Funktionale Sicherheit von Maschinen
Die Anforderungen der DIN EN 60204-1, EN 61508, DIN EN 62061 und DIN EN ISO 13849
Was ist funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikominderung abhängt. Dazu zählen elektrische, elektronische und programmierbare elektronische Systeme (E/E/PE). Diese Systeme müssen ihre bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen. Das Ziel ist, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.
Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.
Funktionale Sicherheit und die EN 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme"
Erfolgt die Risikoreduzierung mit Mitteln der Prozessleittechnik (PLT), so müssen die verwendeten Komponenten die Anforderungen der EN 61508 erfüllen. Diese Norm ist entwickelt worden, um Anforderungen zum Erreichen der Sicherheitsintegrität zur Verfügung zu stellen. Der Begriff Sicherheitsintegrität bezeichnet dabei die Wahrscheinlichkeit, dass eine Sicherheitsfunktion zufriedenstellend ausgeführt wird.
Diese Norm gibt organisatorische und technische Anforderungen sowohl für die Geräteentwicklung als auch für den Gerätebetrieb vor. Dabei werden für Anlagen und risikoreduzierende Maßnahmen vier Sicherheitsstufen unterschieden. Je höher das Risiko, umso zuverlässiger müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden. In gleichem Maße steigen die Anforderungen an die verwendeten Komponenten.
Erstmals fordert mit der EN 61508 eine Norm einen quantitativen Nachweis für das verbleibende Risiko für die komplette PLT-Schutzeinrichtung, bestehend aus Sensor, Steuerung und Aktor.
Ziele und Anwendungsbereich der EN 61508
Die EN 61508 soll helfen, ein sinnvolles und konsistentes technisches Verfahren für alle elektrischen Sicherheitssysteme zu entwickeln.
Die Norm fordert, dass eine Risikoanalyse durchgeführt wird und weiter festgelegt wird, für welche Sicherheitsfunktionen (mit einer jeweils spezifizierten Sicherheitsintegrität, dem "Safety Integrity Level", abgekürzt SIL) ein oder mehrere sicherheitsbezogene Systeme notwendig sind. Ziel ist es sicherzustellen, dass entsprechend dem SIL verbliebene systematische Fehler keinen Ausfall des sicherheitsbezogenen E/E/PE-Systems verursachen.
Von der EN 61508 betroffen sind sicherheitsbezogene Systeme, wenn eines oder mehrere dieser Systeme E/E/PE-Geräte enthalten, z. B. E/E/PE-Systeme aus den Bereichen Notabschaltsysteme, Feuermelde- und Gaswarnsysteme, Turbinenüberwachung, Brennersteuerungen und medizinische Geräte. Die Norm ist immer auf das gesamte sicherheitsbezogene E/E/PE-System anzuwenden, auch wenn die E/E/PE-Technologie nur einen kleinen Teil eines sicherheitsbezogenen Systems ausmacht.
Die EN 61508 ist eine Grundnorm, die in weiteren Normen für spezielle Anwendungen umgesetzt werden soll, z. B. für Maschinen durch die EN 60204 (dazu weiter unten mehr).
Beurteilung der Funktionalen Sicherheit
Bei der Beurteilung der Funktionalen Sicherheit (functional safety assessment) wird sichergestellt, dass die Funktionale Sicherheit erreicht wurde. Es handelt sich um eine auf Nachweise gestützte Untersuchung, die von dafür kompetenten und ausreichend unabhängigen Personen ausgeführt wird. Sie betrachten die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse und beurteilen, inwieweit die Ziele und Anforderungen der EN 61508 erreicht worden sind.
Für SIL 1 (geringes Risiko) kann die Beurteilung durch eine unabhängige Person aus der gleichen Organisation vorgenommen werden, für SIL 4 (hohes Risiko) muss eine unabhängige Organisation die Beurteilung durchführen.
