functional safety and diagnostics - … integrity level sil 2 example . performace level pl d ....

FUNCTIONAL SAFETY AND DIAGNOSTICS Eric Ringholm

Example: Electro / hydraulic circuit diagram of a mobile machine

Hydraulics and Electronics belong together

Introduction Technology Trends

Input / Sensor

Processing / Logic

Output / Actuator

Mechanical eningeering

Electrical eningeering Software

Mecha- tronics

Functional Safety and Diagnostics

Murphy: “Whatever can go wrong will go wrong, and at the worst possible time, in the worst possible way.”


Presenter

Presentation Notes

Wenn wir uns die Frage stellen, wo die hohe Motivation für das Thema Funktionale Sicherheit und Diagnose herkommt, haben sicherlich große Unfälle, wie z.B. das große Zugunglück von 1998 in Eschede, bei dem technisches Versagen als Grund festgestellt wurde , zu einer höheren Sensibilisierung geführt. Den Hauptgrund sehen Experten allerdings im Zusammenhang zwischen der Steigerung der Produktivität und der damit verbundenen Steigerung der Komplexität betreffend des Gesamtsystems und auch der Systemkomponenten. Davon abgeleitet ergeben sich automatisch höhere Sicherheitsanforderungen und auch ein steigender Bedarf an einer höheren Diagnosefähigkeit, damit Fehler besser erkannt und lokalisiert werden können.

Correspondingly the legal and standards situation has reacted to this development


Presenter

Presentation Notes

Entsprechend hat auch die Rechts- und Normenlage dieser Entwicklung Rechnung getragen. In Europa setzen die Maschinenhersteller mit dem CE-Zeigen quasi eine Unterschrift unter einen Vertrag mit dem Käufer, bei dem sie zusichern alle geltenden Regeln und Normen einzuhalten. Diese Regeln repräsentieren den „Stand der Technik“ und sind somit auch rechtlich relevant. Aber auch der Rest der Welt lebt hier nicht im rechts- oder sicherheitsfreien Raum. Auch hier existieren Regelwerke, die einzuhalten sind. Als Beispiel sei hier die amerikanische Behörde für Arbeitsschutz OSHA genannt. Diese schreibt beispielsweise für Mobilfahrzeuge mit Abstützung eine Positionserfassung der seitlichen Ausleger vor. Es gibt sicherlich Tätigkeiten die spannender sind als sich mit dem Geflecht aus Normen und Regelwerken zu beschäftigen. Dennoch müssen wir uns damit auseinandersetzen, um Konstruktionen ingenieursgerecht umzusetzen. Deshalb hier einige Grundzusammenhänge im Schnellgang.

Hydraulic

Sensors Controllers

Visualization Software

System / Application

Increasing of functionality and productivity means for the system and the system components

higher complexity

- higher safety requirements - more diagnostics


Presenter

Presentation Notes


Presenter

Presentation Notes

Zum anderen wurde am Anfang die steigende Komplexität der Maschinen als Folge einer steigenden Produktivität genannt. Um dies zu untermauern hier zwei Beispiele. Landtechnik, H. Hieronymus von Claas, VDI-Tagung, über die Entwicklung von Mähdreschern�- 8 CAN-Busse�- bis zu 25 Controller�- mehr als 80 Hauptfunktionen�- mehr als 1000 Unterfunktionen Baumaschinen, H. Einig von Wirtgen, VDI-Tagung über die Entwicklung von Straßenfräßen�betreffend Applikationssoftware�- mehr als 65.000 Zeilen Softwarecode�- mehr als 200 Bausteine, Module, Funktionen��betreffend Visualisierung�- mehr als 85.000 Zeilen Softwarecode�- mehr als 380 Klassen mit 3.400 Eigenschaften�- ca. 1000 Status- und Fehlermeldungen�- ca. 1500 Grafiken Daraus ergibt sich ein großer Bedarf an Sicherheitskomponenten für Mobilanwendungen und ein großer Bedarf an Komponenten mit Selbstdiagnose. Dies bringt mich zum nächsten Kapitel………

IEC 61508 EN ISO 13849 ISO 26262 DO 178B / 254 ISO 25119

Relevant directives

Example Safety Integrity Level

SIL 2

Example Performace Level

PL d

Example Agricultural SIL

AgSIL 2

Example Automotive SIL

ASIL 2

Example Design Assurance Level

DAL 2

EN 15000


Standards, principles and implementation

The manufacturer confirms to comply with the following guidelines:

• Machinery Directive – 2006/42/EC • Noise Emission Standards – 2000/14/EC • Electromagnetic Compatibility Standards – 2004/108/EC

Machinery Directive 2006/42/EC All machinery that are put in circulation in the European Economic Union, have to satisfy the requirements of the Machinery Directive.

Some key principles: - The machinery has to be built in such a way that no

person is exposed to a hazard during Operation Mounting/Service Predictable misuse

- Principles for risk reduction Elimination or minimization of risks as far as possible Take protective measures against risks which cannot be

eliminated Information of users of remaining risks

- Controls need to be designed in such a way, that hazard situations are avoided, specifically considering: Predictable usage scenarios and external influences Defects in hardware or software Errors in logic Predictable misuse

Presenter

Presentation Notes

Maschinenrichtlinie 2006/42/EG seit Ende 2009 in Kraft (Mobil und Stationär). Vermutungswirkung der EN 954 wurde bis Ende 2011 verlängert. Seit 2012 gilt ‚nur mehr‘ die EN/ISO 13849 Bestimmte Branchen später Gabelstapler 2015?? CSE: Keine Daten dazu gefunden

Harmonized standards for Machinery Directive 2006/42/EC

Presumption of conformity: “Where products have been designed in accordance with suitable harmonized Standards, market surveillance authorities are obliged to assume that the essential requirements of the applicable directive(s) which are covered by these Standards have been fulfilled. The products are deemed to comply with the directives (presumption of conformity). “

EN ISO 13849 and other safety standards as a part of the machinery directive

Machinery Directive - 2006/42/EC

Extract from a technical article in ETZ (electro-technical magazine)

Risk for the manufacturer However, there is also a certain risk for the manufacturer: an accident which could have been avoided by following the EN ISO 13849-1, can turn into a problem for the manufacturer and the responsible persons involved. Essential for the clarification of liability is the state of technology which is no longer represented by EN 954-1 based on deterministic approaches or the choice of the control architecture, but by the broader defined EN 13849.

In contrast to the civil Compensation Laws, in criminal law, the injuring party is always called to account personally, a corporate liability is not possible in this case. As, in general, the managing director and the technical director are out of responsibility, the investigations are often directed against the design engineers. "In many cases, it is difficult to find the guilty party for an accident.” a prosecutor from Cologne said. “Often enough, there is sufficient suspicion of a criminal act – due to design faults or to non-conformity with the safety regulations.“ In civil right, it is very realistic that design engineers become personally liable. Still, the principle set up by the federal labour court applies that employees can only be made fully responsible in case of intentional act or gross negligence. Nevertheless, gross negligence, i.e. the ignorance of the most apparent things, is not very difficult to prove.

Extract from an article about liability in case of accidents caused by machines:

Excerpt from “Legal considerations in Product Liability”

Legal Environment and Terminology Current Standards: IEC 61508 und EN ISO 13849-1

IEC 61508 EN 954

EN 13849

Automotive Machinery Directive

2006/42/EC

IEC 62061 ISO 26262

Functional Safety of E/E/PES

Determinsim

„Safety of Machinery“

ISO 25119

Agricultural

Machinery Industry

Harmonized according to

Comparison ISO EN 13849-1 and IEC 62061

Typical Implementation of the Standards / Regulations



Presenter

Presentation Notes

Als nächstes stellt sich die Frage: �Wie werden die Normforderungen nun in der Praxis umgesetzt. Auch hierzu ein kurzer typischer Abriss

Hazard and Risk analysis

H&R Analysis

Machine function


List of machine functions - Example -

Performance Level

Required risk minimisation and Performance Level: Severity of injury: S1 slight (usually reversible injury) S2 serious (usually irreversible injury which may include death) Frequency and / or duration of exposure to danger: F1 rarely up to not very frequently and / or the time of exposure to danger is short F2 frequently up to continuously and / or the time of exposure to danger is long Probability of avoiding the exposure [P] P1 possible under certain conditions P2 rarely possible

Basic structure of a component or a system

Input / Sensor

Processing / Logic

Output / Actuator

Designated Architectures for Categories B, 1 and 2:

Architecture of Category B and 1 Design with “basic safety level”

Architecture of Category 2 Design with “increased safety level”



Designated Architectures for Categories 3 and 4:

Classification of the MTTFd values according to standard:

Total period: 3 up to 100 years: 3 up to 10 years = low 10 up to 30 years = medium 30 up to 100 years = high

• MTTFd values exceeding 100 years will be considered

with max. 100 years in their safety calculation

MTTFd is a measure for the quality of the component

Presenter

Presentation Notes

100-year-limit: only valid for channel. Single components can have MTTFd > 100 years. A channel‘s MTTFd is limited to 100 years.

Typical values according to practical experience:

Presenter

Presentation Notes

Recommended procedure and priority: Take manufacturers data Take the typical values from the ISO13849 appendix on this slide Take MTTFd = 10a

MTTFd HYDAC Electronic Products

Note: 1 Mio h = 114 years i. e, all MTTFd-Values are classified „high“

Characteristics Products HYDAC Electronic

Diagnostic Coverage Indicator of how many dangerous failures/ outages are detected

Out of all DCs of the single components, the DC avg for the controller is defined.

Outage rate: detected dangerous failures Outage rate: all dangerous failures

Regulations for the medium DC for the entire system by approximation formula:

Formula for DCavg in Standard according to fig. 28

Term Value range

Diagnostic Coverage

CCF - Common Cause Failures

Causes for outage

of channel 1

Causes for outage

of channel 2 CCF

CCF: breakdown of diverse parts due to common cause List of measures, table of points (maximum: 100 points in total) • dividing the signal paths 15 points • diversity 20 points • protection against over voltage/ overpressure 15 points • proven components 5 points • FMEA 5 points • Expertise/ training of developers 5 points • EMC or filtering of pressure fluid and protection against contamination 25 points • Temperature, humidity, shock, vibration, etc. 10 points Target: at least 65 points

In multi-channel controller structures starting from category 2, an observation of the CCF must be effected. This means, measures are to be taken so that both channels in a safety system can not break down due to a common cause.

For this purpose, there is a table of points in the EN 13849-1 standard.

Of 100 available points

at least 65 points shall be reached.

Presenter

Presentation Notes


Safety related parts of machine controls

Presenter

Presentation Notes

Erst dann geht es um die konstruktive Umsetzung. Diese Grundreihenfolge wird von vielen Konstrukteuren oft nicht eingehalten, was in der Regel zu einem hohen Zusatzaufwand betreffend Technik und Zeit führt. Der Bereich, bei dem es bei den genannten B- und C- Normen hauptsächlich geht ist hier rot umrandet dargestellt.�Das Bild entstammt der ISO 13849 und zeigt den sicherheitsbezogenen Teil einer Maschinensteuerung. Die ISO 13849 zeigt dem Konstrukteur in Abhängigkeit des zu erreichenden Sicherheitslevel mehrere Wege zur technischen Umsetzung auf. Ein solcher Weg beschreibt dann die Architektur bzw. Schaltung, also wie baue ich zum mein System auf. Zusätzlich werden Vorgaben für die verwendeten Komponenten und die Erfassbarkeit von Fehlern gegeben.

The achieved safety level is the result (balance) from the combination of the parameters:

Architecture Reliability of used components

Recognisability (diagnosibility) of safety relevant failures



Presenter

Presentation Notes

Im nächsten Bild soll die Balance dieser drei Kenngrößen „Architektur, Zuverlässigkeit der verwendeten Komponenten und Erkennbarkeit von sicherheitsrelevanten Fehlern“ dargestellt werden. Nur wenn ein, von der Norm definiertes Gleichgewicht zwischen diesen drei Parametern besteht kann ein erforderlicher Sicherheitslevel erreicht werden. Sind in Ihrer gewählten Konstruktion beispielsweise nur wenige Fehler feststellbar, muss diese Schwäche durch eine Stärke in der Architektur und/oder der verwendeten Komponenten kompensiert werden.

Summary characteristics

The achieved safety level (= PL) is the result of the combination of:

• Architecture (= category) • Quality of components (= MTTFd) • Capability to detect safety relevant failures (= DC) • For safety functions of category 2 or higher CCF need to be considered

PL column chart according to EN ISO 13849-1 illustrates the relationship between PL, MTTFd, category and DC

Example 1: Performance Level “PLr c” for a machine function is required

PL column chart according to EN ISO 13849-1 illustrates the relations between PL, MTTFd, category and DC

Example 1: Performance Level “PL c” for a machine function is required

PL column chart according to EN ISO 13849-1 illustrates the relations between PL, MTTFd, category and DC

design with

“increased safety level“

Example for an „increased safety hydraulic design“



Presenter

Presentation Notes

Was bedeutet dies für die Komponenten, insbesondere für die Sensoren? Dazu ein Beispiel. Für eine Maschinenfunktion wird ein Sicherheitslevel Performance Level c benötigt. Ein Konstrukteur hat die Schaltungsvariante oben links gewählt. In der Realität sieht dies beispielsweise aus wie oben rechts. Ein Ventil wird von einer elektronischen Steuerung angesteuert und überwacht. Zu diesem Zweck wird ein Wegsensorsignal am Zylinder eingelesen. Im Fehlerfall kann die Pumpe abgeschaltet werden.

Sensors and Controllers for Applications with Increased

Functional Safety


Presenter

Presentation Notes

Sensorentw….. Wie stellen wir uns hierzu als Anbieter �

Overview of control architectures (categories)

design for “normal safety level“

design with “increased safety level“

Achievable safety level

Costs



Presenter

Presentation Notes

Betreffend der Architektur sehen Sie hier drei Möglichkeiten. Eine Systemarchitektur mit normal ausreichender Sicherheit ist über dem grünen Feld dargestellt. Bezogen auf eine hydraulische Schaltung bedeutet dies: �I symbolisiert den Eingang oder Input, der Schaltung, z.B. die Öldruckversorgung. L steht für die Verarbeitung oder Logic, d.h. die Konditionierung der eingehenden Ölversorgung. O steht für Ausgang oder Output, also die Ansteuerung eines Aktuators. Geht es um die Konstruktion von Maschinensteuerungen mit erhöhter Sicherheit sehen wir zwei Möglichkeiten, über dem orangenen Feld.�Einmal die Möglichkeit einer Normalkonstruktion mit einer zusätzlichen Überwachung, im Bild mit TE dargestellt, die Fehler ermittelt, worauf entsprechend reagiert werden kann. Oder die Möglichkeit eines redundanten Aufbaus, also z.B. zwei Schaltungen parallel. Bezogen auf die erreichbare Sicherheit steigt das Niveau von links nach rechts. Aber auch auf die Kosten bezogen ergibt sich typischerweise ein Anstieg von links nach rechts. Dieser Zusammenhang verhilft der mittleren Variante mit eigener Überwachung zu einer besonderen Attraktivität.

Pressure transducer HDA 8000 Category 2 MTTFd: high (190 years)

DC: low (87%) Safety level: PL d, SIL 2

Pressure transducer HDA 4000 Category 3

MTTFd: high (976 years) DC: low (84%) Safety level: PL d

Position switch HLS 100 Category 2

MTTFd: high (419 years) DC: low (88%) Safety level: PL d, SIL 2

Linear position sensor HLT 1000 Category 2

MTTFd: high (83 years) DC: low (91%) Safety level: PL d, SIL 2

Valve position switch HLS 200 Category 2 MTTFD hoch / high (110 Jahre/ years) DC: medium (91%) Safety level: PL d

Sensors for pressure, position and distance


Sensors with increased Functional Safety and Diagnostics

Pressure transducer

Category 2

Category B/1

Category 3



Presenter

Presentation Notes

Auch für elektronische Komponenten ist die bei hydraulischen Systemen gezeigte Gestaltungsmöglichkeit anzuwenden. Für Drucksensoren haben wir dementsprechend eine redundante Variante , Kategorie 3, realisiert, also prinzipiell 2 Sensoren in einem Gehäuse. Dies bedeutet aber auch, dass 2 separate Sensorzellen eingebaut werden müssen, was Sie im Bild oben links sehen. Den kostengünstigeren Ansatz der sogenannten Kategorie 2, also mit Überwachungseinheit wurde ebenfalls umgesetzt. Die interne Testeinheit überprüft während des Messbetriebs alle Schaltungsteile und bringt das Ausgangssignal im Fall eines Fehlers in einen unerlaubten, und somit klar erkennbaren Zustand.�Ein Sensor dieser Bauart erfüllt entsprechend einen hohen Diagnosegrad.

Category 2

Category B / 1

Standard version Standard version

Linear position sensor, magnetostrictive



Function principle, standard version



Presenter

Presentation Notes

Deshalb noch einmal eine kurze Erklärung der Funktionsweise

Functional principle of a magnetostrictive sensor - version with increased functional safety and diagnosis



Characteristics for HY-TTC 90 with PLd, Excerpt from TUV certificate Architecture: Category 2

Category: 2 MTTFd: high

DC: low PL d

Safety & Availability

• EN ISO 13849 PL d & IEC 61508 SIL 2 TÜV certified

• ISO 25119 AgPL d certifiable • CODESYS Safety SIL 2 • CANOpen Safety • Separation of safety / non-

safety software • Output shut-off in groups

Connectivity • Up to 7 CAN interfaces • Automatic baudrate

detection • Configurable CAN

termination • Ethernet

Performance • Up to 32-bit 180MHz dual-

core lockstep • Floating-Point-Unit • Up to 2.3MB RAM / 11 MB

Flash

Robustness • Automotive style

aluminium housing for rough operating conditions

• Total current up to 60A

Flexibility and Usability

• Up to 96 I/Os with multiple configuration options • Open programming environments

i.e. C and CODESYS 3 SIL 2

Safety Controller Key Features

Usability

• Easy integration and usage • CANopen compliant • Auto-baudrate-detection • CAN termination configurable via connector pins

• Node-ID configuration via dedicated input pins

Robustness

• Automotive style aluminium housing for rough operating conditions • High maximum current

Safety

• EN ISO 13849 PL c certified • CANopen Safety

Flexibility

• Extensive I/O set with small form factor • 30 I/Os with multiple configuration options per pin

• 5 variants offer flexible building blocks

Safety I/O Module Key Features

Displays

Why Displays?

Rising demand for visualization, driven by automotive and consumer industry Used for Diagnostics User Manuals Configuration (Parameterization) Video cameras

Target Applications

Presenter

Presentation Notes

http://pdf.dynapac.com/user_files/images/Products/Rollers/CS/Full/CS142_full.jpg

Target Applications

Features: High CPU Performance Fast Boot Up Time Excellent Sunlight Readability Robust and Easy to Clean Touch Screen Flexible graphical developer interface

Displays Key Features

Presenter

Presentation Notes

http://pdf.dynapac.com/user_files/images/Products/Rollers/CS/Full/CS142_full.jpg

Pressure sensors Controller Displays

Linear position sensors Angle sensors Inclination sensors

IEC 61508 ISO 26262 ISO 25119 EN ISO 13849

Functional Safety

Summary Functional Safety and Diagnostics - Sensors, Controllers, Displays, Systems...

functional safety and diagnostics - … integrity level sil 2 example . performace level pl d ....

Documents