af om den udsættes for en aftastning eller ikke. Når sensoren udsættes for en aftastning, vil strømforbruget være 1,2mA og når den ikke udsættes for en aftastning vil strømforbruget være 2,1mA. Sensorens måleområde er 0-5kHz og som det fremgår af databladet er der ved denne aftaster en måleusikkerhed på ±2 %. 42 Absolut encoderen, der anvendes i kanal 2, er valgt på grund af dens stabilitet og egenskaber. Udgangssignalet i denne absolut encoder er unikt for hver omdrejning hvilket giver mulighed for udlæsning af et hastighedssignal samt en positionsreference. Positionsreferencen bliver brugt i forbindelse med ophaling af redningsbåden, hvor den skal mindske hastigheden på wirespillet når redningsbåden nærmer sig coveret. Denne funktion bliver ikke bearbejdet yderligere i denne rapport. Encoderen har et udgangssignal på 2 bytes svarende til 16 bit eller et word. Encoderens måleområde er på 0-1000 omdr./min. med en opløsning på 4096 steps/omdrejning. Encoderens måleusikkerhed er jf. databladet ± 0,2 %. 43 40 DS-håndbog 116.2.0 (ISO 13849-1), side 225 Anneks F tabel F.1 41 DS-håndbog 116.2.0 (ISO 13849-1), side 131 tabel 4 42 Se bilag 12 43 Se bilag 13 pkt. 2 36

5.3.3 PLC Til overvågning af nedfiringshastigheden anvendes en Siemens ET 200SP PLC. Denne PLC har indbygget fail safe I/O moduler, der omfatter et internt to-kanalsystem. Dette betyder, at der i PLC en er to processorer, som overvåger hinanden og deres individuelle indgangs- og udgangskredse via et sikkerhedsrelateret profibus kommunikations modul. I tilfælde af fejl sørger PLC en for at bevare en sikker tilstand og opretholder derved sikkerhedsfunktionen. 44 Billede 20 - Siemens ET 200SP PLC På grund af PLC ens virkemåde indeholder den redundante midler, der sikrer, at en fejl ikke medfører tab af sikkerhedsfunktionen og opfylder derved kravet herom jf. ISO 13849-1 pkt. 6.2.1: For kategori 3 og 4 betyder det, at ikke alle dele nødvendigvis skal være fysisk redundante, men at der er redundante midler til at sikre, at en fejl ikke kan føre til tab af sikkerhedsfunktionen. I ISO 13849-1 pkt. 4.6 skelnes der imellem sikkerhedsrelateret indlejret software og sikkerhedsrelateret anvendelsessoftware. Med den sikkerhedsrelateret indlejret software menes der den firmware/systemsoftware som PLC en er fremstillet med. Kravene til sikkerhedsrelateret indlejret software i ISO 13849-1 pkt. 4.6.2 opfyldes ved anvendelse af Siemens ET 200SP PLC en, da denne PLC opfylder kravene til SIL 3 (Safety Integrity Level 3) svarende til PL-niveau e. 45 44 Se bilag 14 pkt. 1 45 Se bilag 14 pkt. 2 37

Illustration af Analog/Digital konvertering Figur 8 - Analog/Digital konvertering 38

Den sikkerhedsrelaterede anvendelsessoftware omfatter den software, der skal programmeres i relation til styresystemet. Til denne sikkerhedsrelateret anvendelsessoftware stiller ISO 13849-1 bl.a. følgende 3 krav til softwarekonstruktionen: 1) Når det er rimeligt og praktisk muligt, bør der anvendes validerede funktionsblok-biblioteker, 2) Arkitekturmodel i tre trin: Indgang Behandling Udgang, og 3) Anvendelse af teknikker til detektering af eksternt svigt og til defensiv programmering i indgangs-, behandlings- og udgangsblokke, der medvirker til at opretholde en sikker tilstand. Ovenstående krav til den sikkerhedsrelateret anvendelsessoftware er ikke udtømmende, men som det er beskrevet i afgrænsningen, så er der afgrænset fra en udtømmende dokumentation af den anvendte sikkerhedsrelateret anvendelsessoftware af omfangs- og overskuelighedsmæssige grunde. Anvendelse af validerede funktionsblok-biblioteker kan opfyldes ved programmering i Siemens TIA (Totally Integrated Automation) portal og kravet om defensiv programmering opfyldes ved etablering af en virtuel grænseflade, der kræver kodeord for programændring. Softwarekonstruktion Udgangspunktet for softwarekonstruktionen er den specifikation af sikkerhedsfunktionen (afsnit 5.1.2). Softwarearkitekturen er fastlagt ved kravet om en arkitekturmodel i tre trin med hhv. 1) Indgang 2) Behandling 3) Udgang. Fremgangsmåden for konstruktionen af softwaren vil følge blokdiagrammet, der er vist på figur 9 på side 40. 1) Indgang Indgangssignalerne i kanal 1 bliver genereret af den induktive sensor som beskrevet i afsnit 5.3.2 side 36 og bliver derefter igennem et PR 9202 pulse isolator modul forstærket til et analogt 0-24VDC signal. Signalet fra PR modulet er fortrådet til en af PLC ens analoge indgange. Herefter konverteres indgangssignalet i en analog/digital konvertering, som er illustreret på figur 8 side 38. Indgangssignalerne i kanal 2 bliver generet i encoderen som beskrevet i afsnit 5.3.2 side 36. Encoderen er forbundet til PLC en via profinet kabel. Da encoderens udgangssignal er i bit, kan dette lagres direkte i et af PLC ens dataregistre uden en forudgående analog/digital konvertering. 39