Aktuelle Normen zur Funktionalen Sicherheit
Die EN 61508 ist keine harmonisierte europäische Norm, d. h. ihre Anwendung führt nicht zur Konformitätsvermutung. Seit Juni 2007 ist jedoch die DIN EN 60204 "Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen" gültig. In ihr werden Anforderungen an Steuerfunktionen im Fehlerfall formuliert: Wo Ausfälle oder Störungen in der elektrischen Ausrüstung eine gefahrbringende Situation oder Schaden an der Maschine oder am Arbeitsgut verursachen können, müssen geeignete Maßnahmen getroffen werden, um die Wahrscheinlichkeit des Auftretens solcher Ausfälle oder Störungen zu verringern. Die elektrischen Steuerkreise müssen ein angemessenes Niveau der sicherheitstechnischen Leistungsfähigkeit haben, welches mit der Risikobeurteilung für die Maschine bestimmt wurde. Die DIN EN 60204 besagt, dass dazu die Anforderungen von DIN EN 62061 und/oder DIN EN ISO 13849 angewendet werden müssen.
DIN EN 62061 "Sicherheit von Maschinen – Funktionale Sicherheit elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme"
Die DIN EN 62061 wiederum ist ein anwendungsspezifischer Standard für Maschinen, der auf der Basis der EN 61508 entwickelt wurde. Sie ist harmonisiert und folglich greift bei Einhaltung dieser Norm die Konformitätsvermutung. Die DIN EN 62061 stellt eine Methodologie und Anforderungen bereit, um den erforderlichen SIL für jede sicherheitsbezogene Steuerungsfunktion, die auszuführen ist, zu bestimmen. Dabei wird SIL 4 nicht betrachtet, da er für die Anforderungen zur Risikominderung, die sich normalerweise für Maschinen ergeben, nicht relevant ist. (SIL 4 ist möglichen katastrophalen Ereignissen in der Prozessindustrie zugeordnet.)
Die Anforderungen zur Sicherheitsintegrität für jede sicherheitsbezogene Steuerungsfunktion müssen aus der Risikobeurteilung abgeleitet werden, um sicherzustellen, dass die notwendige Risikominderung erreicht werden kann. Festgelegt werden diese Anforderungen zur Sicherheitsintegrität in Form eines SIL: Ein SIL entspricht der Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde.
| Sicherheits-Integritätslevel |
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde |
| 3 |
≥ 10-8 bis < 10-7 |
| 2 |
≥ 10-7 bis < 10-6 |
| 1 |
≥ 10-6 bis < 10-5 |
Nach DIN EN 62061
Die vier Stufen SIL 1 bis SIL 4 spezifizieren die Anforderung für die Sicherheitsintegrität der Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden.
Zu beachten ist hierbei, dass ein SIL eine Eigenschaft einer Sicherheitsfunktion ist; er bezieht sich nicht auf ein System oder Teilsystem. Jedes Teilsystem und jede Komponente, die zur Realisierung einer Sicherheitsfunktion eingesetzt wird, muss den für die Funktion geforderten SIL erfüllen.
DIN EN ISO 13849 "Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen"
Nach der DIN EN 60204 können auch die Anforderungen der DIN EN ISO 13849 angewendet werden. Die DIN EN ISO 13849 ist seit Juli 2007 gültig und enthält sicherheitstechnische Festlegungen im Sinne des GPSG. Sie ersetzt die EN 954-1:1996.
Die Fähigkeit sicherheitsbezogener Teile von Steuerungen, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen, wird in der Norm DIN EN ISO 13849 einer von fünf Stufen zugeordnet, dem sogenannten Performance Level (PL). Diese PL werden – genau wie SIL – definiert als Wahrscheinlichkeit eines gefahrbringenden Ausfalls je Stunde.
Für jede gewählte Sicherheitsfunktion, die durch ein sicherheitsbezogenes Teil einer Steuerung ausgeführt wird, muss nach DIN EN ISO 13849 ein erforderlicher PL festgelegt und dokumentiert werden. Die Bestimmung des PL ist auch hier das Ergebnis der Risikobeurteilung, bezogen auf den Anteil der Risikominderung durch die sicherheitsbezogenen Teile der Steuerung.
Vergleich DIN EN 62061 und DIN EN ISO 13849
Beide Normen, deren Anwendung von der DIN EN 60204 gefordert wird, stellen jeweils ein Konzept zur Verfügung, das in diskreten Stufen die Ausfallwahrscheinlichkeit einer Sicherungsfunktion benennt: Safety Integrity Levels (DIN EN 62061) bzw. Performance Levels (DIN EN ISO 13849).
Welche dieser beiden Normen angewendet werden muss, richtet sich nach der verwendeten Technologie, in der die sicherheitsbezogenen Steuerungsfunktionen ausgeführt werden, bzw. nach der Komplexität der Teilsysteme (DIN EN 62061: Entwurf von komplexen Teilsystemen nach SIL, DIN EN ISO 13849: Entwurf von einfachen Teilsystemen nach PL).
|
Technologie, in der die
sicherheitsbezogene(n)
Steuerungsfunktion(en) ausgeführt wird (werden) |
DIN EN ISO 13849-1
(in Revision) |
DIN EN 62061 |
| A |
Nichtelektrik,
z. B. Hydraulik, Pneumatik |
X |
nicht betrachtet |
| B |
Elektromechanik,
z. B. Relais oder
einfache Elektronik |
beschränkt auf
vorgesehene Architekturen* und
bis zu PL=e |
alle Architekturen und bis zu SIL 3 |
| C |
komplexe Elektronik,
z. B. programmierbar |
beschränkt auf vorgesehene Architekturen* und
bis zu PL=d |
alle Architekturen und bis zu SIL 3 |
| D |
A kombiniert mit B |
beschränkt auf vorgesehene Architekturen* und
bis zu PL=e |
X** |
| E |
C kombiniert mit B |
beschränkt auf vorgesehene Architekturen* und
bis zu PL=d |
alle Architekturen und bis zu SIL 3 |
| F |
C kombiniert mit A
oder C kombiniert mit
A und B |
X*** |
X** |
"X" bedeutet, dass dieser Punkt in der Norm, die in der Spaltenüberschrift angegeben ist, behandelt wird.
* Vorgesehene Architekturen sind in Anhang B der EN ISO 13849-1 (Rev.) definiert, um einen vereinfachten Ansatz zur Quantifizierung der PL bereitzustellen.
** Für nichtelektrische Technologie: Verwendung von Teilen nach EN ISO 13849-1 (Rev.) als Teilsysteme.
*** Für komplexe Elektronik: Verwendung der vorgesehenen Architekturen in Übereinstimmung mit DIN EN ISO 13849-1 (Rev.) bis zu PL=d oder jede Architektur nach DIN EN 62061.
Wie wird ein SIL ermittelt?
Zur Bestimmung des SIL stehen quantitative und qualitative Methoden zur Verfügung, zwischen denen je nach Beschaffenheit des Risikos zu wählen ist.
Bei einer quantitativen Methode z. B. werden zur Berechnung des SIL u. a. folgende Werte benötigt:
- die Auswirkung des gefährlichen Vorfalls ohne das Vorhandensein irgendwelcher Schutzmaßnahmen,
- die Häufigkeit des tolerierbaren Risikos,
- die Anforderungsrate der sicherheitsbezogenen Schutzeinrichtung
- und die mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung der sicherheitsbezogenen Schutzeinrichtung.
Ihre Kombination legt den SIL des sicherheitsbezogenen Systems fest. Möglich ist auch, dass die Kombination der Parameter keine oder keine speziellen Sicherheitsanforderungen als nötig festlegt oder zu dem Schluss führt, dass ein einzelnes E/E/PES nicht ausreichend ist.
Ein qualitativer Ansatz zur Risikoabschätzung und Festsetzung des SIL, der auf sicherheitsbezogene Steuerungsfunktionen für Maschinen angewendet werden kann, bedient sich der Schlüsselfaktoren der Risikobeurteilung. Diese Schlüsselfaktoren sind in Parametern enthalten, die den Charakter der Gefährdungssituation beschreiben, wenn sicherheitsbezogene Systeme versagen oder nicht vorhanden sind.
Die Einschätzung der folgenden Parameter werden addiert:
- Auswirkung des gefährlichen Vorfalls
- Häufigkeit und Zeit des Aufenthalts im Gefahrenbereich
- Möglichkeit, den gefährlichen Vorfall zu vermeiden
- Wahrscheinlichkeit des unerwünschten Ereignisses
Diese Summe führt zur Klasse der Wahrscheinlichkeit des Schadens. Mit dieser Klasse wiederum kann mittels einer Matrix über die Schwere von Verletzungen oder gesundheitlichen Schäden der entsprechende SIL ermittelt werden.
In jedem Fall muss der Prozess zur Bestimmung des SIL dokumentiert werden.
Wie wird ein PL ermittelt?
Auch hier gibt es qualitative und quantitative Methoden. Berücksichtigt werden dabei u. a. die mittlere Zeit bis zum gefahrbringenden Ausfall von einzelnen Bauteilen, das Verhalten der Sicherheitsfunktion unter Fehlerbedingungen, sicherheitsbezogene Software etc.
DIN EN ISO 13849 gibt mittels eines Risikographen eine Anleitung für die Bestimmung des sicherheitsbezogenen PLr (erforderlicher PL), abhängig von der Risikobeurteilung.
Die folgende Tabelle stellt die Beziehung zwischen den beiden Konzepten PL und SIL dar:
| PL |
SIL
hohe/kontinuierliche Betriebsart |
| a |
keine Entsprechung |
| b |
1 |
| c |
1 |
| d |
2 |
| e |
3 |
(PL a hat keine Entsprechung auf der SIL-Skala und wird hauptsächlich verwendet, um das Risiko leichter, üblicherweise reversibler Verletzungen zu reduzieren.)
Anforderungen an die Technische Dokumentation
Nicht nur der Prozess zur Bestimmung des SIL bzw. des PL muss dokumentiert werden. Die DIN EN 62061 legt fest, dass die Benutzerinformationen der sicherheitsbezogenen Steuerungsfunktion diejenigen Verfahren und Maßnahmen festlegen müssen, die während des konzipierten Lebens der sicherheitsbezogenen Steuerungsfunktion notwendig sind, um den SIL aufrechtzuerhalten. Ähnlich heißt es in der DIN EN ISO 13849: Zu den Informationen, die dem Benutzer gegeben werden müssen, zählen solche, die zur sicheren Verwendung der sicherheitsbezogenen Teile einer Steuerung wichtig sind.
Unsere Leistungen
Die seit Juni bzw. Juli 2007 gültigen Normen DIN EN 60204 und DIN EN ISO 13849 zeigen, dass die Anforderungen an Risikobeurteilungen stets aktualisiert und erweitert werden. In den Risikobeurteilungen, die wir für Sie erstellen, berücksichtigen wir jeweils den aktuellen Stand der relevanten Normen und Richtlinien. So können wir Sie im Rahmen der Risikobeurteilung für Ihre Maschine bei der Auswahl des richtigen SIL bzw. PL für die Sicherheitsfunktionen fachkundig unterstützen.
Außerdem beraten wir Ihre Elektrokonstruktion bei der Auslegung von sicherheitsgerichteten Steuerungen und schulen sie im Umgang mit SISTEMA, dem Software-Assistenten zur Bewertung der Sicherheit von Steuerungen im Rahmen der DIN EN ISO 13849-1.
Quellen:
DIN EN 60204-1 bis -7 "Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen";
EN 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme";
DIN EN 62061 "Sicherheit von Maschinen – Funktionale Sicherheit elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme";
DIN EN ISO 13849 "Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen" |