Technische samenvatting
Kernpunten:

Het artikel presenteert NEN-EN-ISO IEC 61508 als het fundament van de methodiek voor het minimaliseren van risico en het bepalen van SIL gedurende de volledige levenscyclus van het systeem. Het wijst op de verbanden met sectorspecifieke normen (o.a. EN 5012x, NEN-EN-ISO 61511, IEC 61513, DO-178C/DO-254) en geeft toepassingsvoorbeelden.

  • NEN-EN-ISO IEC 61508 is een universele basisnorm voor functionele veiligheid voor E/E/PE-systemen.
  • Het definieert 4 pijlers: de veiligheidslevenscyclus, SIL-niveaus, veiligheidsmanagement en documentatie.
  • Kan worden aangepast aan tal van sectoren: machinebouw, spoorwegsector, procesindustrie, energiesector (ook nucleair) en automatisering.
  • In machines ondersteunt het de aanpak volgens NEN-EN-ISO 62061 en NEN-EN-ISO ISO 13849-1 (risicobeoordeling, integriteit, redundantie).
  • Benadrukt de eisen met betrekking tot de onafhankelijkheid van kanalen, het vermijden van storingen door gemeenschappelijke oorzaken en de competenties van de personen die de werkzaamheden uitvoeren.

NEN-EN-ISO IEC 61508 (eng. IEC 61508) is een norm die vaak wordt gezien als de ‘basis’ voor andere sectorspecifieke documenten over functionele veiligheid. De norm beschrijft hoe je risico’s minimaliseert in besturingssystemen die zijn gebaseerd op elektrische, elektronische of programmeerbare elektronische techniek (E/E/PE). De bepalingen rusten op vier pijlers:

  1. Veiligheidslevenscyclus (Safety Lifecycle)
    – van het eerste concept en de gevarenanalyse tot en met het uit bedrijf nemen van het systeem.
  2. Safety Integrity Levels (SIL)
    – toegekend aan veiligheidsfuncties om de betrouwbaarheidseisen vast te leggen.
  3. Management van functionele veiligheid
    – duidelijk vastgelegde rollen, verantwoordelijkheden, verificatieprocedures en competentiebeoordelingen.
  4. Documentatie
    – het opstellen, bewaren en actualiseren van alle relevante gegevens en rapporten voor gebruik en eventuele inspecties.

Deze uitgangspunten maken dat 61508 niet beperkt is tot één sector. Integendeel: de norm is zo opgezet dat zij kan worden aangepast aan de kenmerken van uiteenlopende branches: van machinebouw, via spoor en luchtvaart, tot energie (ook nucleair) en procesautomatisering. Zie ook Industriële automatisering.

Toepassing in verschillende sectoren

Machines en productielijnen: NEN-EN-ISO 62061 en NEN-EN-ISO 13849

Bij machineontwerp en het ontwerpen van productielijnen wordt vaak verwezen naar:

  • NEN-EN-ISO 62061 – ‘Veiligheid van machines – Functionele veiligheid van elektrische, elektronische en programmeerbare elektronische besturingssystemen van machines’,
  • NEN-EN-ISO 13849-1 – waarin het ‘Performance level’ (PL) wordt beschreven.

Beide normen bouwen in grote mate voort op concepten uit 61508, vooral als het gaat om risicobeoordeling, het vaststellen van veiligheidsintegriteit en de principes van redundantie. Voor een NL-uitleg over de aanpak kun je ook terecht bij Hoe risico te beoordelen volgens ISO 12100 – analyse van de risicoformule en methoden.

Praktijkvoorbeelden:

  • Automatische verpakkingslijn: we passen lichtschermen en noodstoppen toe en ontwerpen de besturing zo dat bij onderbreking van de lichtbundel de machines razendsnel en veilig tot stilstand komen.
  • Samenwerkende robots (cobots): extra eisen aan de reactie bij contact met een mens, vaak met inachtneming van SIL 2 of SIL 3.

Met 61508 leggen we de algemene methodiek vast, terwijl 62061/13849-1 concreet maken hoe je stap voor stap de risicoanalyse uitvoert en afzonderlijke veiligheidsfuncties in een machine implementeert. In de praktijk helpt ook Hoe controleer je of een machine veilig is? om de uitwerking te toetsen.

Spoor: de EN 5012x-reeks

In de spoorsector zijn de volgende normen gangbaar:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (spoorwegsoftware),
  • EN 50129 (elektronische systemen in spoorwegsignalering).

Elke norm verwijst, vanuit veiligheidseisen bekeken, naar fundamentele regels die vergelijkbaar zijn met 61508. Ook hier kennen we SIL-niveaus (meestal 0–4) en strenge eisen aan de onafhankelijkheid van systemen (kanaalredundantie) en aan de robuustheid tegen verstoringen (common cause failures).

Voorbeeld:

  • Treinverkeersleiding: bij dreigend botsingsgevaar worden de remmen automatisch geactiveerd. Als zo’n systeem als SIL 4 is geclassificeerd, moet het voldoen aan uiterst strenge betrouwbaarheidseisen en testprocedures, conform EN 50128/50129.

Procesindustrie: NEN-EN-ISO 61511

Bij chemische installaties, petrochemie, raffinaderijen of gasverwerkingsinstallaties gebruiken we de norm NEN-EN-ISO 61511 – die rechtstreeks is afgeleid van 61508, maar specifiek is gericht op zogeheten SIS (Safety Instrumented Systems).

  • We ontwerpen veiligheidslussen (SIF – Safety Instrumented Function) en bepalen voor elke lus het SIL-niveau.
  • We passen in de analyse van procesgevaren vaak de methode HAZOP toe.
  • We borgen dat sensoren en actuatoren de juiste betrouwbaarheid hebben en met vaste tussenpozen worden getest.

Kernenergie: IEC 61513

Wanneer het risico van een storing gevolgen kan hebben voor grote gebieden (kerncentrales), zijn de normen voor functionele veiligheid nog strenger.

  • IEC 61513 (in Polen soms aangehaald als PN-IEC 61513) beschrijft de eisen voor beschermings- en besturingssystemen van kerncentrale-eenheden.
  • Meerkanalige redundantie is vereist (bijv. 2oo3, 2oo4 – ‘two out of three’ enz.) en er geldt een zeer strenge beheersing van het softwareontwerp.

Luchtvaart: DO-178C / DO-254

Hoewel 61508 in de luchtvaart niet rechtstreeks wordt toegepast, is het onderliggende idee vergelijkbaar. Het document DO-178C (voor boordsoftware) en DO-254 (voor hardware) introduceren kritischheidsniveaus A–E, gebaseerd op de gevolgen van een fout (van lichte hinder tot een vliegtuigcrash). De aanpak voor analyse, redundantie, testen en configuratiemanagement is in de kern sterk vergelijkbaar met 61508, met de nadruk op gedetailleerde certificeringsregels voor avionica.

NEN-EN-ISO IEC 61508: uitgangspunten en hun praktische betekenis

  1. Veiligheidslevenscyclus
    • Omvat fasen: van het definiëren van het concept, via het detailontwerp (hardware, software), tot en met installatie, oplevering, exploitatie en wijzigingen.
    • Daardoor beperken we ons niet tot één audit aan het einde van het project; veiligheid moet gedurende de volledige gebruiksperiode worden geanalyseerd en aangetoond.
  2. Safety Integrity Levels (SIL)
    • Er zijn vier niveaus: SIL 1 – het minst streng; SIL 4 – het strengst.
    • Elk niveau definieert de toelaatbare grenzen voor de kans op een gevaarlijke storing (bijv. PFD voor de modus met zeldzame aanroep).
  3. Risicobeoordeling en documentatie
    • Voordat je gaat ontwerpen, moet je weten welke gevaren er zijn en in welke mate.
    • Documentatie (analyses zoals HAZOP, FMEA, foutboom) vormt de ruggengraat van het systeem – bij een controle of audit kun je daarmee de onderbouwing van je ontwerpkeuzes aantonen.
  4. Onafhankelijkheid en redundantie
    • Redundantie is alleen effectief als twee (of meer) kanalen niet tegelijk uitvallen door dezelfde oorzaak (common cause failures).
    • Een hoge SIL vereist doorgaans verschillende technologieën, verschillende voedingen, enz.
  5. Competentiemanagement
    • Mensen die verantwoordelijk zijn voor het ontwerp en het onderhoud van veiligheidssystemen moeten daarvoor de juiste kwalificaties en ervaring hebben (de norm benadrukt dit expliciet).

Wat levert het gebruik van NEN-EN-ISO 61508 ons op

  1. Minder storingen en stilstand – door betere risicobeheersing en het eerder opsporen van gebreken.
  2. Naleving van regelgeving – klanten, inspecteurs en verzekeraars eisen vaak certificering volgens dit soort normen.
  3. Meer vertrouwen – systemen die volgens 61508 / 61511 / 62061 / EN 5012x zijn ontworpen, worden als betrouwbaarder gezien.
  4. Efficiëntie op de lange termijn – hoewel implementatie kostbaar kan zijn, helpt het potentiële verliezen door ongevallen of juridische problemen te beperken.

NEN-EN-ISO IEC 61508: meest voorkomende fouten en valkuilen

  1. Geen passende analyse van common cause failures: een redundant systeem kan falen als kanalen dezelfde voedingsbron of dezelfde databus delen.
  2. Je beperken tot één component met een SIL-certificaat: het feit dat een sensor of controller een SIL 2/3-certificaat heeft, betekent niet automatisch dat het hele systeem dat niveau haalt – de volledige architectuur telt (sensoren, bekabeling, software, actuatoren).
  3. Geen periodieke tests: bij systemen die zelden aanspreken is testen onder realistische omstandigheden verplicht. Zonder dat weet je niet zeker of de veiligheidsfunctie op het kritieke moment werkt.
  4. De wijzigingsfase overslaan: als je zelfs maar een deel van de software wijzigt of een klep vervangt, moet je bepaalde stappen van de veiligheidslevenscyclus opnieuw doorlopen – vooral de impactanalyse van de wijziging.
  5. Competenties verwaarlozen: van ontwerper tot onderhoudsmedewerkers – iedereen heeft passende training nodig om te weten hoe de uitgangspunten van functionele veiligheid moeten worden nageleefd.

NEN-EN-ISO 61508 is het vertrekpunt, en sectorspecifieke normen (NEN-EN-ISO 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 enz.) vertalen de principes naar de eigenheid van afzonderlijke industrieën. Voor jou, als ontwerper of gebruiker van veiligheidssystemen, betekent dit:

  • Duidelijke en consistente richtlijnen voor de aanpak van risicoanalyse, SIL-bepaling en testen van systemen.
  • De noodzaak om gedetailleerde documentatie op te stellen – van testprotocollen tot registraties van personeelscompetenties.
  • Meer zekerheid dat de geïmplementeerde oplossingen voldoen aan internationale standaarden en acceptabel zijn voor klanten en toezichthoudende instanties.

Uiteindelijk geldt: ook al kan het een kostbaar en tijdrovend traject zijn, een correcte invoering van NEN-EN-ISO 61508 (of haar ‘afgeleiden’) vertaalt zich in minder risico op ongevallen, een stabielere bedrijfsvoering en een betere reputatie in de sector. Deze normen zijn dus geen ‘onnodig papierwerk’, maar een effectief hulpmiddel om leven, gezondheid en eigendommen te beschermen.

NEN-EN-ISO IEC 61508 – een universele basis voor functionele veiligheid

Dit is een norm die de principes vastlegt voor het minimaliseren van risico’s in besturingssystemen op basis van elektrische, elektronische of programmeerbare elektronische techniek (E/E/PE). Ze wordt vaak beschouwd als basis voor sectorspecifieke normen op het gebied van functionele veiligheid.

De norm is gebaseerd op de veiligheidslevenscyclus, SIL-niveaus, beheer van functionele veiligheid en documentatie. Deze elementen moeten zorgen voor een consistente aanpak, van concept tot en met het buiten gebruik stellen van het systeem.

SIL (1–4) zijn veiligheidsintegriteitsniveaus die aan veiligheidsfuncties worden toegekend en die de betrouwbaarheidseisen bepalen. SIL 1 is het minst streng en SIL 4 het meest streng.

Binnen het machinegebied worden de concepten uit 61508 verder uitgewerkt, onder meer in NEN-EN-ISO 62061 en NEN-EN-ISO ISO 13849-1; in de procesindustrie gebeurt dit in NEN-EN-ISO 61511 voor SIS en SIF. 61508 biedt een algemene methodiek, terwijl sectorspecifieke normen de implementatie-eisen nader specificeren.

Documentatie van analyses en ontwerpbeslissingen maakt het mogelijk om tijdens een audit of inspectie de onderbouwing van de gekozen oplossingen aan te tonen. De norm benadrukt ook de noodzaak van duidelijk gedefinieerde rollen en de kwalificaties van personen die veiligheidssystemen ontwerpen en onderhouden.

Delen: LinkedIn Facebook