Blok diagram for PLC software Figur 9 - Blok diagram for PLC software 40

2) Behandling Første step i behandlingen af indgangssignalerne er en sammenligning mellem målingerne i kanal 1 og 2. Formålet med denne sammenligning er, at der opnås en gensidig overvågning i mellem kanal 1 og 2, som derved også er medvirkende til at detektere fejl i styresystemets indgangs kanaler. Sammenligningen foregår ved, at PLC en i en compare funktion sammenligner de antal bit, som er lagret på dataregister D1 og D2 for hhv. kanal 1 og 2. Da der kan forekomme en måleusikkerhed på maksimalt 90 bit i mellem kanal 1 og 2, skal PLC en udføre sammenligningen med en tilladt afvigelse på 2,2 % for at PLC en ikke unødvendigt vil aktivere bremseanordningen. 46 Hvis sammenligningen resulterer i en forskel, der er større end den tilladte afvigelse på 2,2 %, så henter programmet en værdi på et dataregister, der svarer til en overspeed. Denne værdi i bit konverteres til m/s og sendes ind i feed forward reguleringen. Hvis sammenligningen derimod resulterer i, at hastigheden i de to kanaler er ens, så fortsætter programmet til næste step uden yderligere handlinger. Næste step i programmet er en sammenligning mellem den aktuelle hastighed og den indstillede maksimum hastighed. Den aktuelle hastighed er lagret på dataregistrene D1 og D2 med en værdi mellem 0-4096 bit. For at opnå gennemskuelighed i PLC programmet vælges det at foretage sammenligningen mellem den aktuelle hastighed og den indstillede maksimum hastighed i SI enheden for hastighed, meter per sekund [m/s]. Dette kræver en X-Y konvertering af den aktuelle hastighed, der er lagret på dataregister D1 og D2 med værdier fra 0-4096 bit, som konverteres til 0-2 m/s. Årsagen til, at netop 2 m/s vælges er, at der ikke forventes at forekomme en hastighed højere end 2 m/s. Vælges det at konvertere hastigheden til fx 4 m/s forringes opløsningen, men det vil ikke få nogen nævneværdig indvirkning på styresystemet, da ændringen i opløsningen i dette tilfælde ikke vil ændre på styresystemets egenskaber. Efter X-Y konverteringen lagres hastigheden for kanal 1 på dataregister D3 og hastigheden for kanal 2 på dataregister D4. PLC en sammenligner nu den aktuelle hastighed med den indstillede maksimum hastighed i en compare funktion. 46 Se bilag 15 41

Blok diagram for PLC software Figur 10 - Blok diagram for PLC software 42

Hvis sammenligningen resulterer i, at den aktuelle hastighed er mindre end den indstillede maksimum hastighed, så foretager programmet ikke nogen handling. Hvis sammenligningen derimod resulterer i, at den aktuelle hastighed er højere end den indstillede maksimum hastighed så igangsættes feed forward signalet, der sammen med reguleringssløjfen generer et analogt udgangssignal på 4-20mA til Wandfluh ventilstyringsmodulet. Reguleringssløjfen består af en PID regulator med feed forward input, som har til formål at sikre en hurtig indregulering af nedfiringshastigheden og dermed sikre en kontrolleret nedfiring af redningsbåden. Reguleringssløjfens input består af setpunkt (SP), som bestemmes af den indstillede maksimum hastighed og proces variablen (PV), der fortæller den aktuelle hastighed. Feed forward input signalet har til formål hurtigt at hæve udgangssignalet til ventilstyringsmodulet således, at nedbremsningen igangsættes øjeblikkeligt, hvorefter reguleringssløjfen vil sørge for, at udgangssignalet til ventilstyringsmodulet bliver reguleret efter den ønskede nedfiringshastighed. Det ønskes at opnå en hurtig indregulering af nedbremsningen, men det ønskes ikke at opnå oversvingninger i reguleringssløjfen, da dette vil medføre en svingende nedfiringshastighed. Af hensyn til sikkerheden i forbindelse med indstilling af PID regulatorens parametre kan der ikke anvendes indstillingsmetoder som Ziegler-Nichols- eller Heilmanns-metoden, som begge kræver fysiske forsøg med systemet. Derimod vil indstilling af PID-regulatorens P-, I- og D-led kræve en matematisk modellering af systemet i et hertil egnet softwareprogram, som kan simulere reguleringssløjfen ud fra PID regulatorens indstillede parametre. På denne måde findes den kombination af parametre, som vil give systemet det hurtigste indsvingnings forløb uden oversving. 43

