Overzicht risicografen - KHLim

Risicograaf voor SIL en PL
1. NORMEN VOOR MACHINES....................................................................................................................... 2
2. OPMERKINGEN.............................................................................................................................................. 3
3. PROBLEEMSTELLING ................................................................................................................................. 3
3.1 RISICOBEOORDELING VAN MACHINES EN PROCESINSTALLATIES ................................................................... 4
3.2 RISICOREDUCERENDE MAATREGELEN ........................................................................................................... 4
3.4 SPECIFIEKE NORMEN VOOR HET ONTWERP VAN AUTOMATISCHE SYSTEMEN MET EEN VEILIGHEIDSFUNCTIE.5
3.5 DEFINITIE VAN AUTOMATISCHE VEILIGHEIDSFUNCTIE EN AUTOMATISCH ..................................................... 6
VEILIGHEIDSSYSTEEM......................................................................................................................................... 6
3.6 RISICOBEOORDELING EN CLASSIFICATIE VAN EEN SIF .................................................................................. 7
4 HET EFFECT VAN FOUTEN TIJDENS HET ONTWERPPROCES VAN SIFS...................................... 7
5 RISICOBEOORDELING VAN EEN MACHINE.......................................................................................... 8
5.1 DE INVLOED VAN EEN MACHINE OP VEILIGHEID ............................................................................................ 8
5.2 DE INVLOED VAN EEN PROCESINSTALLATIE OP VEILIGHEID .......................................................................... 9
5.3 VERSCHIL IN RISICOGRAFEN VOOR DE BEOORDELING VAN HET................................................................... 10
VEILIGHEIDSRISICO VAN MACHINES EN PROCESINSTALLATIES .......................................................................... 10
6 HET BEPALEN VAN HET SAFETY INTEGRITY- OF PERFORMANCE LEVEL ............................. 10
MET BEHULP VAN EEN RISICOGRAAF ................................................................................................................. 10
6.1 HET TOEPASSEN VAN EEN RISICOGRAAF VOOR MACHINES........................................................................... 11
6.1.1 De keuze van de risicograaf ............................................................................................................... 11
6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid.............................................. 13
6.1.3 Bepaling van de kans op schade met een bepaalde ernst ................................................................... 13
BIJLAGE A ......................................................................................................................................................... 16

1. Normen voor machines
Hoeveel normen bestaan er eigenlijk voor machines? En wat voor typen normen zijn er?
Er bestaan om precies te zijn 728 normen voor machines, waarvan zo’n 150 geharmoniseerde
EN normen. Dit zijn normen die invulling geven aan de fundamentele veiligheidseisen uit de
Europese Richtlijnen. Ze zijn herkenbaar aan de letters ‘EN’ in de naam, bijvoorbeeld NEN-
EN-IEC 60204. Het gebruik van een geharmoniseerde norm leidt tot het vermoeden van
overeenstemming met de overeenkomstige Europese richtlijn. Elke geharmoniseerde norm is
gepubliceerd in het Official Journal van de de Europese Unie.
In grote lijnen kunnen de normen voor machines in drie categorieën worden ingedeeld, Type
A, Type B en Type C. In de top van de pyramide zitten de zeer generieke basis
veiligheidsnormen volgens Type A, zoals de bekende EN 1050 (risicobeoordeling). In het
midden van de pyramide zitten de wat minder algemene Type B-normen, zogeheten Safety
Group Standards, zoals EN 954-1, EN 60204-1 en EN 574. (B1 -> normen i.v.m.
veiligheidsaspecten bv veiligheidsafstanden, B2-> normen i.v.m. veiligheidsvoorzieningen bv
noodstop) In de basis van de pyramide bevinden zich de specifieke Type C-normen, de
Machine Safety-normen. Deze normen geven voor concrete machines zeer specifieke
bepalingen en bieden in het algemeen de beste ingang om aan de Europese regels te voldoen
ISO algemene normen (International Organization for Standardisation)
IEC enkel voor elektrisch
CEN europese normen
Wijziging van normen
EN 1050 -> EN 14121 Risicoanalyse A-norm
EN 418 -> EN ISO 3850 Noodstop
EN 954 -> EN ISO 13849 PL (Performance level) B-norm
-> IEC 61508 SIL (Safety Integrity Level)
61511 en 62061
EN 292 -1 -> EN ISO 12100 machineveiligheid (bv hekken)
-2 (-1 en -2)

2. Opmerkingen
De belangrijkste conclusies en aanbevelingen bij het bepalen van het SIL of PL:
- Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een
instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door
aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase van
machines en installaties.
- Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de uitvoering
van een SIL of PL bepaling.
- Een volledige rapportage met een goede onderbouwing van de SIL en PL bepalingen is
essentieel.
3. Probleemstelling
Vanuit de diverse wetgeving wordt de eis gesteld om risico’s te inventariseren, evalueren en
risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico’s bij het toepassen van
arbeidsmiddelen als machines en procesinstallaties.
Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen, bestaande
uit een risicobeoordeling en het nemen van risicoreducerende maatregelen.
Figuur 1 Ontwerpproces risicoreducerende maatregelen

3.1 Risicobeoordeling van machines en procesinstallaties
Voor het uitvoeren van een risicobeoordeling van machines of procesinstallaties worden
diverse tools toegepast. Voorbeelden van dergelijke tools zijn:
• HAZOP – Hazard & Operability Study (procesinstallaties)
• FME(C)A – Failure Mode and Effects (and Criticality) Analysis (machines)
• What-If analyse
• NEN1050
• Checklist machinerichtlijn
Bij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houden met de
veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur, inclusief
fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diverse gebruiksstadia,
zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke.
Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaat
van de risicobeoordeling.
3.2 Risicoreducerende maatregelen
Het nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in twee
mogelijkheden worden ingedeeld:
• inherent veilige maatregelen – preventieve maatregelen, voorkomen van het gevaar
• beschermende maatregelen – beheersing van het risico en controleren van de effecten
Bij inherent veilige maatregelen worden de gevaren weggenomen of de risico’s afdoende
verkleind door het wijzigen van het ontwerp, zonder gebruik te maken van beschermende
maatregelen. Anders gezegd: de machine of installatie wordt dusdanig gewijzigd dat het
gevaar niet meer bestaat of het risico tot een acceptabel niveau is teruggedrongen. Extra
beschermende maatregelen kunnen bij falen of bij aanspreken het proces verstoren. Of er
ontstaat en risicovolle situatie door falende veiligheidsmaatregelen. Hierdoor hebben
inherent veilige maatregelen de eerste keus. Een voorbeeld: de druk in een drukvat kan bij
een verstoring van het proces dusdanig oplopen dat het drukvat openbarst. Als
beschermende maatregel zouden beveiligingen kunnen worden toegepast om de druk te
bewaken, te regelen of eventueel af te blazen. Als inherente beveiliging kan de ontwerpdruk
van het vat dusdanig worden gekozen dat deze te allen tijde bestand is tegen de maximaal
voorkomende procesdruk. Een andere inherent veilige oplossing kan wellicht gevonden
worden in een andere procesvoering (mogelijk zelfs gebruik van andere grondstoffen of
fysische waarden), zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het
vat. Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg.
Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatie of
machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in de ontwerpfase op
meerdere momenten een risicobeoordeling uit te voeren.
beschermende maatregelen:
• Beheersing van de risico’s
1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en
automatische systemen met een veiligheidsfunctie)
• Controleren van de effecten
2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem)
3. Repressieve maatregelen (blussysteem, noodplan)

3.4 Specifieke normen voor het ontwerp van automatische
systemen met een veiligheidsfunctie
Voor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeld
vanuit de IEC en de ISO, als aangegeven in onderstaand overzicht:
Figuur 2 - Overzicht normen voor het ontwerp van systemen met een veiligheidsfunctie
Van de IEC komt de norm 61508-1 t/m 7 (Functional safety of electrical /electronic /
programmable electronic safety-related systems) [Norm 7] als basis voor de ontwikkeling en
toepassing van alle elektrische/elektronische systemen (electrical / electronic /
programmable electronic systems) die een veiligheidsfunctie uitvoeren. Deze uitgebreide
norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur en veiligheidssoftware.
Vanuit de 61508 zijn twee, beter hanteerbare, normen afgeleid, t.w.:
• 61511-1 t/m 3 (Functional safety - Safety instrumented systems for the process
industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van veiligheidssystemen
voor procesinstallaties.
• 62061 (Safety of machinery – Functional safety of safety-related electrical, electronic and
programmable electronic control systems) [Norm 9], specifiek bedoeld voor het ontwerpen
van veiligheidssystemen voor machines. (SRECS)
• Van de ISO komt de norm 13849-1 en 2 (Safety of machinery - Safety-related parts
of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van
veiligheidssystemen voor machines. (SRP/CS)
De norm ISO 13849 heeft een vergelijkbare doelstelling als de norm IEC 62061. De
nieuwere 13849 verwijst ook naar de 61508 / 62061 normen. Een belangrijk verschil in
doelstelling is dat de IEC normen zich richten op elektrische/elektronische systemen terwijl
de 13849 een breder kader heeft waaronder ook pneumatische- en hydraulische systemen.
Verder wijken de toegepaste systematieken uit beide normen van elkaar af.
Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen van
besturingssystemen met een veiligheidsfunctie) algemeen toegepast voor het ontwerpen van
een automatische veiligheidsfunctie met een machinetoepassing. De daarin voorkomende
veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding op componenten en

worden in de praktijk nog wel toegepast. Deze norm is inmiddels vervallen en is vervangen
door de NEN-EN-ISO 13849.
3.5 Definitie van automatische veiligheidsfunctie en automatisch
Veiligheidssysteem
Voor het juiste begrip is het van belang om een duidelijke definitie vast te stellen van de
volgende twee begrippen:
• Automatische veiligheidsfunctie
• Automatisch veiligheidssysteem
De automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe een bepaald
vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctie wordt uitgevoerd
door een automatisch veiligheidsysteem, ofwel de techniek die de functie uitvoert.
In de normen uit de 61508 familie worden er verschillende definities gebruikt voor
vergelijkbare veiligheidsfuncties:
- 61511 Safety Instrumented Function (SIF)
safety function with a specified safety integrity level which is necessary to achieve
functional safety and which can be either a safety instrumented protection function
or a safety instrumented control function.
- 62061 Safety-Related Control Function (SRCF)
control function implemented by a SRECS with a specified integrity level that is
intended to maintain the safe condition of the machine or prevent an immediate
Increase of the risk(s).
Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfuncties
bestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de 61508
familie normen:
- 61511 Safety Instrumented System (SIS)
instrumented system used to implement one or more safety instrumented functions.
A SIS is composed of any combination of sensor(s), logic solver(s), and final
element(s).
- 62061 Safety-Related Electrical Control System
electrical control system of a machine whose failure can result in an immediate
increase of the risk(s)
De norm 13849 maakt geen specifiek verschil tussen een veiligheidsfunctie en een
veiligheidssysteem en definieert het veiligheidssysteem als volgt:
- 13849 Safety-related part of a control system (SRP/CS)
part of a control system that responds to safety related input signals and generates
safety related output signals

3.6 Risicobeoordeling en classificatie van een SIF
Een belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordt aan de
kans op falen van een SIF. Aan een SIF wordt een hoge mate van beschikbaarheid gesteld.
Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1 geeft de beschikbaarheideis
aan voor SIFs die werken in de zogenaamde continuous of high demand mode.
Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 en maximaal
1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijke situatie. In een
installatie met 1000 SIFs met dezelfde klasse ‘mag’ er jaarlijks dan bij maximaal 9 SIFs een
gevaarlijke situatie ontstaan door niet goed functioneren van de SIF!
Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteit
van de gebruikte componenten.
Zowel de ISO als IEC gerelateerde normen kennen een aantal beschikbaarheidniveaus,
afhankelijk van de norm genaamd:
- ISO 13849 : PL – Performance Level (gebruikt door machinebouwer)
- IEC 61511 / 62061 : SIL – Safety Integrity Level (gebruikt door fabrikanten
veiligheidscomponenten en procesindustrie)
Het is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet worden
toegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF. Middels een
gedetailleerde risicobeoordeling van het te reduceren risico wordt het PL of SIL niveau van
een SIF bepaald. De drie normen stellen elk een eigen systematiek voor het uitvoeren van
een risicobeoordeling voor.
4 Het effect van fouten tijdens het ontwerpproces van SIFs
In het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces, zijn de
volgende fasen te onderscheiden:
1. Risicoanalyse / Risico evaluatie effect fout groot
2. Risicobeoordeling SIF / bepaling SIL of PL
3. Ontwerp SIF / SIS effect fout kleiner

Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie (voor procesindustrie)) worden
gevaren geïdentificeerd en risico’s daarvan ingeschat. Bij het in kaart brengen van gevaren
van machines en processen is de kans dat een gevaarscenario over het hoofd wordt gezien
reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geen reducerende maatregel
worden genomen.
Een systematische aanpak met meerdere, ter zake kundige, personen met verschillende
achtergrond kan een nauwkeurige inventarisatie van risico’s opleveren.
Nog meer nauwkeurigheid wordt verkregen door de risicoanalyse te herhalen. Bijvoorbeeld
in verschillende fasen van het ontwerpproces. Minder gestructureerde methoden
zoals bijvoorbeeld een ‘what-if analyse’ of een ‘FMEA’ geven meer kans op het niet
signaleren van risico’s.
De kans op herstel van een ‘vergeten risico’ is in principe alleen mogelijk bij een herhaalde
analyse. Het effect kan zijn dat gevaarlijke situaties onbekend en onbeveiligd blijven,
hetgeen kan leiden tot ernstige ongevallen.
Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling. Een verkeerd
bepaald SIL / PL leidt tot over- of onderbeveiliging. Bij een te hoog SIL / PL zal het SIS
ontwerp een lagere foutgevoeligheid hebben dan de aard van de beveiliging vereist. Vooral
bij complexe SIFs, waarbij bijvoorbeeld gebruik gemaakt wordt van geavanceerde
meetapparatuur of productspecifieke afsluiters kan dit leiden tot hoge extra kosten.
Overbeveiliging (of het gevoel van) is de oorzaak van wantrouwen bij eindgebruikers met
een hoge verantwoordelijkheid voor kostenreductie.
Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor fouten zijn dan
de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij de beveiliging niet
werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet of te laat worden
opgemerkt.
De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordeling zal
opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij er aanleiding
voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaak onderzocht wordt.
Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces. De eisen die
aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijn bepaald in de
risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-out keuzes of
rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen. Er volgt echter
een validatie van het SIS, waarbij bepaald wordt of het ontworpen SIS voldoet aan de eisen
van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie.
5 Risicobeoordeling van een machine
5.1 De invloed van een machine op veiligheid
Een definitie van een machine is volgens de machinerichtlijn:
Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten
minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen,
bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een
bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de
verpakking van een materiaal.

Een eenvoudige definitie van een machine is de volgende:
Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm
van beweging of energie kan omzetten.
Typische mogelijke machine-eigenschappen die van invloed zijn op het
veiligheidsrisico zijn:
- Draaiende of anders bewegende onderdelen,
- Grote snelheden
- Grote krachten
- Scherpe delen
- Hete delen
Typische machinegevaren zijn:
- Beknellen van ledematen
- Afrukken van ledematen
- Snijden aan machinedelen
- Branden aan hete oppervlakken
- Geraakt worden door wegspringende onderdelen van product of machine
- Elektrocutie
- Brand
Door het continu functioneren van de machine of het machineproces zijn gevaren constant of
met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodra beveiligingsfuncties niet
(meer) aanwezig zijn. In veel gevallen zijn de gevaren bekend en de risico’s voorspelbaar. In
mindere mate is er sprake van het ontstaan van risico’s veroorzaakt door onvoorspelbare
storingen.
Machine SIFs functioneren daarom vooral in een zogenaamde ‘continuous- of high demand
mode of operation’ .
De gevaareffecten hebben vooral betrekking op personen die direct aan de machine werken
of in de directe nabijheid van de machine aanwezig zijn. Machinerisico’s die groepen
personen treffen mogen niet beveiligd worden door een enkele SIF. Reductie van het
groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats.
Vaak is het gevaareffect een direct gevolg van een handeling van een persoon en treft het
deze persoon zelf.
Door voorkomende bewegingen op hoge snelheden is het beperken van schade bij een
optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleen mogelijk
door in te grijpen voordat het gevaar werkelijk optreed.
5.2 De invloed van een procesinstallatie op veiligheid
Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid:
- Verwerking van stoffen met chemische eigenschappen
- Ontstaan van reacties door het bewerken van stoffen
- Giftige dampen
- Explosie
- Brand
Typische procesgevaren zijn:
- Vrijkomen van giftige, bijtende, brandbare stoffen of dampen
- Vergiftiging
- Verstikking
- Verbranding
- Brandgevaar
- Explosiegevaar

Gevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogen niet
met een grote frequentie of continu aanwezig zijn. Door onbekende of onverwachte
verstoringen in het proces zijn niet alle gevaren voorspelbaar. Proces SIFs functioneren
vooral in een zogenaamde ‘low demand mode of operation’.
De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van de
installatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeld een
gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook van toepassing
zijn op procesinstallaties.
Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in de
procesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing en het
optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar (evacuatie van
groepen) mogelijk is.
5.3 Verschil in risicografen voor de beoordeling van het
veiligheidsrisico van machines en procesinstallaties
Het verschil tussen het mogelijk effect van een machine-incident een proces-incident;
samengevat:
Machine: enkel persoon, vooral risico voor beschadiging ledematen
Proces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door
bijvoorbeeld vergiftiging, verstikking of verbranding.
Verschillen in mogelijkheid van optreden gevaar:
Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode), kleine
kans om te ontsnappen of het effect te beperken.
Proces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na (ver)storing van
het proces (low demand mode), mogelijk voldoende tijd om te ontsnappen aan het effect, de
schade te beperken of zelfs het gevaar te voorkomen.
Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voor de
risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage C en Bijlage
D laten risicografen zien die vooral gericht zijn op de specifieke machine risico’s. Bijlage E is
een risicograaf voor procesinstallaties.
6 Het bepalen van het Safety Integrity- of Performance
Level
met behulp van een risicograaf
De risicografen uit de normen maken allemaal gebruik van de definitie risico, als functie van
het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijk optreedt:
Risico = effect van het gevaar x kans van optreden

Middels de risicograaf worden het effect van het gevaar en de kans dat het effect optreedt
bepaald. De resultante bepaalt de vereiste minimum risicoreductiefactor die de SIF moet
realiseren. Weergegeven als het zogenaamde SIL of PL van de SIF. Een groot risico
ernstige gevolgen en een grote kans van optreden), het donkerrode gebied in Figuur 6, mag
niet middels een enkele SIF worden beveiligd. Het ontwerp dan dusdanig wijzigen dat dit
risico niet voor kan komen. Bij een klein risico (lichte gevolgen en een kleine kans van
optreden), het witte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een
SIF worden ontworpen zonder specifieke risicoreductieeisen.
In de praktijk heeft men de meeste moeite met het bepalen van de kans van optreden van
een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd door een
ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PL bepaald
worden door de kans lager in te schalen. In dat geval dient de kans van optreden nauwkeurig
te worden bepaald. Een verkeerde bepaling kan nare gevolgen hebben.
6.1 Het toepassen van een risicograaf voor machines
6.1.1 De keuze van de risicograaf
Voor machines kan worden gekozen uit twee normen: IEC 62061 of IEC 13849. Beide
normen hebben een eigen risicograaf (Bijlage C en Bijlage D). Tabel 4 uit de norm 13849-1
geeft de overeenkomst tussen de Performance Levels uit de norm en de Safety Integrity
Levels uit de normenfamilie 61508 weer:

Met deze tabel zijn de resultaten van de risicobeoordeling van beide normen aan elkaar
gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaat moeten
leiden. In Bijlage G is een risicobeoordeling uitgewerkt voor een machine SIF met gebruik
van de risicograaf uit de norm ISO 13849 en vervolgens nogmaals met de risicograaf uit de
norm IEC 62061. De uitkomst is niet gelijk. De PL is c (SIL 1) terwijl de SIL op 2 (PL d)
uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte
mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van
het effect te bepalen.
Om verschil te voorkomen is het van belang om één risicograaf te gebruiken,
voor het bepalen van zowel de SIL en de PL van een SIF.
In de figuur is te zien dat bij de PL het zwaartepunt bij het effect ligt. De kansinvloed is veel
beperkter. Dit wordt mede veroorzaakt doordat de PL maar twee effectgradaties kent:
reversible injury en irreversible injury. De effect (injury)-keuze is eenvoudig. De kansbepaling
is beperkt en relatief eenvoudig (zie ook Bijlage C). Het resultaat is een relatief eenvoudig
toe te passen risicograaf. De mogelijkheden om het risico ook afhankelijk te laten zijn van
menselijke invloeden als bijvoorbeeld training, niveau en gedrag zijn te beperkt bij de PL
risicograaf. Het gevolg kan zijn een onacceptabel lage beveiliging voor het gevaar van
reversibele verwonding of een onnodig zware beveiliging bij gevaar voor irreversibele
verwonding.
De SIL risicograaf laat vooral in het veel voorkomende effectgebied van serieuze
verwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat de

werkelijke SIL mede bepaald wordt door de ‘kans van voorkomen’ parameters. Dat geeft
meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen. Zowel voor het bepalen
van het PL als het SIL van een machine is het advies te kiezen voor de risicograaf uit de IEC
62061 norm (Bijlage D).
6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de
gezondheid
De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen
voor de gezondheid (Se-Severity factor):
6.1.3 Bepaling van de kans op schade met een bepaalde ernst
De kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijk optreed
is afhankelijk van de volgende drie factoren:
- frequentie en duur van de blootstelling (Fr – frequency)
- mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability)
- mogelijkheid om de schade te voorkomen of te beperken (Av – avoiding)

Fr - frequentie en duur van de blootstelling
Het inschatten van de frequentie en de duur van de blootstelling kan worden gedaan door
met de volgende aspecten rekening te houden:
- Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet
alleen aan normale bedrijfsvoering, maar ook aan onderhoud,
reparatie, storing, e.d.).
- Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone
(bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd
product).
Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en de Frfactor
worden vastgesteld met behulp van onderstaande tabel:
Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenis
De mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door:
- De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij
is de betrouwbaarheid van de componenten, of
- de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een
gevaarlijke situatie.
De Pr-factor kan worden bepaald met onderstaande tabel:

Av - mogelijkheid om de schade te voorkomen of te beperken
De mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van de volgende
factoren:
- Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te
signaleren en te ontwijken.
- Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk
is.
Onderstaande tabel geeft de mogelijke Av-factoren weer:

Bijlage A
Lijst met afkortingen
ALARP As low as reasonably practicable; (ALARA - As low as reasonably
achievable)
The ALARP principle recommends that risks be reduced “so far as is
reasonably practicable,” or to a level which is “As Low As Reasonably
Practicable”.
Bevi Besluit Externe Veiligheid Inrichtingen – 2004 (Minister van
Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer).
BRZO Besluit risico’s zware ongevallen - 1999 (Minister van Volkshuisvesting,
Ruimtelijke Ordening en Milieubeheer).
CEN European Committee for Standardization
EN Europese Norm
HSE Health and Safety Executive (Britse veiligheid- en gezondheidsorganisatie
vergelijkbaar met de Arbeidsinspectie)
IEC International Electrotechnical Commission
ISO International Organization for Standardization
NEN Nederlandse Norm
NEN Nederlands Normalisatie Instituut
PL Performance Level
SIL Safety Integrity Level
SIF Safety instrumented function
Safety function with a specified safety integrity level which is necessary to
achieve functional safety and which can be either a safety instrumented
protection function or a safety instrumented control function.
N.B.: Tevens de gekozen afkorting voor automatische veiligheidsfuncties in
dit rapport.
SIS Safety Instrumented System
Instrumented system used to implement one or more safety instrumented
functions. An SIS is composed of any combination of sensor (s), logic
solver (s), and final elements(s).
N.B.: Tevens de gekozen afkorting voor automatische veiligheidssystemen
in dit rapport.
SRCF Safety-Related Control Function
Control function implemented by a SRECS with a specified integrity level
that is intended to maintain the safe condition of the machine or prevent an
immediate increase of the risk(s).
SRECS Safety-Related Electrical Control System
Electrical control system of a machine whose failure can result in an
immediate increase of the risk(s).
SRP/CS Safety-related part of a control system
Part of a control system that responds to safety related input signals and
generates safety related output signals.

Bijlage G Vergelijking risicobeoordeling volgens ISO 13849
en IEC 62061
De machine:
In een installatie die een poedermengsel verwerkt tot een granulaat staat een zeefmolen om
poederdeeltjes te verkleinen en te zeven.
De machine wordt bediend door ervaren en getrainde procesoperators. Het gevaar van de
machine is bekend bij de operators.
Gemiddeld 3x per dag gaat het inspectieluik van de zeefmolen open om te controleren of het
product niet aankoekt aan de molen. De controle duurt maximaal enkele minuten.
Binnen een armlengte kan de molen geraakt worden. De molen draait met hoge snelheid in
de zeef rond. Vingers kunnen worden gegrepen met verlies van vingers en zelfs een deel
van de hand.
Beveiliging:
Het inspectieluik is niet beveiligd. Als het geopend wordt draait de zeefmolen door. De
operators hebben de instructie om de zeefmolen eerst af te schakelen alvorens de
molen te inspecteren.
Risicobeoordeling:
Om het luik te kunnen beveiligen met een SIF wordt het PL bepaald met behulp van de
risicograaf uit de norm ISO 13849 (Bijlage C) en vervolgens het SIL bepaald met behulp van
de risicograaf uit de norm IEC 62061 (Bijlage D).
ISO 13849
S Ernst S2 Vingers en deel van de hand / deel arm kan afgerukt
worden – irreversibel
F Frequentie en/of F1 Cyclische handeling met een gemiddelde frequentie.
blootstelling aan
Tijdsduur van handeling is kort. Het is niet nodig om arm
gevaar
in het apparaat te steken.
P Mogelijkheid
voorkomen of
beperken schade
Resultaat PL c
P1 Mogelijkheid
voorkomen of
beperken schade

IEC 62061
Se Ernst 4 Significant irreversibel – mogelijk verlies meerdere vingers
en zelfs deel van de hand, waardoor het gebruik van de
hand gelimiteerd wordt.
Fr Frequentie en duur
scenario
Pr Mogelijkheid van
optreden gevaarlijke
gebeurtenis
Av Mogelijkheid
voorkomen of
beperken van
schade
Cl Waarschijnlijkheidsklasse
7 = Fr + Pr + Av
Resultaat SIL 2
4 3x per werkdag korter dan 10 minuten
2 Rarely - Omdat alleen gekeken moet worden en niet met
de arm in het gat hoeft te worden gewerkt is de kans dat
iemand zijn arm in het gat steekt erg klein. Omdat het niet
ondenkbaar is dat in een reactie men snel iets uit de zeef
grijpt mag hier niet gekozen worden voor ‘niet mogelijk’
maar voor ‘niet te verwachten’.
1 Voorkomen gevaar mogelijk - hand hoeft niet in het gat
gestoken te worden; alleen kijken. Operators zijn getraind
en ervaren. Gevaar is zichtbaar en herkenbaar. Het is
goed mogelijk om het gevaar te voorkomen.
Volgens onderstaande tabel uit de norm ISO 13849 stelt een PL c classificatie lagere
beschikbaarheideisen aan de SIF dan een SIL 2 classificatie.
In dit voorbeeld stelt de beoordeling met de ISO 13849 risicograaf dus lagere eisen
aan de SIF dan de beoordeling met de IEC 62061 risicograaf .
Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid
in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van het effect
te bepalen.

links machineveiligheid
http://wiki.edulab.nl/(S(g215skfbgk4sug55tcf42dua))/links%20industrielle%20veiligheid.ashx