3) Udgang For at gøre outputtet fra reguleringssløjfen til et brugbart signal til ventilstyringsmodulet, så kræver det en digital/analog konvertering, der er illustreret på figur 11 nederst på denne side. Konverteringen foregår i mellem outputtet fra reguleringssløjfen og den adresse som det analoge udgangsmodul har, afhængigt af hvor i racket den fysisk er placeret. Formålet er at konvertere outputtet fra reguleringssløjfen til et analogt 4-20mA signal til brug for ventilstyringsmodulet. Illustration af Digital/Analog konvertering Figur 11 - Digital/Analog konvertering 44

Figur til valg af UPS batteri Figur 12 - Valg af UPS batteri - Phoenix Contact 47 47 www.phoenixcontact.com 45

5.4 Dimensionering af redundant energiforsyning Kravene i maskindirektivets bilag 1 afsnit 1.2.6 og 4.1.2.6 (er beskrevet i afsnit 4.1) betyder, at styresystemets energiforsyning skal være redundant, da svigt i energitilførslen ellers vil medføre tab af sikkerhedsfunktionen. For at overholde dette krav anvendes et UPS (Uninterruptible Power Supply) batteri. Maskindirektivet beskriver ikke specifikt, hvor længe energitilførslen skal opretholdes, men et svigt i energitilførslen må ikke føre til tab af sikkerhedsfunktionen. Det vil sige, at Solas systemet som minimum skal være forsynet fra UPS batteriet i tiden fra alarmen lyder og til redningsbåden er vandbåren. Som det kan ses af bilag 25 foreskriver søfartsstyrelsen, at dette tidsrum maksimalt må være 10 minutter. For at sikre den nødvendige kapacitet på UPS batteriet dimensioneres størrelsen på baggrund af en antagelse om, at UPS batteriet skal vedholde energiforsyningen i 30 minutter, hvilket vil være rimeligt og praktisk opnåeligt. Det vil nedenfor blive dokumenteret, at styresystemet vil være forsynet i minimum 30 minutter fra UPS batteriet. Som det er beregnet på bilag 16, så er styresystemets strømforbrug 4,4A. Ved at indsætte styresystemets strømforbrug (4,4A) og en ønsket forsyningstid på 30 minutter i figur 12 på side 45 kan det ses, at Phoenix Contact anbefaler et 7,2Ah batteri. Som det kan ses på figur 12 vil batteriet være i stand til at opretholde forsyningen i op til 1 time med et strømforbrug på 4,4-5A. Til styring af UPS batteriet anvendes en Phoenix Contact Quint, der overvåger det aktuelle spændingsniveau og kobler UPS batteriet ind hvis der måles en for lav spænding i forhold til det ønskede. Styringsenheden er tilmed en foranstaltning mod CCF, da den opfylder kravet om beskyttelse mod overstrøm. 48 48 Se bilag 17 46

5.5 Evaluering af det opnåede PL-niveau I dette afsnit evalueres det opnåede PL-niveau igennem punkterne 1-6 nedenfor. Som det er beskrevet i afgrænsningen vil der ikke blive udarbejdet en komplet og fyldestgørende dokumentation af styresystemet, men punkterne 1-6 nedenfor er udvalgt, da de indgår som elementære krav for opfyldelse af sikkerhedskategori 3. 5.5.1 Beregning af det opnåede PL-niveau Det opnåede PL-niveau er på bilag 18 beregnet til 55 år for kanal 1 og 42 år for kanal 2. De to kanaler til sammen giver en samlet MTTF d på 49 år (se bilag 18). 5.5.2 Fejludelukkelse Da der anvendes en redundant struktur i styresystemet kan en eventuel fejl i den induktive sensor eller i encoderen ikke være årsag til tab af sikkerhedsfunktionen. Tab af sikkerhedsfunktionen forårsaget af skader på kabler kan ligeledes udelukkes, da de som en foranstaltning mod CCF (Common Cause Failure) er ført hver for sig. Idet der anvendes en fail-safe PLC kan tab af sikkerhedsfunktionen udelukkes ved en eventuel fejl i en af styresystemets to kanaler, da PLC en har redundante midler til at sikre opretholdelsen af sikkerhedsfunktionen. 5.5.3 Fastlæggelse af diagnostisk dækning for styresystemet Det samlede skøn af det gennemsnitlige DC (Diagnostic Coverage) for styresystemet er beregnet i bilag 19. Resultatet af beregningen viser, at der i styresystemet er opnået en samlet gennemsnitlig DC på 85,2 %, hvilket svarer til DC middel jf. ISO 13849-1 tabel 6. 49 5.5.4 Anvendelse af grundlæggende sikkerhedsprincipper De grundlæggende sikkerhedsprincipper, der fremgår af bilag 10, er blevet anvendt og overholdt i det omfang de har relevans for styresystemet i denne rapport. 49 Se bilag 20 47

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback