Einige spezifische Hintergrundinformationen zu EN ISO 13 ... · PDF filePerformance Level (3) ..... Seite 92 Teil 7: Lexikonteil/ Weitere Infos zu einigen Stichwörtern und Begriffen

Einige spezifische Hintergrundinformationen

zu EN ISO 13 849-1:2006*

für Schmersal-/Elan-Vertriebsmitarbeiter sowie interessierte Kunden

Category

S1

B1234

S2

F1P1

P2

P1

P2P2 F2

Niedriges

Risiko

Ausgangspunkt

zur Einschätzung

der Risikominderung

Performance-

Level PLr

Erforderlicher

S1

F1FF

F2FF

F1FF

P1

a

b

c

dd

P2PP

P1

PP

P1

P2PP

* EN ISO 13849-1:2006 wurde zwischenzeitlich durch eine Ausgabe EN ISO 13849-1:2008 ersetzt.

Der Unterschied betrifft aber lediglich die Inbezug nahme der neuen EG-Maschinenrichtlinie 2006/42/EG im neuen Anhang ZB der Norm. Nachfolgend bleiben wir bei EN ISO 13849-1:2006.

2

Abkürzungserklärungen (nachfolgend häufi ger verwendet)

• B10d-Wert: Anzahl der Zyklen, bis 10 % der Komponenten einer Stichprobe von mindestens 7 Baumustern gefährlich ausgefallen sind (für verschleißbehaftete, d. h. mechanische, pneu-matische und elektromechanische Komponenten)

• CCF: Common Cause Failure (auch „Common Mode Failure“ genannt): Fehler gemeinsamer Ur sache, bei denen Bauteile, die aus Sicherheitsgründen das Gleiche mehrfach gleichzeitig bearbeiten, zur gleichen Zeit ausfallen (Beispiel am Auto: Alle 4 Bremsen versagen gleich-zeitig ihren Dienst).

• DC: Diagnostic Coverage(Diagnosedeckungsgrad, Fähigkeit der – meist automatischen – Fehleraufdeckung)

• MTTFd: Mean Time To dangerous Failure (mittlere Zeit bis zu einem Gefahr bringenden Aus-fall eines Bauteils/Gerätes). Diese Angabe darf nicht verwechselt werden mit einer garan-tierten Lebensdauer(1).

• PFH/PFHd: Probability of dangerous Failure per Hour (Wahrscheinlichkeit eines Gefahr brin-genden Ausfalls pro Stunde)(2).

• PL: Performance Level (EN ISO 13 849-1:2006)Es gibt 5 PL’s („a“, „b“, „c“, „d“, „e“), wobei die sicherheitstechnische Qualität entsprechend einer zunehmenden abzudeckenden Risikohöhe – von „a“ nach „e“ – ansteigt.

• SIL: Safety Integrity Level (EN IEC 62 061:2005)Es gibt 3 SIL’s (1, 2, 3), wobei die sicherheitstechnische Qualität – entsprechend einer zu-nehmenden abzudeckenden Risikohöhe – von „1“ nach „3“ – ansteigt.

• SILCL: SIL-Anspruchsgrenze bzw. SIL-Claim-Limit (IEC 62 061:2005)Maximaler SIL, der für ein Teilsystem (Subsystem) in Bezug auf strukturelle Einschränkun-gen und systematische Fehlerintegrität in Anspruch genommen werden kann.

• SK: Steuerungskategorie (B, 1, 2, 3, 4); maßgeblich (deterministisch) bestimmt die Kategorie bereits die sicherheitstechnische Qualität eines SRP/CS. Während SK B und SK 1 auf die Qualität der verwendeten Bauteile eingehen, verlangen die höheren Kategorien zusätzliche Bauteile (Kanäle), die den Ausfall einzelner Bauteile kompensieren können.

• SRP/CS: Safety Related Part of (a) Control System(s)(sicherheitsgerichtete(r) Teil(e) einer Steuerung)

• Sub-PL/Sub-SIL: PL bzw. SIL auf Subsystemebene. Ein Subsystem ist ein System, das – bezogen auf eine Teilaufgabe – eine Sicherheitsfunktion bereits angemessen ausführt (zum Beispiel eine Eingangsbaugruppe, die die Eingänge sicher erfasst).

• T10d-Wert: Richtwert für einen vorbeugenden Austausch (10 % des – aus dem B10d-Wert ausgerechneten – MTTFd-Werts in Jahren). Bis hierhin unterstellt die Norm ein konstantes Ausfallverhalten und empfi ehlt zu diesem Zeitpunkt einen vorbeugenden Geräteaustausch.

(1) Die Indexierung „d“ steht für Ausfälle in eine gefährliche Richtung. Beispiel: Ein Transistor fällt aus und schaltet nicht ab (= gefährlich im Sinne der funktionalen Maschinensicherheit); umgekehrt „schaltet nicht ein“ = ungefähr-lich im Sinne der funktionalen Maschinensicherheit, wenngleich die Verfügbarkeit berührend.

(2) Bei diesem Wert ist die Unterscheidung über die Indexierung „d“ nicht besonders üblich, d. h. sowohl mit einem PFH- als auch mit einem PFHd-Wert ist im Regelfall die Gefahr bringende Ausfallrichtung gemeint.

3

Vorwort zur 3. Aufl age (2011)

Wir freuen uns, dass es an dieser Broschüre, die hiermit in 3. Aufl age erscheint, ein un-verändert großes Interesse gibt. Vermutlich spielt hier hinein, dass noch bis Ende die-ses Jahres (bis 31.12.2011) der Ausführung sicherheitsgerichteter Teile von Maschinen-steuerungen die harmonisierte Norm EN 954-1:1996 zugrunde gelegt werden kann (und sie nicht – wie ursprünglich geplant – bereits am 29.12.2009 die sogenannte Vermu-tungswirkung verloren hat und zurückgezogen wurde). Erst für Maschinensteuerungen, die ab 01.01.2012 in der EU bzw. im Europäischen Wirtschaftsraum (EWR) erstmals in Verkehr oder Betrieb gesetzt werden, ist EN 954-1:1996 nicht mehr der Maßstab, will man sich zum Konformitätsnachweis harmonisierter Normung bedienen, sei es in Form von EN ISO 13 849-1:2008 (2006)(1) oder – siehe a.a.O. – in speziellen Fällen EN IEC 62 061:2005 (2008)(1). Nicht vertiefen wollen wir an dieser Stelle die juristische Fachdis-kussion, ob EN 943-1:1996 noch dem Primat des Stands der Technik genügt und unter diesem Gesichtspunkt ihre weitere Anwendung bereits schon heute zweifelhaft ist.

Nachdem im Vergleich zum ursprünglichen Redaktionsstand dieser Broschüre, näm-lich „Mitte 2008“, schon einige Zeit ins Land gegangen ist, haben wir den vorliegenden Nachdruck noch einmal inhaltlich überprüft. Trotz sorgfältigen Korrekturlesens (Erratum human est!) sind dabei einige Druckfehler aufgefallen und beseitigt worden. Darüber hinaus haben wir den einen oder anderen Aspekt, der uns und anderen seinerzeit noch nicht so deutlich war, detaillierter ausgeführt. Erfreulicherweise brauchten wir uns aber nirgendwo grundsätzlich zu korrigieren.

Wir gehen hier und heute davon aus, dass die neue Norm EN ISO 13 849-1:2006 (bzw. EN IEC 62 061:2005) die bisherige Norm EN 954-1:1996 nun endgültig ab 01.01.2012 ab-lösen wird, wenngleich nicht ausgeschlossen werden kann, dass es an der einen oder anderen Stelle noch Ergänzungs-, Hilfs- und Uminterpretationen geben mag. Dies ist jedenfalls das Ergebnis einer „großen“ Fachkonferenz der EU-Kommission zu diesem Thema im September 2010 in Brüssel. Auf eine Zusammenlegung der Normen EN ISO 13 849-1:2006 und EN IEC 62 061:2005 wird man hingegen sicherlich noch ein paar Jahre warten dürfen.

Mit anderen Worten: Wenn Ihre Maschinensteuerungen dem Stand der Technik ent-sprechen wollen, wie es der Gesetzgeber von Ihnen erwartet, sollten Sie spätestens jetzt auf die neuen Anforderungen umstellen.

Wuppertal/Wettenberg, im Februar 2011

Friedrich AdamsK.A. Schmersal Holding GmbH & Co. KG, WuppertalLeiter Schmersal tec.nicum

(1) Zum Verhältnis der Ausgaben 2006 vs. 2008 siehe Fußnote auf dem Titel der Broschüre; sinngemäß gilt die Fußnote auch für die Ausgaben EN IEC 62 061:2006 vs. 2008.

Actnow !

4

Vorwort

Mit dem Inkrafttreten der Normen EN ISO 13 849-1:2006 und EN IEC 62 061:2005 bekommt das Thema der Gestaltung sicherheitsbezogener Teile von Steuerungen ein neues Bild, in dem sich ein SRP/CS künftig aus einer Kombination von deterministischen(1) und probabilistischen(2) Betrachtungsweisen zusammensetzt. Hinzu kommen noch ein paar weitere – nicht minder wichtige – neue Anforderungen unter den Stichwörtern „Systematische Fehler“ und „Soft-ware“ (siehe auch Seite 82 ff. sowie Lexikonteil, Stichwörter „Anhang G“ und „Software“). Das vorliegende Papier soll dazu dienen, Ihnen einige Hintergrundinformationen zum Thema „Neue SRP/CS-Normung“, die für Ihre tägliche Arbeit nützlich sind, bereitzustellen.

Im Hinblick auf die künftige Kombination deterministischer und probabilistischer SRP/CS-Be-trachtungsweisen gibt es künftig einige neue Anforderungen, die unsere Kunden berücksichti-gen müssen. Es gibt aber auch mehr Gestaltungsspielräume für unsere Kunden. Als Hersteller von Sicherheitsbauteilen sind wir von diesen Änderungen unmittelbar betroffen und werden gefordert, hierzu Aussagen treffen zu müssen.

Obwohl wir unseren Kunden aus praktischen Gründen empfehlen, für die künftige SRP/CS-Gestaltung EN ISO 13 849-1:2006 (und die PL-Philosophie dieser Norm) zugrunde zu legen, nehmen wir nachfolgend – überall dort, wo es alternativ in Frage käme – auch die SIL-Philoso-phie gemäß EN IEC 62 061:2005 in Bezug. Aufgrund von Zuständigkeitsquerelen der Normen-gremien bewerben sich in der Tat beide Normen um die Nachfolge von EN 954-1:1996. Den-noch wird nichts verbaut, wenn man sich für EN ISO 13 849-1:2006 entscheidet, da PL und SIL zueinander im Wesentlichen kompatibel sind und die dahinter stehende „Denke“ in einem hohen Maße gleich ist (siehe auch Lexikonteil, Stichwort „Normen“). EN IEC 62 061:2005 hal-ten wir nur in Sonderfällen für besser geeignet als EN ISO 13 849-1:2006.

Die nachfolgende Broschüre basiert auf einer Erstausgabe mit Redaktionsstand „Mitte 2008“. Die vorliegende Ausgabe ist jedoch noch einmal wesentlich überarbeitet, präzisiert und erweitert worden, sie ist – wie schon gehabt – in mehrere Teile – mit unterschiedlichen Schwerpunkten, teils Schmersal-/Elan-spezifi sch, teils Grundlagen- und Hintergrund-bezogen – unterteilt. Siehe hierzu auch Inhaltsverzeichnis ab Seite 4 ff. Darüber hinaus fi nden Sie im Teil 7 (ab Seite 93) einen kleinen Lexikonteil mit weiterführenden Informationen in Zusammen-hang mit der neuen SRP/CS-Normung. Wenn Sie sich erst einmal in die Philosophie von EN ISO 13 849-1:2006 einlesen wollen, beginnen Sie mit dem Teil 6 Seite 81 ff.

„Danke!“ zu sagen ist an dieser Stelle allen Kolleginnen und Kollegen, die durch aktives Mit-machen, Anregungen und Kritik zum Gelingen dieser Broschüre beigetragen haben.

Wuppertal/Wettenberg, im Januar 2009

Friedrich AdamsK.A. Schmersal Holding GmbH & Co. KG, WuppertalLeiter Schmersal tec.nicum

(1) Deterministisch/Determinismus (D): Begriffl ichkeit der philosophischen Wissenschaftstheorie; D meint die ein-deutige Bestimmtheit und Vorherbestimmtheit von Geschehnissen durch Ursachen (defi nier- und reproduzierbar), z. B. Fehlertoleranz durch Redundanz (Toleranzen und Zufälligkeiten spielen keine Rolle!).

(2) Probabilistisch/Probabilistik: Einstufung von Ereignissen nach dem Grad ihrer Gewissheit = Wahrscheinlichkeits-rechnung/Wahrscheinlichkeitstheorie (Teilgebiet der Mathematik).

5

Inhalt

Teil 1: Zum Hintergrundverständnis ............................................................................ Seite 9

Teil 2: Angaben (als Grundlage der Berechnungen im Sinne von

EN ISO 13 849-1:2006 und EN IEC 62 061:2005) ......................................................... Seite 15

Einfache Einzelgeräte im Schmersal-/Elan-Programm ........................................... Seite 21– Einfache Einzelgeräte im Schmersal-/Elan-Programm ............................................... Seite 22– Geräteangaben im Einzelnen ....................................................................................... Seite 25– Exkurs: Fragen zur Architektur bzw. Steuerungskategorie ......................................... Seite 29– Exkurs zum Thema „Fehleraufdeckung bei einfachen Einzelgeräten mit Sicherheitsfunktion“ .............................................................................................. Seite 32

Geräte mit komplexerer sicherheitstechnischer Funktionalität ............................. Seite 35– Geräte mit komplexerer sicherheitstechnischer Funktionalität ................................... Seite 36– Geräte mit komplexerer sicherheitstechnischer Funktionalität im Schmersal-/Elan-Programm ................................................................................... Seite 38– Gerätekombinationen .................................................................................................. Seite 41– Sicherheitsbussystem ASi-SaW/Geräte mit ASi-SaW-Schnittstelle ........................... Seite 42

Teil 3: Kombination von Sub-PL’s zu einem Gesamt-PL .......................................... Seite 45

Wie berechne ich selbst einen PL für ein Subsystem (einen Sub-PL)? .................. Seite 53– Einführung/Präambel ................................................................................................... Seite 54– Beispiele ...................................................................................................................... Seite 56– Wie berechne ich selbst einen Sub-PL mit Geräten des Schmersal-/Elan-Programms .............................................................................. Seite 63

Teil 4: Exkurse ............................................................................................................... Seite 67

Fehleraufdeckung ......................................................................................................... Seite 68

Einfl uss der Defi nition der Sicherheitsfunktion

auf die PL-Berechnung – Beispiele ............................................................................. Seite 70

Teil 5: Schaltungsbeispiele aus dem BGIA-Report ................................................... Seite 73

1) BGIA-Schaltungsbeispiel 8.2.34: Schutztürüberwachung mit nachfolgender

Signalweiterverarbeitung mittels SRB-Baustein oder Sicherheits-SPS

(der klassische Fall) ................................................................................................. Seite 74

2) BGIA-Schaltungsbeispiel 8.2.29: Kaskadierung bzw. Reihenschaltungen ...... Seite 75

3) BGIA-Schaltungsbeispiel 8.2.28: Kaskadierung bzw. Reihenschaltungen ...... Seite 76

6

4) BGIA-Schaltungsbeispiel 8.2.18: Schutztürzuhaltung mit nachfolgender

Signalverarbeitung mittels SRB-Baustein oder Sicherheits-SPS (Kanal 1)

und Standard-SPS (Kanal 2) ................................................................................... Seite 77

5) BGIA-Schaltungsbeispiel 8.2.19: Schutztürzuhaltung ........................................ Seite 78

Teil 6: Merkmale und Handhabung von EN ISO 13 849-1:2006 im Überblick ......... Seite 81

Zielsetzung der SRP/CS-Normung ............................................................................. Seite 82

Performance Level (1) ................................................................................................... Seite 85

Performance Level (2) .................................................................................................. Seite 87

Performance Level (3) ...................................................................................................Seite 92

Teil 7: Lexikonteil/

Weitere Infos zu einigen Stichwörtern und Begriffen .............................................. Seite 93

– Abschätzung von PL und SIL ...................................................................................... Seite 94– Addition von Ausfallwahrscheinlichkeiten ................................................................... Seite 94– AMD 1 zu EN 1088:1996 .............................................................................................. Seite 94– Anhang E ..................................................................................................................... Seite 95– Anhang G (gemäß EN ISO 13 849-1:2006) ................................................................... Seite 95– Anhang K (gemäß EN ISO 136849-1:2006) ................................................................ Seite 96– Architekturen ............................................................................................................... Seite 97– Ausfälle ........................................................................................................................ Seite 98– Ausfälle (systematische Ausfälle) ................................................................................. Seite 99– Ausfälle (zufällige Ausfälle) .......................................................................................... Seite 99– Ausfallraten .................................................................................................................. Seite 99

– B10d-Werte .................................................................................................................. Seite 101– Badewannenkurve ..................................................................................................... Seite 103– Berechnungen (PL-Berechnungen) ........................................................................... Seite 104– Betriebsbewährung ................................................................................................... Seite 105– BGIA .......................................................................................................................... Seite 105– BGIA-Drehscheibe ..................................................................................................... Seite 105– BGIA-Report 2/08 ...................................................................................................... Seite 106

– CCF (Common Cause Failure), CCF-Maßnahmen, CCF-Management .................... Seite 106– CCF-Management/-Maßnahmen .............................................................................. Seite 107– (Type-) C-Normen ...................................................................................................... Seite 108

– Designated Architectures .......................................................................................... Seite 108– Diagnosedeckungsgrad DC ...................................................................................... Seite 108– Diagnostic Coverage DC ........................................................................................... Seite 108

7

– Ergebnisgrafi k PL ...................................................................................................... Seite 108– Exponentialverteilung ................................................................................................ Seite 108

– Fehleraufdeckungsgrad DC ...................................................................................... Seite 109– Fehlerausschluss ....................................................................................................... Seite 109– Fehlerausschluss bei handbetätigten Geräten .......................................................... Seite 110– Fehlerausschluss bei Verriegelungseinrichtungen .................................................... Seite 110– Fehlerausschluss: Leitungsebene ............................................................................. Seite 110– Fehleraufdeckung (extern) ......................................................................................... Seite 111

– Good Engineering Practices (GEP) ........................................................................... Seite 111

– Hardware-Zuverlässigkeit MTTFd .............................................................................. Seite 112

– Inkrafttreten ............................................................................................................... Seite 112

– Kappung/Kappungsgrenze ....................................................................................... Seite 112– Kompatibilität SIL ↔ PL/PL ↔ SIL ............................................................................ Seite 112

– Leitungsebene ........................................................................................................... Seite 113– Literatur ...................................................................................................................... Seite 113– Low Demand Mode ................................................................................................... Seite 114

– Maschinen-Richtlinie (MRL) ....................................................................................... Seite 114– Mission Time (Lebensdauer) ..................................................................................... Seite 114– MTTFd-Hardware-Zuverlässigkeit ............................................................................. Seite 114

– Normen: – (Type-) A-, B- und C-Normen ................................................................................ Seite 114 – EN 954-1:1996 ........................................................................................................ Seite 114 – EN 954-2 ................................................................................................................ Seite 114 – EN ISO 13 849-1:2006 ............................................................................................ Seite 115 – EN ISO 13 849-2:2003 ............................................................................................ Seite 115 – EN IEC 62 061:2005 ................................................................................................ Seite 115 – EN IEC 61 508:2001 ................................................................................................ Seite 115 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich) ..................................... Seite 116 – EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich zu EN 954-1:1996) ........ Seite 117

– Parts-Count-Method ................................................................................................. Seite 118– Performance Level ..................................................................................................... Seite 118– PFD (Probability of Failure on Demand) .................................................................... Seite 118– PL-Ergebnisgrafi k ...................................................................................................... Seite 119– PL – Performance Level ............................................................................................ Seite 119– PLr = required .................................................................................................................... Seite 119– Proof-Test/Proof-Test-Intervall ................................................................................... Seite 119– Proven in use ............................................................................................................. Seite 120

– Reihenschaltungen .................................................................................................... Seite 120– Reihenschaltungen elektromechanischer Geräte ..................................................... Seite 120– Reset .......................................................................................................................... Seite 120

8

– Risiko, Risikoanalyse, Risikobewertung .................................................................... Seite 120– Risikograf, Risikobewertung ...................................................................................... Seite 121– Risikograf-Betrachtung gemäß EN ISO 13 849-1:2006 ............................................. Seite 121– Risikograf-Betrachtung gemäß EN IEC 62 061:2005 ................................................. Seite 122– Rückführkreis ............................................................................................................ Seite 123

– Säulendiagramm ........................................................................................................ Seite 123– Sicherheitsfunktion .................................................................................................... Seite 123– SIL (Safety Integrity Level) ......................................................................................... Seite 123– SIL Claim Limit (SILCL) .............................................................................................. Seite 124– SISTEMA .................................................................................................................... Seite 124– Software .................................................................................................................... Seite 125– Steuerungskategorien ............................................................................................... Seite 126– Steuerungskategorien/Steuerungskategorie 2 ......................................................... Seite 127– Symmetrisierungsformel ........................................................................................... Seite 127

– T10d-Wert-Betrachtung ............................................................................................... Seite 127– Testeinrichtungen ...................................................................................................... Seite 128

– Übergangsfrist ........................................................................................................... Seite 128

– Vorgesehene Architekturen ....................................................................................... Seite 128

– Wiedereinschaltkreis ................................................................................................. Seite 128

– Zielsetzung der SRP/CS-Normung ........................................................................... Seite 128– Zusätzlicher Überwachungsschalter ......................................................................... Seite 128– Zuverlässigkeitstechnik (Zuverlässigkeits-Engineering) ............................................ Seite 129

Teil 8: Auszug aus unserer Broschüre „Neuer Ansatz für die Sicherheit

von Maschinen: EN ISO 13 849-1:2006 – Sicherheitsbezogene Teile

von Steuerungen ......................................................................................................... Seite 131

Teil 9: Schmersal-/Elan-Merkblätter ........................................................................ Seite 137

Teil 10: Umgang mit der PFHd-Begrenzung auf 100 y MTTF

d ................................. Seite 141

Impressum .................................................................................................................... Seite 147

Die Informationen in dieser Broschüre erfolgen besten Wissens und Gewissens. Wir überneh-men jedoch – ausgenommen gegenteiliger und zwingender gesetzlicher Vorschriften – keine Haftung für etwaige Fehler und Missverständnisse. Der Nutzer dieser Informationen ist nicht davon entbunden, unsere Angaben und Empfehlungen für den eigenen Gebrauch selbstver-antwortlich zu prüfen. Wir bitten um Verständnis und um Beachtung dieses Hinweises.

9

Zum Hintergrundverständnis

9

10

Zum Hintergrundverständnis (1)(weitere Informationen: siehe Teil 6, Seite 81 ff.)

Grob zusammengefasst ist ein Performance Level, wie ihn die neue Norm EN ISO 13 849-1:2006 künftig(1) für die Gestaltung von SRP/CSen fordert, eine Betrachtung mehrerer Einfl uss größen, die heute weltweit anerkannt sind, die Sicherheit und die Zuverlässigkeit von Systemen zum Messen, Steuern und Regeln zu bestimmen, d.h. Einfl ussgrößen, die die Si-cherheitsintegrität eines Systems ausmachen. Im Unterschied zu dem, was heute im Maschi-nenbau üblich ist, entspricht ein Performance Level dabei einer multidimensionaleren Be-trachtung. Anstelle komplexer Modellierungen verwendet EN ISO 13 849-1:2006 dazu jedoch einen vereinfachten Ansatz, in dem 4 Hilfsgrößen betrachtet werden.

Bitte beachten Sie jedoch, dass an einen Performance Level – unbeschadet seiner Höhe – zusätzlich grundlegende Anforderungen (Basisanforderungen) gestellt werden, d. h. Maßnah-men zur Vermeidung und Beherrschung systematischer Ausfälle und Fehler, während es bei einer PL-Klassifi kation (PL „a“ … „e“) im Wesentlichen um die Vermeidung und Beherrschung zufälliger Ausfälle und Fehler geht (siehe auch Lexikonteil, Stichwörter zu „Ausfällen“).

• Ausgangspunkt einer PL-Betrachtung ist die Bestimmung verschiedener Sicherheitsfunktio-nen einer Maschine bzw. einer Maschinensteuerung.

• Es folgt die Bestimmung des erforderlichen Performance Levels PLr für die betreffende Sicherheitsfunktion. Welcher von 5 Performance Leveln („a“ … „e“) auszuwählen ist, ergibt sich aus der jeweiligen C-Norm (Produktnorm) oder per Risikograf-Betrachtung.

• Der Performance Level spiegelt dabei das erforderliche Maß an Maßnahmen zur Risikomin-derung wider.

a) Risiko muss in sehr geringem Maß reduziert werden

b) Risiko muss in geringem Maß redu-ziert werden

c) Risiko muss in größerem Maß redu-ziert werden

d) Risiko muss in hohem Maß redu-ziert werden

e) Risiko muss in bedeutendem Maß reduziert werden

• Ausgedrückt wird die Wirksamkeit der (erforderlichen) Maßnahmen in Form eines PFHd-Werts (eines Werts der verbleibenden maximal tolerierten durchschnittlichen Wahrschein-lichkeit eines gefährlichen Ausfalls pro Stunde = Average Probability of a dangerous Failure per Hour). Der PFHd-Wert ist dabei auch die Klammer zu den internationalen Safety Integrity Leveln (SIL’s), wie sie EN IEC 61 508:2000 bzw. EN IEC 62 061:2005 kennen.

• Die Abschätzung (Berechnung) eines Performance Levels erfolgt nun gemäß EN ISO 13 849-1:2006 aufgrund der Betrachtung von 4 Einzelparametern (Hilfsgrößen):

Re

str

isik

o

a

b

c

d

e

Risikohöhe

(1) Nach heutiger Beschlusslage wird EN 954-1:1996 (bzw. ISO 13 849-1:1999) spätestens am 31.12.2011 zurück-gezogen werden (ursprünglich am 29.12.2009 vorgesehen). Siehe hierzu auch Amtsblatt der Europäischen Gemein schaften C 321/18 vom 29.12.2009.

11

1. der Architektur, im Wesentlichen identisch mit der Betrachtung der Steuerungskatego-rien, wie man sie aus der Anwendung von EN 954-1:1996 (ISO 13 849-1:1999) kennt, die in EN ISO 13 849-1:2006 übernommen worden ist;

2. der Beurteilung der Hardware-Zuverlässigkeit, ausgedrückt als Mean Time to dange-rous Failure MTTFd in Jahren (einer – unter Bezugnahme auf die Exponentialverteilung – Wahrscheinlichkeitsmathematik-basierten Annahme über das Hardware-Ausfallverhalten; siehe hierzu auch Seite 88/89);

3. der Beurteilung (der Wahrscheinlichkeit) der Wirksamkeit der fehleraufdeckenden Maß-nahmen im SRP/CS oder im betreffenden SRP/CS-Abschnitt, ausgedrückt als Diagnose-deckungsgrad DC (für Diagnostic Coverage) in %;

4. der Beurteilung von Maßnahmen gegen sogenannte Common-Cause- bzw. Common-Mode-Ausfälle (CCF = Common Cause Failures = Ausfälle, die den sicherheitstechni-schen Nutzen der Mehrkanaligkeit eines Systems zerstören könnten).

• Mittels einer Grafi k – eines Säulen-Diagramms – oder des Anhangs K von EN ISO 13 849-1:2006 lässt sich dann der erreichte Performance Level PL bestimmen und mit dem für die jeweilige Sicherheitsfunktion benötigten PLr vergleichen und validieren.

Ergebnisgrafi k

Schematische Zusammenfassung

Vorgesehene Architektur

(Steuerungskategorien):

Frühere EN 954-1:1996-Betrachtungen

Hardware-Fehlerqualität

(Mean Time To dangerous Failure):

Hersteller-, Norm- oder Nach-schlagewerke-Angaben

Diagnosedeckungsgrad DC

(Fehleraufdeckungsrate):

Anhang E von EN ISO 13 849-1:2006 oder Hersteller-angaben

Common-Cause-Failure-Maßnahmen

CCF:

≥ 65 Punkte kann bei Sicherheitsbauteilen grundsätzlich unterstellt werden (siehe Tabelle im Lexikonteil, Stichwort „CCF“)

Numerische Darstellung gemäß EN ISO 13 849-1:2006 Anhang K

TabellTabellabellabeTabe e K.1 e K.1e K.1e K.1e K 1 – Nume– Nume– NumeNume– Numerischerischerischerischech DarstDarstDarstrss ellungellungellungellungellung von Bvon Bvon Bvonvon ild 5ild 5 ild 5dd (aus (aus E(aus EN ISO N ISON ISO 13 849138491384913 84913 849-1:200-1:2001:200-1:200-1:2006 [D]6 [D]6 [D] – Anha– AnhaAnha– Anha– Anhang K ng K [ng K [informinformnformnformormativ])ativ])ativ]

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde [1/h] und der zugehörige Perfor-

mance Level (PL)

MTTFd

für jeden

Kanal

Kat. B PL Kat. 1 PL Kat. 2 PL Kat. 2 PL Kat. 3 PL Kat. 3 PL Kat. 4 PL

Jahre DCavg = kein

DCavg = kein

DCavg = niedrig

DCavg = mittel

DCavg = niedrig

DCavg = mittel

DCavg = hoch

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c7 57 57 57 57 57 57,57,57,5,, 1 521 52 ×1 52 ×1 52 ×1 52 ×1 52 ×1,52 ×1,52 ×1,52 ×,, 101010101010101010–5–555 aaaaaaaaa 9 759 75 ×9 75 ×9 75 ×9 75 ×9 75 ×9,75 ×9,75 ×9,75 ×,, 101010101010101010–6–666 bbbbbbbbbb 710710 ×710 ×710 ×710 ×710 ×7,10 ×7,10 ×7,10 ×,, 101010101010101010–6–666 bbbbbbbbbb 4 454 45 ×4 45 ×4 45 ×4 45 ×4 45 ×4,45 ×4,45 ×4,45 ×,, 101010101010101010–6–666 bbbbbbbbbb 1 951 95 ×1 95 ×1 95 ×1 95 ×1 95 ×1,95 ×1,95 ×1,95 ×,, 101010101010101010–6–666 ccccccccc8 28 28 28,28,2 1 391 391 39 ×1,39 ×1,39 × 1010101010 5–5–55 aaaa 8 878 878 87 ×8,87 ×8,87 × 1010101010 6–6–66 bbbbb 6 436 436 43 ×6,43 ×6,43 × 1010101010 6–6–66 bbbbb 4 024 024 02 ×4,02 ×4,02 × 1010101010 6–6–66 bbbbb 1 741 741 74 ×1,74 ×1,74 × 1010101010 6–6–66 cccc

MTTFd = niedrigMTTFd = mittelMTTFd = hoch

Kategorie BDCavg =

0

Kategorie 1DCavg =

0

Kategorie 2DCavg =niedrig

Kategorie 2DCavg =mittel



Kategorie 4DCavg =hoch

a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Wahrscheinlichkeit eines Gefahr

bringenden Fehlers pro Stunde

(PFHd)

Performance Level PLr

Quelle: C-Norm oder Risikograf-Betrachtung

PL Safety Integrity Level (SIL)

a ≥ 10–5 … < 10–4 = Keine Entsprechung

b ≥ 3 × 10–6 … < 10–5

≙ SIL 1c ≥ 10–6 … < 3 × 10–6

d ≥ 10–7 … < 10–6 ≙ SIL 2

e ≥ 10–8 … < 10–7 ≙ SIL 3

12

Zum Hintergrundverständnis (2)

• Die vorliegende Broschüre konzentriert sich im Wesentlichen auf Informationen, die die Be-rechnung (Abschätzung) eines Performance Levels betreffen, wie ihn EN ISO 13 849-1:2006 künftig zugrunde legt, und bezieht sich dabei schwerpunktmäßig auf die Methode der soge-nannten Subsystem-Betrachtung.

Anmerkung: Die Wortwahl „Berechnung“ und „Abschätzung“ eines Performance Levels (PL’s), wie sie nachfol-gend häufi g verwendet wird, ist gleichsinnig zu verstehen. In EN ISO 13 849-1:2006 wird regelmäßig von Abschät-zung gesprochen. Abschätzung darf zwar nicht mit Schätzen verwechselt werden (vielmehr ist hiermit eher der mathematische Fachbegriff für Hilfsgrößen in Zusammenhang mit Ungleichungen gemeint), jedoch kommt es umgekehrt auch auf die absolute rechnerische Genauigkeit nicht an. Vielmehr geht es um die richtige Richtung bzw. um die richtige Größenordnung.

• Es gibt im Prinzip zwei Möglichkeiten, für eine Sicherheitsfunktion einen Performance Level

(PL) zu berechnen:

Möglichkeit 1 basiert auf der sogenannten Blockmethode gemäß Anhang B von EN ISO 13 849-1:2006 und ist eine Betrachtung des gesamten SRP/CS. Eine Gesamt-Betrachtung gemäß der Blockmethode ist beispielsweise das Normbeispiel, das Sie im Anhang I von EN ISO 13849-1:2006 fi nden (siehe Anhang im Anschluss an den Lexikonteil Seite 131 ff.). Die Anwendung der Blockmethode empfi ehlt sich am Ehesten für komplexe ineinander verwo-bene SRP/CS und in Sonderfällen (als Alternative zur Subsystem-Methode).

Gesamt-Betrachtung einer Sicherheitsfunktion

➔ Blockmethode ➔ Normbeispiel

SW1B

K1BSW2

CC:PLC:M:RS:

:

Current ConverterProgrammable Logic ControllerMotorRotation SensorSwitch shown in actuated position

Close

Open

Control signal CC

L+++

MRS n

API PLC SPS

SW1B K1B

SW2 PLC CC

RS

Möglichkeit 2 ist die als Vereinfachung gedachte Subsystem-Methode (nachfolgend auch häufi ger „Sub-PL-Betrachtung“ oder „Sub-PL-Methode“ genannt), die unter Bezugnahme auf die sogenannte Kombinationstabelle (Tabelle 11 von EN ISO 13 849-1:2006, siehe Seite 45 ff.) erfolgt. Siehe hierzu auch Anhang H der Norm. Vorteil der Subsystem-Methode ist, dass man zum einen Geräte und Systeme am Markt fi ndet, die bereits ein Subsystem bilden und die seitens ihrer Hersteller schon mit einem Sub-PL (bzw. Sub-SIL) und einem zugehö-rigem PFHd-Wert qualifi ziert sind, d. h. man in diesen Fällen selbst nicht zu rechnen braucht, zum anderen – wenn man einen Sub-PL selbst abzuschätzen hat – die Abschätzung (Be-rechnung) wesentlich einfacher (weniger komplex) ist. Aber auch wenn Tabelle 11 nicht sinnvoll anzuwenden ist, gibt es den Vorteil der Entkomplexisierung.

13

(1) Sub-PL’s und Sub-SIL’s werden nachfolgend häufi ger im gleichen Atemzug genannt, weil auch EN IEC 62 061:2005 die Methode der Subsystem-Betrachtung bevorzugt beschreibt.

• Sub-PL’s bzw. Sub-SIL’s(1) liegt eine Modularisierung eines Gesamt-SRP/CS in Teil-SRP/CSen (= Teil- bzw. Subsysteme) zugrunde, die aus Funktionsblöcken (typischerweise Funktions-blöcke für die Eingangs-, Signalverarbeitungs- und Ausgangsebene = I für Input + L für Logik + O für Output) abgeleitet werden. Siehe hierzu die obige Abbildung. Die Aufteilung erlaubt – wie schon ausgeführt – später eine vereinfachte Berechnung des Gesamt-PL’s (bzw. Gesamt-SIL’s).

• Mit aller gebotenen Vorsicht lässt sich aber auch sagen, dass die Blockmethode die rech-nerisch genauere Methode ist, die zudem auch mehr Gestaltungsmöglichkeiten erlaubt, weil nicht das einzelne Subsystem, sondern die gesamte Sicherheitskette I + L + O (geomet-risch) gemittelt wird.

• Legt man das Schmersal-/Elan-Lieferprogramm (und auch die Lieferprogramme unserer Wettbewerber) zugrunde, gilt es im Hinblick auf eine Sub-PL- bzw. Sub-SIL-Betrachtung zwischen zwei Arten von Geräten zu unterscheiden, nämlich der Gruppe „Einfache Einzel-geräte mit Sicherheitsfunktion“ (auch „passive Geräte“, „Elemente“ oder „Teilsystem-Ele-mente“ genannt) und der Gruppe „Geräte mit komplexerer sicherheitstechnischer Funktio-nalität“ (auch „aktive Geräte“, „Sub-Systeme“ oder „Teilsysteme“ genannt).

• Die vorgenannte Unterscheidung in zwei Gerätegruppen bedeutet keine Qualifi zierung, d. h. beide Gerätegruppen können ihre jeweilige sicherheitstechnische Aufgabenstellung im SRP/CS gleich gut erfüllen; lediglich ist die Handhabung (siehe auch Seite 15 ff.) unterschiedlich.

Aufteilung der Sicherheitsfunktion in I , L und O ➔ Sub-PL-Methode ➔ siehe Seiten 47 ff.

Safety function B

Safety function A

Function block B 1 Function block B 2 Function block B 3

Subsystem 1 Subsystem 2

SRECS

Subsystem 3

ck A 1 Funnction block A 3nnFunction bloccc Function block A 2

oder

Sensor I Auswerteeinheit L Aktor O

14

• Der wesentliche Unterschied zwischen beiden Gruppen liegt in unterschiedlichen Geräte-architekturen. Es gibt einmal Architekturen – siehe Abbildung links – mit (automatischer) „Fremddiagnose“ und Architekturen – siehe Abbildung rechts – mit (automatischer) „Selbst-diagnose“ (siehe auch Seite 15 ff.). Automatisch bedeutet in diesem Zusammenhang und in beiden Fällen „im Wesentlichen ausgeführt vom System“ bzw. „willensunabhängig“.

Zugeordnete Funktions- und Integritätsanforderungen

SchalterVerriegelung

TSE 1.1

D

D

D SPS in Überein-stimmung

mit IEC 61508

Teilsysteme (TS)

implementieren Funktionsblöcke und sind Elemente in dem Entwurf der Architektur auf oberster Ebene, wobei ein Ausfall irgend eines Teilsystems zu einem Ausfall der sicherheitsbezogenen Steuerungsfunktion führt.

Teilsystem-Elemente (TSE)

sind Baugruppen, die die zu den Teilsystemen zugeordneten Funktionsblock-Elemente implementie-ren.

Diagnosefunktionen (D)

werden als separate Funktionen betrachtet, die eine von der sicherheits-bezogenen Steuerungsfunktion separate Struktur haben können. Sie können ausgeführt werden

SRECS

SRECS ist.


TSE 1.2

Geschwindigkeits-sensorTSE 2.1


SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4



TSE 1.1

D

D

DD

SPS in Überein-

stimmung mit IEC 61508

Teilsysteme (TS)



sind Baugruppen, die die zu den Teilsystemen zugeordneten Funk-tionsblock-Elemente implementie-ren.



SRECS

SRECS ist.


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2 TS 3 TS 4

Unterschied:

Fremddiagnose vs. Selbstdiagnose

Einfache Einzelgeräte

mit Sicherheitsfunktion

Geräte mit komplexerer

sicher heitstechnischer Funktionalität

Einfache Einzelgeräte mit Sicherheitsfunktion (in der obi-gen Grafi k auch Teilsystem-Elemente TSE genannt) sind insbesondere dadurch gekennzeichnet, dass sie von Haus aus über keine eigenen Fähigkeiten zur Fehlerauf-deckung verfügen, sondern es hierzu anderer Teile des SRP/CS bedarf (= Fremddiagnose). Siehe hierzu auch die getrennte Anordnung von D in der obigen Grafi k. Gesamthaft (TSE bzw. TSE’s + D ) ergibt sich dann ein Teilsystem (ein Subsystem), das sich für eine (höhere) Sub-PL-Berechnung eignet. Für niedrigere PL’s genügt eine Beurteilung der Hardware-Zuverlässigkeit der einfa-chen Einzelgeräte (TSE’s).

Geräte mit komplexerer sicherheitstechnischer Funk-tionalität verfügen bereits von Haus aus über eine Ar-chitektur, die alle Merkmale hat, die für einen (höheren) Sub-PL erforderlich sind, insbesondere die Fähigkeit der eigenen Fehleraufdeckung (= Selbstdiagnose). Siehe hierzu auch die direkte Zuordnung von D in der obigen Grafi k, d. h. TSE und D bilden bereits eine Einheit (ein Teil- oder ein Subsystem mit – im Regelfall – höherem Sub-PL).

Darstellung EN IEC 62 061-2005 entlehnt!

15

Angaben (als Grundlage der Berechnungen im Sinne

von EN ISO 13 849-1:2006 und EN IEC 62 061:2005)

15

16

Angaben (als Grundlage der Berechnungen im Sinne

von EN ISO 13 849-1:2006 und EN IEC 62 061:2005)

• Alle namhaften Hersteller werden ihre technischen Daten – wenn sie es nicht ohnehin schon tun – nach und nach um Angaben im Sinne von EN ISO 13 849-1:2006 und EN IEC 62 061:2005 erweitern bzw. werden solche Angaben auf Anfrage zur Verfügung stellen können. Neben den Herstellerangaben gibt es eine Vielzahl anderer Quellen, derer man sich ggf. bedienen kann (angefangen bei EN ISO 13 849-1:2006 [Anhang C] und EN IEC 62 061:2005 selbst, über die Norm SN 29 000 bis hin zu [relativ veralteten] MIL-Handbüchern u. Ä.). Beide Normen geben aber die klare Aussage, dass bevorzugt Herstellerangaben verwendet werden sollen.

• Je nach Geräteart fallen die Angaben aber unterschiedlich aus. Zu unterscheiden ist, ob es sich um Bauteile (z. B. elektronische Bauelemente), um einfache Einzelgeräte, z. B. um einfache Sicherheitsschaltgeräte, oder um Geräte mit komplexerer sicherheitstechnischer Funktionalität handelt. Hierzu gehören ggf. auch Gerätekombinationen.

• Bauteile werden im Folgenden nicht weiter betrachtet. Der wesentliche Unterschied im Übrigen ist, dass Geräte mit komplexerer sicherheitstechnischer Funktionalität und Geräte-kombinationen bereits von Haus aus über eine spezifi sche sicherheitsgerichtete Architektur (sprich SK 2 und höher) und über eigene Fähigkeiten der Fehleraufdeckung (über eine – unter diesem Aspekt – eigene „Intelligenz“) verfügen. Man könnte auch von der Fähigkeit der Selbstdiagnose sprechen. Geräte mit komplexerer sicherheitstechnischer Funktionalität haben deshalb von Haus aus schon einen höheren Sub-PL bzw. Sub-SIL.

• Einfache Einzelgeräte, zum Beispiel einfache Sicherheitsschalter, haben dagegen im Re-gelfall nur eine einfache Architektur (sie sind bestenfalls 2-kanalig). Insbesondere ist aber die Fähigkeit der Selbstdiagnose nicht gegeben. Vielmehr erfolgt bei diesen Geräten die Fehleraufdeckung von anderen – den einfachen Einzelgeräten vor- oder nachgeordneten – SRP/CS-Teilen, zum Beispiel bei AZ 16-Schaltern durch einen SRB-Baustein. Insofern kann man dann hier auch von Fremddiagnose sprechen. Einfache Einzelgeräte werden in der Normung auch „Teil- oder Subsystem-Elemente“ genannt.

• Einfache Einzelgeräte (ohne zusätzliche Fremddiagnose) haben im Regelfall nur einen nied-rigen Sub-PL bzw. Sub-SIL (je nach Ausfallwahrscheinlichkeit max. PL „c“ bzw. SIL 1); sie können jedoch bei entsprechender Anordnung (Stichwort: „Architektur“) und in Verbindung mit zusätzlichen fehleraufdeckenden Maßnahmen (Stichwort: „Fremddiagnose“) bis zu Sub-PL „e“ bzw. Sub-SIL 3 ertüchtigt werden. Ggf. ist hierfür zusätzlich eine 2-kanalige Anord-nung/Ausführung zu realisieren(1).

• Typische Beispiele für einfache Einzelgeräte sind Ventile und Zylinder der Fluidtechnik (Hy-draulik, Pneumatik), Hilfs- und Leistungsschütze, Not-Halt-Befehlsgeräte, Positionsschalter, Verriegelungseinrichtungen einschließlich Sicherheits-Magnetschaltern, Zustimmungsschal-ter etc. Für Geräte dieser Art wird künftig im Regelfall eine Zuverlässigkeitsgröße in Form eines B10d-Werts (max. Schalthäufi gkeit), weil sie einem Verschleiß bei der Benutzung unter-liegen, angegeben, ggf. aber auch bei neuen Geräten in Zukunft ein MTTFd-Wert (in Jahren). Zur B10d-Wert-Betrachtung: siehe Seite 22 ff.

(1) Im Klartext bedeutet dies, dass (bis auf Ausnahmen) einfache Schalter, auch wenn sie elektrisch zweikanalig sind, keine Kategorie höher als 1 und keinen Sub-PL höher als „c“ bzw. keinen Sub-SIL höher als 1 haben können. Erst wenn eine nachgeschaltete Intelligenz auch Fehler erkennt, kann man – z. B. in Verbindung mit einer 2-Kanalig-keit – solchen Schaltern höhere Kategorien, PL’s bzw. SIL’s zuordnen. Alternativ steht die Möglichkeit begründeter Fehlerausschlüsse zur Verfügung. Siehe hierzu auch Seiten 23 f. und 29 ff.

17

Schematische Zusammenfassung:

Aufteilung von Schmersal-/Elan-Geräten in zwei Gruppen

Einfache Einzelgeräte

mit Sicherheitsfunktion

Geräte mit komplexerer

sicherheitstechnischer

Funktionalität

• Im Regelfall: 1-kanalig (manchmal 2-kanalig)

• Stand-alone: Max. PL „c“ bzw. SIL 1• Keine eigene Diagnose• Für „höhere“ PL’s

+ höherwertige Architektur (oder Fehler- ausschlüsse, siehe u.a. Seite 29 ff.)+ Fremddiagnose erforderlich!

• Im Regelfall: 2-kanalig• Selbstdiagnose-Fähigkeit• Ertüchtigt für höhere Sub-

PL’s

• Wie bereits ausgeführt, lässt sich auch mit den sogenannten einfachen Einzelgeräten ein (Sub-)PL „d“ oder (Sub-)PL „e“ erreichen, bezieht man fehleraufdeckende Maßnahmen, die ihnen von anderen SRP/CS-Teilen zu Teil werden, mit in die Betrachtung ein; ggf. zusätzlich erforderlich ist noch eine Redundanz der Geräte, wenn sie von Haus aus selbst nicht die Anforderungen an eine 2-kanalige Architektur erfüllen. Im Grunde genommen handelt es sich bei diesen Betrachtungen um nichts anderes als um die aus EN 954-1:1996 bekannte Kombination solcher Geräte mit zum Beispiel Sicherheits-Relais-Bausteinen oder Sicher-heits-SPSen, deren Eingangs- und Rückführkreise als fehlersicherer Vergleicher wirken, der etwaige Ausfälle und Fehler auf der I - oder O -Ebene erkennt.

Sicherheitsschalter mit getrenntem Betätiger

Sicherheits-Sensoren mit magnetischem Wirkprinzip

Sicherheitszuhaltun-gen in Kunststoff- und Metallausführungen

Verdrahtungslose Systeme/Schlüs-seltransfersysteme

Positionsschal-ter mit Sicher-heitsfunktion

Not-Halt-Befehlsgeräte Zustimmungsschalter Seilzug-Notschalter Sicherheits-Fußschalter

18

• Ergänzende Anmerkungen zu den Begriffen „Hardware-Zuverlässigkeit“, „MTTFd“ u. ä. bei einfachen Einzelgeräten mit Sicherheitsfunktion:In anderen Normen und in anderen Zusammenhängen des Zuverlässigkeits-Engineerings fi nden sich auch andere Ausdrucksweisen für Ausfallwahrscheinlichkeiten, z. B. λ- oder FIT-Werte. Diese Angaben lassen sich per Kehrwert-Bildung einfach in MTTFd-Werte umrechnen. Sogenannte MTBF-Werte (= Mean Time Between Failures) können in Zusammenhang mit EN ISO 13 849-1:2006 MTTF-Werten gleichgestellt werden. Zu beachten ist die Indexierung „d“ für dangerous bzw. gefährliche Ausfälle. Werte ohne „d“ werden gemäß EN ISO 13 849-1:2006 im Regelfall im Verhältnis 50:50 aufgeteilt (man geht davon aus, dass statistisch nur jeder zweite Ausfall ein Ausfall in die gefährliche Richtung ist), d. h. ein MTTFd ist doppelt so hoch wie der MTTF (für alle möglichen Ausfälle). Der gleiche Zusammenhang besteht zwischen B10d- und B10-Werten.

• Geräte mit komplexerer Funktionalität (Subsysteme und mehr) sind dagegen von Haus aus bereits so aufgebaut, dass sie sicherheitstechnisch eigenständig bewertet werden kön-nen, ohne dass dafür andere Teile des SRP/CS in Bezug genommen werden müssen. Die Herstellerangaben sind dann ein Sub-PL bzw. ein Sub-SIL (jeweils mit einem zugehörigen PFHd-Wert). Typische Beispiele für Geräte mit komplexerer sicherheitstechnischer Funk-tionalität sind Sicherheits-Relais-Bausteine, Mikroprozessor-basierte Sicherheitssensoren, Sicherheits-SPSen, sicherheitsgerichtete Bussysteme u. Ä.

Berührungslose Sicher-heits-Zuhaltungen mit induktivem Wirkprinzip

Sicherheitssensoren mit induktivem Wirk-prinzip

Sicherheits-SPSen Geräte für ASi-SaW

Sicherheits-Lichtgitter/-vorhänge AOPD Typen 2 und 4

… wahlweise mit Muting-, Blanking- und Kombi-Funktionen, mit Taktbetrieb

… wahlweise mit Schutzart IP 69K, auch in hygiene-gerechter Ausführung

Einweg-Sicherheits-lichtschrankenAOPD Typen 2 und 4

PS: Bei PFH-Werten ist die Unterscheidung über die Indexierung „d“ nicht besonders üblich, d. h. sowohl mit einem PFH-Wert als auch mit einem PFHd-Wert ist im Regelfall die Gefahr bringende Ausfallrichtung gemeint.

• Geräten mit komplexerer sicherheitstechnischer Funktionalität gleichgestellt sind Geräte-kombinationen, z. B. die Kombination von Sicherheitsmagnetschaltern BNS und speziellen dazugehörigen Auswertebausteinen AES, die so (in der Kombination) ebenfalls eine sicher-heitstechnisch in sich abgeschlossene Funktionalität darstellen, für die ein höherer Sub-PL bzw. Sub-SIL bestimmt werden kann.

19

Beispiel einer Gerätekombination BNS/AES

• ACHTUNG Stolperstein: Werden in einem SRP/CS einfache Einzelgeräte und Geräte mit komplexerer sicherheitstechnischer Funktionalität gemischt, z. B. Sicherheitsschalter auf der Eingangsebene und eine Sicherheits-SPS auf der Logikebene, kann es vorkommen, dass man für das eine Subsystem (hier im Beispiel für das Subsystem „Eingangsebene“) MTTFd-Werte hat (oder B10d-Werte, woraus sich dann MTTFd-Werte ableiten, siehe auch Seite 22 f.) und für das andere Subsystem (hier im Beispiel für das Subsystem „Logik-ebene“) PFHd-Werte. Ggf. (wenn die Werte addiert werden müssen) ist einer der beiden Werte umzuwandeln. Hierzu dient dann Anhang K von EN ISO 13 849-1:2006 (leider nur bis 100 y MTTFd; siehe Lexikonteil, Stichwort „Anhang K“) oder eine grobe eigene Ab-schätzung/Hochrechnung der Anhang K-Zahlen oder die vereinfachte Rückrechnung eines PFHd-Werts in einen Block-MTTFd-Wert (1/PFHd : 8.760) (siehe auch Seite 50 sowie entspre-chende Stichwörter im Lexikonteil).

• Sie können ggf. aber auch – insbesondere wenn die vereinfachende Tabelle 11 der Norm, siehe hierzu Seite 46 ff., nicht sinnvoll anwendbar ist, aber auch bei komplexeren Gemen-gelagen – Block- und Sub-Systemmethoden der Norm mischen. Siehe hierzu Beispiel im Nachtrag zur Ausgabe 2011 (Seite 141 ff.).

• Hintergrund für diesen „Stolperstein“ ist, dass hinter einem PL – neben deterministischen Anforderungen – eigentlich ein PFHd-Wert steht, der sich wahrscheinlichkeits-mathematisch aus den bereits angesprochenen 4 Betrachtungsparametern ergibt. Mit anderen Worten ist der PFHd-Wert der „übergeordnete“ Wert (mit dem sich Geräte komplexerer sicherheits-technischer Funktionalität beschreiben lassen), wohingegen der MTTFd-Wert nur ein Teil-aspekt im Rahmen einer diskreten Betrachtung für einfache Einzelgeräte ist, zu der dann noch die Architektur (die Steuerungskategorie), die Fehleraufdeckung (DC) und das CCF-Management hinzukommen und die sich dann insgesamt mit einem PFHd-Wert beschreiben lassen. Die dahinterstehende „Mathematik“ wurde vom BGIA(1) ermittelt.

(1) BGIA: Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (siehe Lexikonteil)

20

Exkurs: Einsatz von „Dual-Use-Produkten“ in SRP/CSen(1)

• Gemeint sind mit dem Begriff „Dual-Use-Produkte“ Gerätschaften, die vom Hersteller nicht ausdrücklich als Sicherheitsbauteil in Verkehr gebracht werden, sondern „von Haus aus“ für betriebsmäßige Anwendungen bestimmt sind, aber auch in Sicherheitsfunktionen verwen-det werden können, z. B. handelsübliche Näherungsschalter, Positionsschalter, Schütze, Ventile, SPSen u. Ä.

• Gemäß EN ISO 13 849-1:2006 ist der Einsatz auch solcher Geräte im Rahmen von Sicher-heitsfunktionen grundsätzlich zulässig (deshalb auch der Begriff „Dual-Use-Produkte“), wenn entsprechende qualifi zierte Anforderungen erfüllt werden.

• Im Regelfall geben die Hersteller von Produkten dieser Art richtigerweise nur einen MTTF- oder MTTFd-Wert(2) bzw. einen B10- oder B10d-Wert(2) – mit anderen Worten: einen Hardware-Zuverlässigkeitswert – an.

• Im Rahmen 1-kanaliger Architekturen ist beim Einsatz von „Dual-Use-Produkten“ zu über-prüfen, ob es sich bei dem betreffenden Produkt um ein sogenanntes bewährtes Bauteil handelt (siehe EN ISO 13 849-2:2003 Anhänge A bis D) oder nicht. Im letzteren Fall kommt max. ein PL „b“ infrage (zum Beispiel bei handelsüblichen SPSen). Handelt es dagegen um ein „bewährtes Bauteil“ ist max. ein PL „c“ möglich (Beispiele: Ventile der Fluidik, Schütze, Relais, traditionelle Positionsschalter etc.).

• Im Rahmen 2-kanaliger Strukturen kann beim Einsatz von „Dual-Use-Produkten“ bei sorg-fältiger Auswahl und Ausführung max. ein PL „d“ erreicht werden.

• Bitte beachten Sie in diesem Zusammenhang aber dringend, dass den Designer solcher SRP/CSen ein hohes Maß an Eigenverantwortlichkeit bei der Beurteilung der sicherheits-technischen Eignung trifft, insbesondere wenn es sich dabei um elektronische Technologie handelt, die ihm Hersteller von Sicherheitsbauteilen in einem hohen Maß bereits abgenom-men haben. Gemeint sind damit z. B. Maßnahmen zum Schutz vor Manipulationen, ggf. spezielle Software- und/oder erhöhte EMV-Anforderungen etc.

• Schmersal-/Elan-Herstellerangaben über „Dual-Use-Produkte“: auf Anfrage!

(1) Der Begriff „Dual-Use-Produkt“ (Produkt mit doppeltem Verwendungszweck) ist ein dem Englischen entlehnter Begriff, der eigentlich in der Exportkontrolle angewendet wird und die prinzipielle Verwendbarkeit eines Wirt-schaftsgutes (z. B. einer Maschine oder auch Software und Technologie) zu sowohl zivilen als auch militärischen Zwecken bezeichnet. Hier wird der Begriff zweckentfremdet (sowohl für sicherheitsgerichtete als auch für be-triebsmäßige Anwendungen bestimmt).

(2) Zum Verhältnis MTTF- : MTTFd-Wert (bzw. B10- : B10d-Wert): siehe Seite 18 oben.

21

Einfache Einzelgeräte im Schmersal-/Elan-Programm

21

22

Einfache Einzelgeräte im Schmersal-/Elan-Programm

B10d

-Wert-Berechnungen

• Für Geräte dieser Art wird künftig im Regelfall eine Angabe über die sicherheitstechnische Zuverlässigkeit in Form eines sogenannten B10d-Werts angegeben. Die Einbettung in die Architektur (Steuerungskategorie), Fehleraufdeckung (DC) und CCF-Management (siehe Lexikonteil, Stichwort „CCF“) ist gestalterische Angelegenheit der Projektierung durch den Kunden (und ihrer Beratung).

• Der B10d-Wert ist eine Art von „Bruttogröße“ zur Berechnung eines MTTFd-Werts für Geräte, die technologie-bedingt einem Verschleiß aufgrund von Schaltspielanzahl und ggf. Schalt-last unterliegen.

• Die B10d-Wert-Berechnung ist erforderlich, da für verschleißbehaftete Geräte die sogenannte Badewannen-Kurve mit einer konstanten Rate zufälliger Ausfälle und Fehler während der so-genannten Mission Time nicht exakt gilt (siehe Lexikonteil, Stichwörter „B10d-Werte“, „Bade-wannenkurve“ und „Mission Time“). Dies bedeu-tet, dass bei verschleißbehafteten Bauteilen die Ausfallrate nach den Frühausfällen nicht zeitlich konstant ist, sondern in der Regel ansteigt (dto. nach der „Mission Time“). Mit anderen Worten: Die Ausfallrate ist hier zeitabhängig.

• Die Formeln zur Umrechnung von einem B10d-Wert in einen MTTFd-Wert sind dabei wie folgt:

dop

× hop

× 3.600s

MTTFd =

B10d n

op =

h

0,1 × nop

tcycle

nop = mittlere Zahl Schaltspiele pro Jahrdop= durchschnittliche Anzahl Betriebstage pro Jahrhop = durchschnittliche Anzahl Betriebsstunden pro Tagtcycle = durchschnittliche Anforderung der Sicherheitsfunktion in s (zum Beispiel 4 × pro Stunde = 1 × pro 15 min. = 900 s)

Failure rate

Earlyfailures

Failures caused by

wear

Phase of constant failures

Time of operation

• Zusätzlich ist bei verschleiß-behafteten Technologien ein sogenannter T10d-Wert zu ermit-teln (10 % der aus dem B10d-Wert abgeleiteten MTTFd). Der T10d-Wert ist ein Indikator für den vorbeugenden Austausch eines solchen Bauteils (bei T10d < 20 y). Der 10 %-Anteil hat den Hinter-grund, dass man dafür ein gleich bleibendes Ausfallverhalten (gleich dem Ausfallverhalten der Badewannen-Kurve) annimmt. Beim B10d-Wert sind dage-gen – ähnlich zum MTTFd-Wert – ca. 63 % der Bauteile einer Stichprobe gefährlich ausge-fallen. Siehe auch Lexikonteil, Stichwort „Exponentialverteilung“.

3210 t [T]

b=0,8

b=1

b=2

b=3

b=4

b=5

b=6

b=7

Schaltspiele

b=4

MissionTime

TM

Linie für denB -Wert 10

0

0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

1

F(t)

23

Beispiel einer B10d

-Wert-Berechnung:

• Ein Schutztürüberwachungsschalter möge einen B10d-Wert von 2.000.000 haben.

• Die maschinelle Anlage mit Schutzumzäunung, an der er eingesetzt wird, möge 200 Tage (dop) pro Jahr 2-schichtig (hop) arbeiten und die Schutztüre 2 × pro Stunde (hop) geöffnet wer-den. D. h. es ergibt sich eine Schaltspielanzahl pro Jahr von 200 (dop) × 16 (hop, 2-schichtig) × 2 (Anforderungen/Stunde bzw. tcycle = 1.800) = 6.400 nop.

• Demzufolge ergibt sich ein MTTFd-Wert von 3.125 y(1) (2.000.000 : 0,1 × 8.400 = 3.125).

• Der T10d-Wert (313 y) ist im vorliegenden Beispiel irrelevant, weil er weit über der in EN 13 849-1:2006 angenommenen Gebrauchsdauer (Mission Time) einer Maschinensteuerung (20 y) liegt.

Datenherkunft unserer Zahlen

• Sofern nicht anders angegeben: EN ISO 13 849-1:2006 und BGIA-Report 2/2008 (siehe Lexikonteil, Stichwort „BGIA-Report 2/08“).

Fragen zur Architektur bzw. Steuerungskategorie

• Die Frage bzw. in Einzelfällen die Problematik, welcher Steuerungskategorie ein einfaches Einzelgerät entspricht, bleibt auch künftig unverändert erhalten, da die Steuerungskatego-rien als wesentliches Charakteristikum für einen PL erhalten bleiben.

• Angesprochen ist damit die „alte“ Diskussion, ob für eine 1-fehlersichere Architektur, wie sie für die Steuerungskategorien 3 und 4 gefordert ist, ein Gerät mit redundanten Sicherheits-kontakten (zwangsöffnend oder vergleichbar) ausreicht oder aber ob zwei Geräte vorzuse-hen sind (eine physische 2-Kanaligkeit).

• Nur ein Gerät mit redundanten Sicherheitskontakten einzusetzen bedeutet, für die mechani-sche Betätigung (den Betätigungsmechanismus) einen Fehlerausschluss anzunehmen, d. h. ausschließen zu können, dass hier gefährliche Ausfälle, z. B. durch Verschleiß, Beschädi-gung, Verschmutzung u. Ä., passieren können.

• Siehe hierzu auch Seite 29 ff.

(1) Die Begrenzung von MTTFd-Werten auf max. 100 Jahre gilt hier – weil es sich zunächst um einen Einzelwert handelt – nicht. Die Kappung/Abrundung auf 100 Jahre je Kanal erfolgt – in Verbindung mit anderen MTTFd-Werten – erst am Ende einer PL-Betrachtung. ACHTUNG: In der SISTEMA-Software (siehe Lexikonteil, Stich-wort „SISTEMA“) führt jede Subsystem-Betrachtung dagegen bereits zur Abrundung/Kappung. Insofern ist es anempfehlenswert, gleiche Architekturen eines SRP/CS zu einem SISTEMA-spezifi schen Subsystem (= mehrere Subsysteme unserer Defi nition, aber gleiche Architekturen) zusammenzufassen, um nicht zu viele Abrundungen/Kappungen zu bekommen.

24

• Fehlerausschluss-Betrachtungen sind auch nach EN ISO 13 849-1:2006 unter Bezugnahme auf Ziffer 7.3 und in Verbindung damit EN ISO 13 849-2:2003 zulässig. Andererseits gibt es die Anforderung in einer Anmerkung zu Ziffer 3.3 der Norm, in der es heißt, dass die Beur-teilung von Ausfallmöglichkeiten in einem SRP/CS dort beginnt, wo das sicherheitsrelevante Signal erzeugt wird, z. B. an der Rolle eines Positionsschalters, und am Steuerkontakt der Aktorik endet.

• In jedem Fall bedarf es einer sorgfältigen Abwägung!

• Einen Ratschlag, was unsere Geräte anbetrifft, fi nden Sie in der nachfolgenden Geräteauf-listung unter dem Stichwort „1-/2-Kanaligkeit“ sowie im Exkurs „Fragen zur Architektur und Steuerungskategorie“ auf Seite 29 ff. Schlussendlich ist die Frage eines Fehlerausschlusses aber abhängig von der Beurteilung durch den Kunden und den Applikationsbedingungen. Des Weiteren fi nden Sie zu diesem Thema im (ergänzten) Merkblatt-Teil dieser Broschüre die Schmersal-/Elan-Information „Verzicht auf einen zusätzlichen Überwachungsschalter bei Verriegelungseinrichtungen (physische Redundanz vs. elektrische Redundanz)“ (siehe Seiten 138).

Diagnosedeckungsgrad

• Abhängig von der nachfolgenden Signalverarbeitung bis zu 99 % (siehe auch Seite 32 f. sowie 68 f.).

CCF-Maßnahmen

(Maßnahmen gegen Ausfälle gemeinsamer Ursache)

• CCF-Maßnahmen (Maßnahmen gegen Ausfälle (infolge gemeinsamer Ursache): Die Stand-alone-Beurteilung ist etwas schwierig. Besser ist eine Beurteilung im Kontext mit der Integration der einfachen Einzelgeräte in den SRP/CS, zumal auch hier wieder die Frage hineinspielt, ob und wie eine etwaige 2-Kanaligkeit bewerkstelligt worden ist (z. B. ob mittels physischer oder elektrischer Redundanz).

• Mindestens bringen die einfachen Einzelgeräte aus dem Schmersal-/Elan-Programm aber schon von Haus aus die erforderliche Mindestpunktzahl von 65 anteilig für das Sub system ein, in dem sie verwendet werden (siehe Lexikonteil, Stichwort „CCF“, Tabelle ab Position 3). Grund dafür ist die Einhaltung der Produktnormung der EN IEC 60 947-5-Reihe und deren sicherheits- und umwelttechnische Anforderungen, die EMV-Unempfi ndlichkeit der Geräte u. Ä. Hinzu kommen die (ggf. anteiligen) Punkte der Betrachtungseinheiten „1. Physikalische Trennung zwischen den Signalwegen“(1) und ggf. „2. Diversität“(2).

• Bitte beachten: CCF-Maßnahmen brauchen erst ab Steuerungskategorie 2 betrachtet und bewertet zu werden, weil SRP/CS ab SK 2 mehrkanalig sind (sei es in Form einer klassi-schen 2-Kanaligkeit oder in Form einer 1-Kanaligkeit + Testkanal).

• Weitere Informationen: siehe Lexikonteil, Stichwort „CCF“.

(1) Die einzelnen Kontakte der Geräte sind galvanisch getrennt. Ansonsten ist die geschützte bzw. getrennte Kabel-verlegung zu beachten.

(2) Beispielsweise – und je nach Betrachtungsweise – bei Öffner-/Schließer-Kombinationen.

25

• Anmerkung (1): Wenn nachfolgend von NC-Kontakten (Öffner-Kontakten) die Rede ist, sind immer – ausgenommen bei Sicherheits-Magnetschaltern – zwangsöffnende Kontakte gemeint. Bei zwangsöffnenden NC-Kontakten verstehen sich die Angaben – eben wegen dieses besonderen sicherheitstechnischen Merkmals – auch last-unabhängig).

• Anmerkung (2): Man kann sich zu Recht die Frage stellen, weshalb B10d-Werte teils so unter-schiedlich ausfallen, obwohl die betreffenden Produkte – ausgenommen Sicherheits-Mag-netschalter – alle zwangsöffnende NC-Kontakte haben. Grund dafür ist, dass auch andere Gefahr bringende Fehlerfälle in diese Betrachtung einbezogen werden, z. B. der Verschleiß der Mechanik für die Sprungfunktion eines Not-Halt-Befehlsgeräts oder die Fähigkeit eines Drucktasters, sich zurückzustellen (und nicht hängen zu bleiben). Bei sogenannten Bauart 2-Schaltern spielen beim Normwert schlechte Lebensdauererfahrungen mit Wettbewerbs-fabrikaten aus der Vergangenheit mit hinein.

Not-Halt-Befehlsgeräte

• B10d-Wert (last-unabhängig): 100.000 (NC-Kontakt)• 1-/2-Kanaligkeit: Je nach vorgesehener Architektur (Steuerungskategorie)• ALTERNATIV: Fehlerausschluss im Rahmen des B10d-Werts (siehe Seite 29 und 75)• Anmerkung (1): Bei maximaler Beanspruchung eines Not-Halt-Befehlsgeräts darf gemäß

Norm nur mit einem B10d-Wert von 6.050 gerechnet werden, ansonsten mit 100.000. Wir folgen bei unseren Geräten nicht der Norm-Betrachtung mit folgender Begründung: Der B10d-Wert von 6.050 ist ein Mindest-Prüfwert aus EN IEC 60 947-5-5 über die ordnungsge-mäße Funktionalität des Verrastmechanismus eines Not-Halt-Befehlsgeräts gemäß Ziffer 7.3. Es interessiert dabei nur dieser Mindestwert, der erreicht werden muss. Umgekehrt: Ab welcher Anzahl Schaltspiele der Verrastmechanismus versagen würde, interessiert in der Norm nicht. Aus unseren Prüffeld-Untersuchungen wissen wir aber, dass unsere Geräte mindestens 100.000 Verrastzyklen ordnungsgemäß erfüllen.

• Anmerkung (2): Wir empfehlen, eine 2-Kanaligkeit von Not-Halt-Befehlsgeräten durch Ver-wendung von zwei Kontaktelementen (Stichwort: Physische Redundanz) zu realisieren.

Seilzug-Not-Schalter

• Siehe Not-Halt-Geräte

Weitere und ggf. aktualisierte Angaben im Online-Katalog unter www.schmersal.net

(Datenblätter des jeweiligen Produkts) oder im Rahmen unserer SISTEMA-Hersteller-

bibliothek (www.schmersal.net → Weitere Produkte/Software → Download Software)!

Geräteangaben im Einzelnen(siehe auch Schmersal-Online-Katalog www.schmersal.net [Datenblätter des jeweiligen Produkts] oder im Rahmen unserer SISTEMA-Herstellerbibliothek [www.schmersal.net → Weitere Produkte/Software → Download Software])

26

3-stufi ge Zustimmungsschalter/Drucktaster

• B10d-Wert (last-unabhängig): 100.000 (NC-Kontakt)• 1-/2-Kanaligkeit: Je nach vorgesehener Architektur (Steuerungskategorie)• ALTERNATIV: Fehlerausschluss im Rahmen des B10d-Werts

Sicherheits-Fußschalter (3-stufi ge Ausführungen)

• Siehe 3-stufi ge Zustimmungsschalter/Drucktaster

Zweihand-Befehlsgeräte (Öffner-Schließer-Kombinationen)

• B10d-Wert: 20.000.000 (NC-Kontakt/Öffner)(1)

1.000.000 (NO-Kontakt/Schließer)(2)

100.000 (NO-Kontakt/Schließer)(3)

(1) last-unabhängig(2) bei ohmscher bzw. quasi-ohmscher Last und Überdimensionierung, d. h. ≤ 10 % der Nennlast(3) bei induktiver Last und Überdimensionierung (≤ 10 % der Nennlast)

Anmerkung: In Verbindung mit SRB-Zweihand-Bausteinen u. Ä. gelten die Einschränkungen zu (1) bis (3) nicht bzw. sind über den Baustein abgedeckt!

Positionsschalter mit integriertem Antriebskopf (sogenannte Bauart 1-Schalter)• B10d-Wert: 20.000.000 (NC-Kontakt/Öffner)(1)




• 1-/2-Kanaligkeit: Bei einzelnen 2-poligen Geräten abhängig von der C-Norm bzw. Fehler-ausschluss nach EN ISO 13 849-2:2003 erforderlich (siehe auch Fußnote Seite 16 sowie Seite 29 f.).

Positionsschalter mit getrenntem Betätiger (sogenannte Bauart 2-Schalter)• B10d-Wert: 2.000.000 (NC-Kontakt/Öffner)(1)




• 1-/2-Kanaligkeit bei Sicherheitsschaltern: Bei einem einzelnen 2-poligen Gerät abhängig von der C-Norm bzw. Fehlerausschluss nach EN ISO 13 849-2:2003 erforderlich (siehe Fußnote Seite 16 sowie Seite 29 f.).




27

Positionsschalter mit getrenntem Betätiger und Zuhaltung

• B10d-Werte: siehe oben (Positionsschalter mit getrenntem Betätiger)• 1-/2-Kanaligkeit: Unter Berücksichtigung von Fehlerausschlüssen (siehe Fußnote Seite

16 sowie Seite 29 f.) kann ein einzelnes Gerät – jedoch nur in einer Ausführung mit Fehl-schließsicherung(1) – die Anforderungen an eine 2-Kanaligkeit erfüllen (= SK 3, max. PL „d“). Auch der BGIA-Report 2/08 nimmt diese Möglichkeit in Bezug und sieht einen zweiten Schalter lediglich als zusätzlichen Manipulationsschutz vor (der jedoch auch durch andere Maßnahmen erreicht werden kann).(1) Fehlschließsicherung bedeutet in Verbindung mit einer Zuhaltung, dass das Sperrmittel bei geöffneter

Schutztür nicht die Sperrstellung einnehmen kann, d. h. „Luftverriegelungen“ ausgeschlossen werden können. Deshalb kann auch bei erhöhten Sicherheitsanforderungen ein zweiter Geber entfallen.

• Bitte bei SK 3 beachten:– Stellungsüberwachung Schutztür = Kanal 1 Stellungsüberwachung Zuhaltung = Kanal 2 oder– Stellungsüberwachung Schutztür = mechanisch per Fehlschließsicherung Stellungsüberwachung Zuhaltung (Sicherheitskontakt 1) = Kanal 1 (elektrisch) Stellungsüberwachung Zuhaltung (Sicherheitskontakt 2) = Kanal 2 (elektrisch)

• Ansonsten: siehe oben und BGIA-Schaltungsbeispiel Seite 78

Sicherheits-Magnetschalter(1)

• B10d-Wert (last-abhängig): 20.000.000 (bei 20 % Last) 400.000 (bei 100 % Last) 7.500.000 (bei 40 % Last)(2)

2.500.000 (bei 60 % Last)(2)

1.000.000 (bei 80 % Last)(2)

(2) Eigene Werte nach BGIA-Rücksprache

• 1-/2-Kanaligkeit: 2-Kanaligkeit auch mit einem Einzelgerät möglich (ausgenommen BNS 30, 300 und 333 = 1-kanalig);

• Gerätekombinationen BNS/AES bzw. BNS-taugliche SRB-Bausteine: Es handelt sich um eine Gerätekombination (siehe Seite 41), die ein Subsystem (mit Sub-PL bzw. Sub-SIL und PFHd-Wert) darstellt. Eine B10d-Wert-Betrachtung und ein Derating wie vor ist ohne Rele-vanz, d. h. wir können von 20.000.000 ausgehen, da die Reedkontakte in den Sensoren mit max. 20 % Last geschaltet werden. Mit anderen Worten: Die zusätzliche Betrachtung gilt nur bei anderweitiger Signalverarbeitung. Bitte nicht daraus schließen, dass es mit Wett-bewerbs-Bausteinen nicht „ginge“, sondern dass es abgeprüft werden muss (Strom- und Spannungsbegrenzung, Schaltlast etc.).

• In Verbindung mit AES-Bausteinen (oder einer anderen geeigneten Signalverarbeitung) kann – falls erforderlich – für einen einzelnen BNS mit einem PFHd-Wert von 2,5 × 10–11 (bei 0,1 h–1) gerechnet werden (ausgenommen BNS 30, 300 und 333 = 1,21 × 10–6 bei 0,1 h–1, 1-kanalig, max. PL „c”).

(1) Sicherheits-Magnetschalter sind in EN ISO 13 849-1:2006 als (verschleißbehaftete) Näherungsschalter bezeich-net.




28

Scharnier-Sicherheitsschalter (Baureihe TESF)

• B10d-Wert (last-unabhängig): 2.000.000(1)

(1) Bei einem sicherheitsgerichteten Schaltwinkel von max. 8°. Ist ein größerer Schaltwinkel sicherheitstechnisch tolerabel, kann ein höherer Wert in Ansatz gebracht werden.

• 1-/2-Kanaligkeit: 2-Kanaligkeit ist auch mit einem Einzelgerät möglich unter Inanspruch-nahme eines Fehlerausschlusses für die Achse, die die Drehbewegung umsetzt (geschütz-ter Einbau, stressfreie Betätigung).

• Anmerkung: Bei TVS 521-Scharnier-Sicherheitsschaltern erfolgt die B10d-Wert-Betrachtung unter Bezugnahme auf die Werte für Bauart 1-Schalter.

Geräte mit ASi-SaW-Schnittstelle

• Siehe Seite 42 ff.

Schlüsseltransfer-Systeme

• MTTFd-Wert: 150 y(1)

(1) EN ISO 13849-1:2006 lässt für mechanische Systeme eine vereinfachte Betrachtung mit einem pauschalen MTTFd-Wert von 150 y zu. Für den Schlüsselschalter eines SHGV-Systems empfehlen wir für den zwangs-öffnenden NC-/Öffner-Kontakt einen Fehlerausschluss anzunehmen und für den NO-/Schließer-Kontakt mit einem B10d-Wert von 1.000.000 (bei ohmscher bzw. quasi-ohmscher Last und Überdimensionierung, d. h. bei 10 % der Nennlast) bzw. 100.000 (bei induktiver Last und Überdimensionierung, d. h. bei 10 % der Nennlast) zu rechnen.

• 1-/2-Kanaligkeit: siehe Positionsschalter mit getrenntem Betätiger und Zuhaltung

Reset-/Wiedereinschalttaster

• Diese Geräte können – auch im Hinblick darauf, andere PL-Betrachtungen (z. B. Schutz vor Gefahr bringenden Bewegungen) nicht zu komplex zu gestalten – im Rahmen einer sepa-raten Sicherheitsfunktion „Schutz vor unerwartetem (Wieder-) Anlauf“ betrachtet werden. Hierzu gehören ggf. auch noch weitere Betrachtungsgesichtspunkte, insbesondere wenn Stop-Signale als STOP der Kategorie 2 (gesteuertes Stillsetzen ohne Trennung der Energie-zufuhr zu den Antrieben – siehe EN IEC 60 204-1) erfolgen.

• Es gelten die B10d-Werte für NO-/Schließer-Kontakte (bitte beachten Sie die Werte für Schal-ter, die zum Beispiel auf Seite 26 angegeben sind).

• Darüber hinaus wird in Ziffer 5.2.2 von EN ISO 13 849-1:2006 nun eindeutig gefordert, dass die manuelle Rückstellfunktion nur durch das Loslassen des Antriebselements in seiner betätigten (Ein-) Position erfolgen darf! Mit anderen Worten: Es gilt, eine Flankendetektion bei Reset-/Wiedereinschalttastern zu realisieren.

• Diese sicherheitstechnische Maßnahme dient einer Fehler- bzw. Manipulationserkennung am Taster.

• Beim Anschluss an geeignete Sicherheits-Relais-Bausteine oder Sicherheits-SPSen ergibt sich bei einem MTTFd des Reset-/Wiedereinschalttasters ≥ 36 y ein PL „d“ (SK 2 mit Funk-tionstestung im Moment der Anforderung der Sicherheitsfunktion)

• Erfolgt die Flankendetektion mit selbstüberwachender Schaltungstechnik, ist aber auch ein Fehlerausschluss vertretbar.




29

Exkurs: Fragen zur Architektur bzw. Steuerungskategorie

• Schon aus der Anwendung von EN 954-1:1996 ist die Frage bekannt, ob für die Realisation einer 1-Fehler-sicheren (1-Fehler-toleranten) Struktur eines SRP/CS, wie sie für die Steue-rungskategorien 3 oder 4 abgefordert wird, mittels einer physischen Redundanz zu erfolgen hat, z. B. bei der Verriegelung beweglicher Schutzeinrichtungen mit zwei Schaltern, oder ob eine einzelne Verriegelungseinrichtung mit zwei (internen) sicherheitsgerichteten Kontakten (elektrische 2-Kanaligkeit) den Anforderungen ebenso genügt.

• Von vornherein als Ausnahme zu sehen, sind in diesem Zusammenhang handbetätigte Sicherheitsschaltgeräte wie Not-Halt-Befehlseinrichtungen, Zustimmungsschalter u. Ä. Hier kommt ohnehin nur eine elektrische 2-Kanaligkeit in Frage. Folgt man dem BGIA-Report 2/08 (siehe Lexikonteil, Stichwort „BGIA-Report“) kann man hier sogar so weit gehen, die Geräte – weil sie regelmäßig mit zwangsöffnenden Kontakten ausgeführt sind – in Gänze mit einem Fehlerausschluss zu belegen, wenn die voraussichtliche Betätigungshäufi gkeit im Rahmen des B10d-Werts liegt. Kabelverlegung etc. müssen dabei allerdings „stimmen“. Eine etwaige Fehlererkennung obliegt hier dem Bediener, der sich zu überzeugen hat, dass das betreffende Gerät unbeschädigt ist, bevor er damit arbeitet.

• Bei elektromechanischen Schaltern ist der kritische Punkt der Betätigungsmechanismus für die elektrischen Kontakte, der im Falle eines Ausfalls zum Verlust der Sicherheitsfunktion der Geräte führen würde. Abzuwägen gilt es hier mit dem hohen Maß an Unwahrscheinlich-keiten des Auftretens eines solchen gefährlichen Fehlers.

Anschlag Anschlag

Zur Verdeutlichung der Fragestellung: Beispiele von 2- vs. 1-Schalter-Lösungen (oben: bei einer Drehtür; unten: bei einer Schiebetür).

• Diese Frage (im Sinne eines „Kochrezepts“) bleibt auch in EN ISO 13 849-1:2006 unbeant-wortet. Auf der einen Seite gibt es eine Anmerkung 1 zu Ziffer 3.3 der Norm, wonach eine SRP/CS-Kombination an dem Punkt beginnt, wo das Signal erzeugt wird (z. B. an der Rolle eines Positionsschalters) und an den Kontakten der Leistungssteuerelemente (z. B. an den Leistungssteuerelementen eines Schützes) endet. Andererseits gibt es die Möglichkeit, ge-mäß Ziffer 7.3 der Norm unter bestimmten Rahmenbedingungen Fehlerausschlüsse machen zu können.

30

• Der Königsweg ist immer dann gegeben, wenn die Frage in der jeweils „zuständigen“ C-Norm (Produktnorm) beantwortet wird, wie es zum Beispiel für bestimmte Sicherheitsfunk-tionen von Druckmaschinen der Fall ist (die elektrische 2-Kanaligkeit eines Schalters ge-nügt) oder bei Metallpressen (hier wird expressis verbis eine 2-Schalter-Lösung gefordert).

• Unsere Kundenempfehlung in Grenzfällen ist wie folgt:

– Sehen Sie für den Performance Level „d“ (in Zweifelsfällen) und für den Performance Level „e“ (immer) eine physische 2-Kanaligkeit (eine 2-Schalter-Lösung) vor und „befra-gen“ Sie Ihre C-Norm. Ausnahmen: siehe nachfolgender Absatz, Seite 138 und a.a.O.

– Davon abweichend können – unter der Voraussetzung, dass AMD 1 zu EN 1088:1996 (siehe Lexikonteil, Stichwort „AMD 1“) beachtet worden ist – Sicherheits-Magnetschalter der Baureihe BNS mit 2-kanaligen Ausgängen, Scharnier-Überwachungsschalter der Typenreihe TESF sowie alle berührungslosen Verriegelungseinrichtungen mit und ohne Zuhaltung der Schmersal’schen „CSS-Familie“ ohne zweiten Schalter eingesetzt werden. Beim Gerät AZM 200 ist von Haus aus schon einer zusätzlichen Manipulationssicherheit durch eine doppelte Stellungsüberwachung Rechnung getragen.

– Bei einfachen Schaltern – insbesondere bei Positionsschaltern der Bauart 1 (mit integrier-ten Betätigungsorganen – sollte für 2-kanalige Architekturen im Regelfall immer eine phy-sikalische Redundanz vorgesehen werden, da ein widriger externer Einfl uss die Funktion der 1-kanaligen Stößelmechanik unmittelbar berühren kann.

– Kein Kompromiss – auch im Vorgriff auf eine geplante Revision von EN ISO 13 849-2:2003 – kann beim Performance Level „e“ gemacht werden (Quelle: neue Tabelle D.8 des Ent-wurfs der Revision), d. h. für einen PL „e“ kommt bei allen elektromechanischen Geräten grundsätzlich nur eine 2-Schalter-Lösung in Frage.

– Hingegen ist ggf. für einen Performance Level „d“ bei Sicherheitsschaltern mit getrennten Betätigern ein Fehlerausschluss unter Bezugnahme auf EN ISO 13 849-2:2003 Annex A Ziffer A.5 möglich, wenn die in der folgenden Tabelle genannten Bedingungen gewähr-leistet werden können. Darüber hinaus empfehlen wir, die in der nachfolgenden Ziffer („Verriegelungseinrichtungen mit Zuhaltung“) genannten Betrachtungsgesichtspunkte ebenfalls – soweit zutreffend – zu berücksichtigen.

Fehler annahme Fehlerausschluss Bemerkungen

Verschleiß/Korrosion Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebens dauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Siehe ISO 13 849-1:2006, 7.2

nicht Fest ziehen/Lösen

Ja, wenn Werkstoff, Herstellungsverfahren, Sicherungselemente und Behand-lungsverfahren entsprechend der festgelegten Lebensdauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Bruch Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebens dauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Verformung durch Über be an spruchung

Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren und Behand-lungsverfahren entsprechend der festgelegten Lebensdauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Steifheit/Hängenbleiben

Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebens dauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

31

– Die oben in Bezug genommene Tabelle A.2 betrifft die so genannten bewährten Sicher-heitsprinzipien, die zusätzlich angewendet werden müssen.

– Bei Verriegelungseinrichtungen mit Zuhaltung kann von einer physischen 2-Kanaligkeit unter bestimmten Bedingungen abgewichen werden, d.h. die einzelne Sicherheitszuhal-tung genügt, wenn folgende Randbedingungen gewährleistet sind (dito die der vorge-nannten Tabelle):

a) Es muss sich um ein Gerät mit sogenannter Fehlschließsicherung handeln (Defi -nition siehe Seite 27) und eine 2-kanalige Signalauswertung (1 × Türstellung, 1 × Sperrmittelüber wachung) erfolgen.

b) Anwendungen nur bis max. Performance Level „d“ (bzw. Steuerungskategorie 3), zu-dem muss es sich um eine sichtbare Gefahrenquelle handeln.

c) Das Zusammenspiel zwischen Betätiger und Gerät muss stressfrei (spielfrei) erfolgen, zum Beispiel in Verbindung mit einem Sicherheits-Türgriff-System.

d) Der Betätiger muss formschlüssig wirken und aus einem Stück gestanztem Metall (ohne Federn etc.) ausgeführt sein.

e) Der Installationsort der Geräte ist so auszuwählen, dass keine Schmutzpartikel o. Ä. in den Umlenkmechanismus eindringen können.

f) Die max. Zuhaltekräfte sowie die Grundsätze der „Good-Engineering-Practices“ (siehe Lexikonteil) sind zu beachten.

g) Es sind zusätzliche Vorkehrungen zur Verringerung von Umgehungsmöglichkeiten gemäß AMD 1 von EN 1088:1996 vorzusehen. Ggf. gehört der zweite Schalter unter diesem Gesichtspunkt zu den zu realisierenden Maßnahmen, wenn es keine anderen Alternativen gibt.

h) Um etwaige Fehler herauszufi nden ist eine automatische Anlauftestung empfehlens-wert, die auf die Erwartungshaltung eines Signalwechsels der Geräte abgestellt ist (erfolgte Signalwechsel, die eine ordnungsgemäße Funktion der Geräte widerspiegeln, würden sich – je nach Anwendung – aber auch im laufenden Betrieb durch die be-triebsmäßige Steuerung überprüfen lassen = Mindest-Signalwechsel bezogen auf eine sinnvolle Zeiteinheit).

Unbeschadet davon gilt, dass eine Verriegelungseinrichtung im Regelfall niemals Endan-schlag sein darf sowie EN 953:1997(1) und eine entsprechende 2-kanalige Signalverarbei-tung beachtet worden sind.

Eine Zusammenfassung dieses Themas fi nden Sie noch einmal im (ergänzten) Merkblatt-Teil dieser Broschüre in Form der Schmersal-/Elan-Information „Verzicht auf einen zusätz-lichen Überwachungsschalter bei Verriegelungseinrichtungen (physische Redundanz vs. elektrische Redundanz)“ (siehe Seite 138).

(1) DIN EN 953:1997-11: Sicherheit von Maschinen – Trennende Schutzeinrichtungen – Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen trennenden Schutzeinrichtungen

32

Exkurs zum Thema

„Fehleraufdeckung bei einfachen Einzelgeräten mit Sicherheitsfunktion“

• Wie bereits a.a.O. ausgeführt, erfolgt die Fehleraufdeckung (Diagnose) bei einfachen Ein-zelgeräten mit Sicherheitsfunktion durch andere – den einfachen Einzelgeräten vor- und nachgeordnete – Teile im SRP/CS (im Regelfall im Logikteil L ). Der erreichte Diagnose-deckungsgrad ist dabei von der Funktionalität der Fehleraufdeckung abhängig (siehe hierzu auch EN ISO 13 849-1:2006 Anhang E).

• Bei Sicherheits-Relais-Bausteinen (Relais-Sicherheitskombinationen), Sicherheits-SPSen u. Ä., sofern sie Sub-PL „e“ entsprechen, werden bei einer 2-kanaligen Eingangsbeschal-tung mit 1:1-Verdrahtung (Parallelschaltung) 99 % DC erreicht; bei einer Reihenschaltung hingegen nur 60 % DC, weil hier unter bestimmten Umständen eine Fehlerakkumulation nicht ausgeschlossen werden kann. Der DC anderer fehleraufdeckender Maßnahmen be-darf einer individuellen Bewertung.

• Worst-Case-Fehlerbetrachtung bei einer Reihenschaltung elektromechanischer Geräte:

K1

S1

+ – –+

S1.1

S2

S2.1

Schutztür 2

Schutztür 1

K2 K1

S1

+ – –+

S1.1

S2

S2.1

Schutztür 2

Schutztür 1

K2

Erster Fehler:• Kurzschluss über Kontakt S1.1 (Schutztür 1)• Schutztür 1 wird geöffnet• Baustein schaltet 1- kanalig ab• Betriebshemmung (korrekte sicherheitstechni-

sche Reaktion, kein Wiedereinschalten möglich)

Fehlerlöschung:• Schutztür 2 wird geöffnet• Baustein schaltet 2-kanalig ab• Erneuter Start möglich

K1

S1

+ – –+

S1.1

S2

S2.1

Schutztür 2

Schutztür 1

K2 K1

S1

+ – –+

S1.1

S2

S2.1

Schutztür 2

Schutztür 1

K2

Fehlerakkumulation:• Zweiter Fehler bei Schutztür 1• Kurzschluss über S2.1

Gefährlicher Zustand:• Schutztür 1 wird geöffnet• Baustein schaltet nicht ab

33

• Dem Diagnosedeckungsgrad von 60 % bei einer Reihenschaltung einfacher (elektromecha-nischer) Geräte liegt eine wahrscheinlichkeits-mathematische Abschätzung von mehr als 2 Schutztüren zugrunde. Bei nur zwei Schutzeinrichtungen empfi ehlt sich hingegen eine Parallel-Verdrahtung auf die L -Ebene (1:1-Verdrahtung). Auf keinen Fall sollten Reihenschal-tungen elektromechanischer Geräte ohne zusätzliche Maßnahmen im Rahmen eines PL „e“ bzw. für SK 4 eingesetzt werden.

• Mit einem höheren Diagnosedeckungsgrad als 60 % im Falle von Reihenschaltungen elek-tromechanischer Geräte kann gerechnet werden (und damit ggf. PL „e“ bzw. SK 4), wenn zum Beispiel zusätzlich Rückmeldesignale in die betriebsmäßige SPS einbezogen werden, deren Plausibilität in Form eines entsprechenden Signals wiederum in den Wiedereinschalt-pfad der L -Ebene einbezogen wird. Siehe hierzu auch Seite 76 im Exkurse-Teil (BGIA-Schaltungsbeispiel 8.2.28).

• Ggf. kann bei Reihenschaltungen von Not-Halt-Befehlsgeräten auch von einem Fehleraus-schluss Gebrauch gemacht werden (siehe hierzu BGIA-Schaltungsbeispiel 8.2.29 auf Seite 75).

• Die vorgenannte Einschränkung auf 60 % DC bei Reihenschaltungen gilt – wie bereits aus-geführt – nur für Schaltungen in traditioneller Elektrotechnik. Bei Reihenschaltungen, die in anderer Technologie ausgeführt sind, z. B. mit ASi-SaW oder mit Mikroprozessor-basierten Geräten der Schmersal’schen CSS-Familie, werden dank Zusatzintelligenz alle zu betrach-tenden Fehlerfälle aufgedeckt, d. h. in diesen Fällen wird ein DC von 99 % erreicht.

• Weitere Informationen (einschl. Fehleraufdeckung für einfache Einzelgeräte auf der O -Ebene): siehe Seite 55 sowie Exkurse-Teil Seite 68 f.

• Eine weitere detaillierte Betrachtung zu diesem Thema fi nden Sie noch im (ergänzten) Merkblatt-Teil dieser Broschüre in Form der Schmersal-/Elan-Information „Man sollte das Kind nicht gleich mit dem Bade ausschütten: Zur Frage des Diagnosedeckungsgrads bei einfachen Reihenschaltungen von elektromechanischen Sicherheitssensoren und Sicher-heitsschaltern (siehe Seite 139).

34

35

Geräte mit komplexerer sicherheitstechnischer Funktionalität

35

36


Präambel

• Geräte dieser Art werden typischerweise mit einem Sub-SIL und zugehörigem PFHd-Wert ausgewiesen. Hintergrund dafür ist, dass die Geräte auf der Basis von EN IEC 61 508-1/-7:2001 entwickelt und zertifi ziert worden sind, teils weil in ihnen Mikroprozessor-Technolo-gie verwendet wird, für die EN 954-1:1996 nicht anwendbar gewesen ist, teils aus anderen Gründen.

• Bekanntermaßen lässt sich aufgrund der Kompatibilität der beiden neuen SRP/CS-Normen ein SIL aber auch als PL ausdrücken und umgekehrt (siehe Umrechnungstabelle). Die Klam-mer von SIL und PL ist dabei der PFHd-Wert, aus dem sich – wenn gewünscht – auch ein Block-MTTFd-Wert ableiten ließe.

Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde

EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a

Absicherung

niedriger Risiken

Absicherung

hoher Risiken

b c d e

1 no special

safety

requirements

2 3

10–810–5

3 × 10–610–6 10–710–4

ACHTUNG: Die PFHd-Klassifi kationen wie vor gelten für einen Gesamt-PL (bzw. Gesamt-SIL). Für Subsysteme dürfen nur Anteile „verbraucht“ werden (Empfehlung: Je max. 20 % für I und L , damit > 60 % für O ).

• Für die Umrechnung eines PFHd-Werts in einen MTTFd-Wert steht Anhang K von EN ISO 13 849-1:2006 zur Verfügung (PFHd-Werte entsprechend max. 100 y MTTFd hinterlegt). Laut BGIA-Report 2/08 lässt sich grob vereinfacht (und auch nur in dieser Richtung zulässig) aus einem PFHd-Wert aber auch über eine Kehrwertbildung ein Block-MTTFd-Wert errechnen. D. h. 1/PFHd : 8.760 = Block-MTTFd (bei höheren PL’s bzw. SIL’s im Regelfall mehrere 100 y). Siehe auch Seite 50.

PS: Ein Block-MTTFd-Wert ist – von Ausnahmen abgesehen – immer höher als ein singulärer MTTFd-Wert, der ausschließlich eine statistische Hardware-Zuverlässigkeit widerspiegelt, während im PFHd-Wert (und im Kehrwert = Block-MTTFd) auch alle übrigen Maßnahmen, insbesondere die Maßnahmen zur Fehleraufdeckung bzw. zum Diagnosedeckungsgrad, mitbewertet bzw. mitberücksichtigt sind. So entspricht beispielsweise ein MTTFd-Wert von 30 y in Verbindung mit allen weiteren Maßnahmen, die für einen PL „e“ erforderlich sind, einem Block-MTTFd-Wert von ca. 1.200 y.

37

• Die Umrechnung eines PFHd-Werts in einen Block-MTTFd-Wert kann, je nach Methodik, die man zwecks PL-Abschätzung anwendet, erforderlich werden, wenn innerhalb einer Kette I + L + O (Input, Logik, Output) MTTFd- und PFHd-Werte gemischt sind. Der Normalfall dürfte aber eher umgekehrt sein, d. h. aus Steuerungskategorie SK, Hardware-Zuverläs-sigkeit MTTFd und Diagnosedeckungsgrad DC bzw. DCavg einen PFHd-Wert mit Hilfe des Anhangs K von EN ISO 13 849-1:2006 abzuschätzen (siehe auch Seite 141 ff.).

Beispiel: eine Sicherheitsfunktion möge eine Architektur, die SK 4 entspricht, einen DC von 99 % und eine homogene (oder symmetrisierte) Kanal-MTTFd von 75 y haben: Gemäß An-hang K entspräche dies einem PFHd-Wert 3,41 × 10–8.

• Bei bestimmten Schutzeinrichtungen (siehe Gerätedatenblätter) kann das Subsystem L in Einzelfällen auch entfallen, wenn die Sensorik der I -Ebene mittels OSSD-Ausgängen(1) direkt auf die Aktorik der O -Ebene wirkt (im Regelfall bei einfach strukturierten SRP/CSen) und die Sensorik zusätzlich eine Schnittstelle für den Rückführkreis (eine sogenannte EDM-Funktion(2)) und – im Regelfall – auch für den Reset/Wiedereinschalttaster bereithält. Ein SRB-Baustein, eine Sicherheits-SPS o. Ä. kann in diesen Fällen entfallen.

(1) OSSD = Output Signal Switching Devices = sicherheitsgerichteter Teil einer Schutzeinrichtung, z. B. eines Sicher-heits-Lichtvorhangs oder eines Sensors der Schmersal’schen CSS-„Familie“, der mit der Maschinensteuerung verbunden ist und der in den AUS-Zustand übergeht, wenn der Sensorteil während des bestimmungsgemäßen Betriebs anspricht.

(2) EDM = External Device Monitoring = Mittel, mit dem eine Schutzeinrichtung, z. B. ein Sicherheits-Lichtvorhang oder ein Sensor der Schmersal’schen CSS-„Familie“, den Status anderer SRP/CS-Teile überwacht.

Tabelle K.1 – Numerische Darstellung von Bild 5 (aus EN ISO 13 849-1:2006 [D] – Anhang K [informativ])

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde [1/h] und der zugehörige Performance Level

(PL)

MTTFd für

jeden Kanal


Jahre DCavg = kein DCavg = kein DCavg = niedrig DCavg = mittel DCavg = niedrig DCavg = mittel DCavg = hoch3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c10 1,14 × 10–5 a 7,18 × 10–6 b 5,14 × 10–6 b 3,21 × 10–6 b 1,36 × 10–6 c11 1,04 × 10–5 a 6,44 × 10–6 b 4,53 × 10–6 b 2,81 × 10–6 c 1,18 × 10–6 c12 9,51 × 10–6 b 5,84 × 10–6 b 4,04 × 10–6 b 2,49 × 10–6 c 1,04 × 10–6 c13 8,78 × 10–6 b 5,33 × 10–6 b 3,64 × 10–6 b 2,23 × 10–6 c 9,21 × 10–7 d15 7,61 × 10–6 b 4,53 × 10–6 b 3,01 × 10–6 b 1,82 × 10–6 c 7,44 × 10–7 d16 7,13 × 10–6 b 4,21 × 10–6 b 2,77 × 10–6 c 1,67 × 10–6 c 6,78 × 10–7 d18 6,34 × 10–6 b 3,68 × 10–6 b 2,37 × 10–6 c 1,41 × 10–6 c 5,67 × 10–7 d20 5,71 × 10–6 b 3,26 × 10–6 b 2,06 × 10–6 c 1,22 × 10–6 c 4,85 × 10–7 d22 5,19 × 10–6 b 2,93 × 10–6 c 1,82 × 10–6 c 1,07 × 10–6 c 4,21 × 10–7 d24 4,76 × 10–6 b 2,65 × 10–6 c 1,62 × 10–6 c 9,47 × 10–7 d 3,70 × 10–7 d27 4,23 × 10–6 b 2,32 × 10–6 c 1,39 × 10–6 c 8,04 × 10–7 d 3,10 × 10–7 d30 3,80 × 10–6 b 2,06 × 10–6 c 1,21 × 10–6 c 6,94 × 10–7 d 2,65 × 10–7 d 9,54 × 10–8 e33 3,46 × 10–6 b 1,85 × 10–6 c 1,08 × 10–6 c 5,94 × 10–7 d 2,30 × 10–7 d 8,57 × 10–8 e36 3,17 × 10–6 b 1,67 × 10–6 c 9,39 × 10–7 d 5,16 × 10–7 d 2,01 × 10–7 d 7,77 × 10–8 e39 2,93 × 10–6 c 1,53 × 10–6 c 8,40 × 10–7 d 4,53 × 10–7 d 1,78 × 10–7 d 7,11 × 10–8 e43 2,65 × 10–6 c 1,37 × 10–6 c 7,34 × 10–7 d 3,87 × 10–7 d 1,54 × 10–7 d 6,37 × 10–8 e47 2,43 × 10–6 c 1,24 × 10–6 c 6,49 × 10–7 d 3,35 × 10–7 d 1,34 × 10–7 d 5,76 × 10–8 e51 2,24 × 10–6 c 1,13 × 10–6 c 5,80 × 10–7 d 2,93 × 10–7 d 1,19 × 10–7 d 5,26 × 10–8 e56 2,04 × 10–6 c 1,02 × 10–6 c 5,10 × 10–7 d 2,52 × 10–7 d 1,02 × 10–7 d 4,73 × 10–8 e62 1,84 × 10–6 c 9,06 × 10–7 d 4,43 × 10–7 d 2,13 × 10–7 d 8,84 × 10–8 e 4,22 × 10–8 e68 1,68 × 10–6 c 8,17 × 10–7 d 3,90 × 10–7 d 1,84 × 10–7 d 7,68 × 10–8 e 3,80 × 10–8 e75 1,52 × 10–6 c 7,31 × 10–7 d 3,40 × 10–7 d 1,57 × 10–7 d 6,62 × 10–8 e 3,41 × 10–8 e82 1,39 × 10–6 c 6,61 × 10–7 d 3,01 × 10–7 d 1,35 × 10–7 d 5,79 × 10–8 e 3,08 × 10–8 e91 1,25 × 10–6 c 5,88 × 10–7 d 2,61 × 10–7 d 1,14 × 10–7 d 4,94 × 10–8 e 2,74 × 10–8 e100 1,14 × 10–6 c 5,28 × 10–7 d 2,29 × 10–7 d 1,02 × 10–7 d 4,29 × 10–8 e 2,47 × 10–8 e

38


im Schmersal-/Elan-Programm(1)

(siehe auch Schmersal-Online-Katalog www.schmersal.net [Datenblätter des jeweiligen Produkts] oder im Rahmen unserer SISTEMA-Herstellerbibliothek [www.schmersal.net → Weitere Produkte/Software → Download Software])

Sicherheitssensoren CSS 180(2)

• Sub-SIL 3, Sub-PL „e“, PFHd 2,5 × 10–9

Sicherheitssensoren CSS 34(2)


Sicherheitssensoren AZ 200(2)


Berührungslose Zuhaltungen AZM 200


Berührungslose Zuhaltungen MZM 100(2)


(2) Zu Sicherheitssensoren und berührungslosen Zuhaltungen der Schmersal’schen „CSS-Familie“: Bitte beachten Sie beim Einsatz dieser Geräte zusätzlich – ausgenommen davon (aufgrund einer doppelten Stellungsüber-wachung) die Zuhaltungen AZM 200 – die Anforderungen an zusätzliche Vorkehrungen zur Verminderung des Risikos von Manipulationen (AMD 1 zu EN 1088:1996), z. B. eine unlösbare Befestigung des Gegenstücks (mit Einwegschrauben), ein verdeckter Einbau o. Ä. Siehe auch Stichwort „AMD 1“ im Lexikonteil.

(1) Bei den genannten PFHd-Werten handelt es sich überwiegend um Werte, die im Zuge von Geräte zertifi zierungen (durch BG, TÜV etc.) gemäß EN IEC 61 508:2001 ermittelt wurden.

Der Diagnosedeckungsgrad von 99 % wird bei den vorgenannten Geräten (bei den Geräten der Schmersal’schen CSS-Familie) auch im Falle von Reihenschaltungen nicht berührt, da sich jedes Gerät selbst überwacht.




39

Sicherheits-Relais-Bausteine (Architektur: SK 4)(1)

• Sub-SIL 3, Sub-PL „e“, PFHd in Abhängigkeit von Schaltspielanzahl und Schaltlast:Min. – siehe Grenzbetrachtung – 9,54 × 10–8 bzw. 31 y MTTFd

(2)

(1) Informationen zur Fehleraufdeckung (zum Diagnosedeckungsgrad) für vor- und nachgeordnete SRP/CS-Teile

(einfache Einzelgeräte auf der I - bzw. O -Ebene): siehe Seite 32 f. und Seite 50.(2) Zusätzliche Überprüfung erforderlich, weil Relais zu den verschleißbehafteten Bauteilen gehören. Berechnungs-

grundlage B10d (bei Last in %): 20.000.000 (20 %), 7.500.000 (40 %), 2.500.000 (60 %), 1.000.000 (80 %), 400.000 (100 %).

Die B10d-Wert-Betrachtung ist nur für die angeschlossene Aktorebene O von Relevanz! Die Betrachtung der Ein-gangsebene I kann entfallen (< 20 % Last).

Grenzbetrachtung:PFHd < 9,54 × 10–8 (< 2,47 × 10–8) bzw. MTTFd > 30 y (> 100 y) ist gegeben bei: ≤ 6,5 (1,9) Mio. Schaltspielen pro Jahr (nop/y) und 20 % Last≤ 2,5 (0,75) Mio. Schaltspielen pro Jahr (nop/y) und 40 % Last≤ 0,6 (0,18) Mio. Schaltspielen pro Jahr (nop/y) und 60 % Last≤ 0,3 (0,09) Mio. Schaltspielen pro Jahr (nop/y) und 80 % Last≤ 0,1 (0,03) Mio. Schaltspielen pro Jahr (nop/y) und 100 % Last

Bei geringerer Schaltspiele-Anzahl errechnen sich entsprechend „bessere“ PFHd- bzw. MTTFd-Werte.

• Es ist vertretbar, bei einer mittleren Schaltspieleanzahl von ≤ 100 × pro Tag (≤ 36.500 nop/y) und bei einer Schaltlast bis zu 60 % mit einem PFHd-Wert von ≤ 5 × 10–9 (und bei einer Schaltlast bis zu 80 % mit einem PFHd-Wert von ≤ 1,3 × 10–8) zu rechnen.

• Beispielhaft wird im BGIA-Report 2/08 bei Sicherheits-Relais-Bausteinen mit einem PFHd-Wert von 2,31 × 10–9 gerechnet (in einem anderen Fall mit 2,69 × 10–9). Es gibt andere Beispiele (z. B. bei SIEMENS) mit einem PFHd-Wert von 1 × 10–9. Offensichtlich ist hier (im Vergleich zu unserer obigen Abschätzung) mit günstigeren Schaltspielezahlen und/oder Schaltlasten gerechnet worden.

Sicherheits-Relais-Bausteine (Architektur: SK 3)

• Sub-SIL 3, Sub-PL „e“, PFHd < 8,84 × 10–8 bzw. > 62 y MTTFd (darunter PL „d“ bzw. SIL 2)• Ansonsten: siehe (sinngemäß) oben (SRB-Bausteine mit Architektur SK 4)!

Sicherheits-Zeitrelais AZS 2305

• Sub-SIL 2, Sub-PL „d“, PFHd 2,5 × 10–8

Sicherheits-Stillstandswächter FWS 1205, 1206 und 2xxx

• (je nach Beschaltung) max. Sub-PL „d“, Sub-SIL 2, Sub-PL „d“, PFHd 8,8 × 10–9




40

Sicherheitssteuerungen ESALAN-Compact(1)

• Sub-SIL 3, Sub-PL „e“, PFHd 0,14 × 10–7 bzw. MTTFd 193 y (für Halbleiter-A’s) bzw. 0,15 × 10–7 bzw. MTTFd 192 y (für Relais-A’s)

(1) Informationen zur Fehleraufdeckung (zum Diagnosedeckungsgrad) für vor- und nachgeordnete SRP/CS-Teile (einfache Einzelgeräte auf der I - bzw. O -Ebene): siehe Seite 32 f. und Seite 50.

Sicherheits-SPSen PROTECT PSC(1)

• 2-kanalige E/A’s: Sub-SIL 3, Sub-PL „e“, PFHd 1,27 × 10–8 (2-kanaliger Eingang → 2-kanaliger Ausgang); 1,64 × 10–8 (2 × 2-kanalige Eingänge → 2-kanaliger Ausgang, z. B. bei BA „Muting“)

• 1-kanalige E/A’s: auf Anfrage

(1) Informationen zur Fehleraufdeckung (zum Diagnosedeckungsgrad) für vor- und nachgeordnete SRP/CS-Teile (einfache Einzelgeräte auf der I - bzw. O -Ebene): siehe Seite 32 f. und Seite 50.

ESALAN-Wireless-Systeme

• Sub-SIL 3, Sub-PL „e”, PFHd 5,5 × 10–9

Sicherheits-Lichtschranken, -Lichtgitter, -Vorhänge (Typ 4)

• Sub-SIL 3, Sub-PL „e“, PFHd (beispielhaft SLG(C) 420) 7,42 × 10–9

PS: Gilt nur für die Lieferausführungen mit OSSD-Ausgängen(1) und EDM-Funktion(2) (sprich ohne zusätzliches Auswertegerät bzw. SRB-Baustein) (1) OSSD = Output Signal Switching Devices = sicherheitsgerichteter Teil einer Schutzeinrichtung, z. B. eines Sicher-

heits-Lichtvorhangs oder eines Sensors der Schmersal’schen CSS-„Familie“, der mit der Maschinensteuerung verbunden ist und der in den AUS-Zustand übergeht, wenn der Sensorteil während des bestimmungsgemäßen Betriebs anspricht.

(2) EDM = External Device Monitoring = Mittel, mit dem eine Schutzeinrichtung, z. B. ein Sicherheits-Lichtvorhang oder ein Sensor der Schmersal’schen CSS-„Familie“, den Status anderer SRP/CS-Teile überwacht.

Sicherheits-Lichtschranken, -Lichtgitter, -Vorhänge (Typ 2)

• Sub-SIL 2, Sub-PL „d“, PFHd (beispielhaft SLG(C) 220) 3,59 × 10–8

Sicherheits-Laserscanner

• Sub-SIL 2, Sub-PL „d”, PFHd 7,3 × 10–8

• Mission time: 11 y




41

Gerätekombinationen

Sicherheits-Magnetschalter BNS/Auswertegeräte AES

• Kombination BNS/AES-Ausführungen der AES-Typen 1xxx (ausgenommen 1102 und 1112 sowie – siehe unten – 1337): Sub-PL „d“, Sub-SIL 2, PFHd-Werte in Abhängigkeit zur Schalt-häufi gkeit wie folgt: 1 × 10–8 bei 6 h–1, 9 × 10–9 bei 1 h–1 bzw. 8,4 × 10–9 bei 0,1 h–1

• Kombination BNS/AES-Ausführung des AES-Typs 1337: Sub-PL „e“, Sub-SIL 3, PFHd-Werte auf Anfrage

• Kombination BNS/AES-Ausführungen des AES-Typs 2xxx: Sub-PL „d“, Sub-SIL 2, PFHd-Wert in Abhängigkeit zur Schalthäufi gkeit: 1,8 × 10–9 bei 0,1 h–1

• Kombination BNS/AES-Ausführungen der Typen 1102, 1112, 6112 und 7112:Sub-PL „c“, Sub-SIL 1, PFHd-Wert in Abhängigkeit zur Schalthäufi gkeit: 1,21 × 10–6 bzw. 75 y MTTFd bei 5.280 nop/y

Sicherheits-Schaltleisten

• Auf Anfrage

Sicherheits-Schaltmatten

• Auf Anfrage

Sicherheits-Bumper

• Auf Anfrage




42

Sicherheitsbussystem ASi-SaW/Geräte mit ASi-SaW-Schnittstelle

Vorbemerkung

Für die PL-Abschätzung zu betrachten ist die jeweilige Sicherheitsfunktion (siehe Seite 70 ff.) und die Kette

• Sicherheitsschaltgerät einschließlich integrierter ASi-SaW-Schnittstelle (z. B. Magnetschal-ter BNS 260 AS)

bzw.

• „Sicherheitsschaltgerät“ plus externe „ASi-SaW-Anschaltung“ (z. B. Not-Halt-Befehlsgerät + ASi-Tube)

plus

• ASi-SaW-Monitor ASM. Dies entspricht im Sinne der Subsystem-Methode den Ebenen I und L .

Hinzu kommt die Bewertung der Ausgangsebene O .

Bei einfachen Einzelgeräten auf der O -Ebene dient die Rückführkreis-Schnittstelle im ASi-SaW-Monitor ASM der Fehleraufdeckung gleich einem Sicherheits-Relais-Baustein bzw. einer Sicherheits-SPS, d. h. je nach sicherheitstechnischer Qualität des Rückführsignals können bis zu 99 % Diagnosedeckungsgrad erreicht werden (siehe hierzu Seite 55).

Anmerkung zur I -Ebene: Der Diagnosedeckungsgrad von 99 % wird im ASi-SaW-Sicher-heitsbus-System auch bei einer Reihenschaltung einfacher Einzelgeräte nicht berührt, d. h. es bleibt auch in diesem Fall bei 99 %, weil die ASi-SaW-Überwachungsroutinen jeden Teilneh-mer individuell einbeziehen („sehen“).

Anmerkung 2: Der Performance Level einer Sicherheitsfunktion bestimmt sich nach der Theo-rie des schwächsten Kettenglieds, d. h. ein einzelnes Sicherheitsschaltgerät, das nur als ein Kanal zu bewerten ist und damit maximal Sub-PL „c“ erreicht, bestimmt die Höhe des gesam-ten PL’s. Daran ändert auch die höherwertige ASi-SaW-Elektronik nichts.

43

Anmerkung 3: Bei einfachen Einzelgeräten mit externer ASi-SaW-Anschaltung empfehlen wir, beide Systembestandteile als Subsystem zu betrachten. Bei 1-kanaligen Einzelgeräten ergibt sich dafür – in Abhängigkeit zur Schalthäufi gkeit(1) – im Regelfall ein Sub-PL „c“ und bei 2-ka-naligen Geräten/Geräteanordnungen im Regelfall immer ein Sub-PL „e“. Falls erforderlich ist das Subsystem mit einem PFHd-Wert zu quantifi zieren (siehe Seite 50).

(1) Ein Einfl uss der Schaltlast braucht nicht betrachtet zu werden.

Sicherheits-Magnetschalter

• B10d-Wert: 20.000.000(1)

(1) Betrieb mit geringer Last (< 20 %)

• 1-/2-Kanaligkeit, 2-Kanaligkeit auch mit einem Einzelgerät möglich• Ausführung BNS 260 AS:

Sub-PL „e“, PFHd-Wert 6,21 × 10–9 (bei nop/y 525.600) bzw. 3,35 × 10–9 (bei nop/y 24.000)• Ausführung BNS 36 AS:

Sub-PL „e“, PFHd-Wert 1,24 × 10–8 (bei nop/y 525.600) bzw. 4,03 × 10–9 (bei nop/y 24.000)• Ausführung BNS 16 AS:

ähnlich BNS 36 AS

Positionsschalter mit getrenntem Betätiger (sogenannte Bauart 2-Schalter)• B10d-Wert: 2.000.000(1)


• 1-/2-Kanaligkeit bei Sicherheitsschaltern: Bei einem einzelnen Gerät abhängig von der C-Norm bzw. Fehlerausschluss nach EN ISO 13 849-2:2003 erforderlich

• Ausführung AZ 16 AS:Sub-PL „c“(2), Sub-SIL 1(2) (bei kundenseitigem Fehlerausschluss max. PL „d“(2), Sub-SIL 2(2)), PFHd-Wert: PFHd/Sicherheitsschalter (anwendungsabhängig abzuschätzen) + PFHd/ASi-SaW-Elektronik (< 1 × 10–8), z. B. bei 100 y MTTFd = 3,47 × 10–8, bei 200 y = 2,19 × 10–8, bei 500 y ca. 0,55 × 10–8 etc.

(2) bei MTTFd „hoch“




44

Positionsschalter mit getrenntem Betätiger und Zuhaltung

(sogenannte Bauart 2-Schalter)• B10d-Wert: 2.000.000(1)


• 1-/2-Kanaligkeit: siehe Seite 26 f. sowie Seite 29 ff. (Geräte mit getrenntem Betätiger und Zuhaltung ohne ASi-SaW-Schnittstelle)

• Ausführung AZM 162 AS:max. Sub-PL „d“(2),SIL 2(2), PFHd-Wert: PFHd/Sicherheitsschalter (anwendungsabhängig ab-zuschätzen) + PFHd/ASi-SaW-Elektronik (< 1 × 10–8), z. B. bei 100 y MTTFd = 3,47 × 10–8, bei 200 y = 2,19 × 10–8, bei 500 y ca. 0,55 × 10–8 etc.(2) bei MTTFd „hoch“

• Ausführung AZM 170 AS:max. Sub-PL „d“(2), SIL 2(2), PFHd-Wert: PFHd/Sicherheitsschalter (anwendungsabhängig abzuschätzen) + PFHd/ASi-SaW-Elektronik (< 1 × 10–8), z. B. bei 100 y MTTFd = 3,47 × 10–8, bei 200 y = 2,19 × 10–8, bei 500 y ca. 0,55 × 10–8 etc.(2) bei MTTFd „hoch“

• Ausführung AZ 200 AS:Sub-PL „e“, Sub-SIL 3, PFHd-Wert: 4 × 10–9

• Ausführung MZM 100 AS:Sub-PL „e“, Sub-SIL 3, PFHd-Wert: < 5 × 10–9

ASi-SaW-Monitor

• Ausführung ASM:Sub-PL „e“, Sub-SIL 3, PFHd-Wert: 9,1 × 10–9

• Ausführung ASM G2:Sub-PL „e“, Sub-SIL 3, PFHd-Wert: 5,4 × 10–9

Externe ASi-SaW-Anschaltung

• Ausführung ASi-/Opto-Tube:Beitrag zum Sub-PL „e“, Beitrag zum Sub-SIL 3, PFHd-Wert: < 1 × 10–8




45

Kombination von Sub-PL’s zu einem Gesamt-PL

45

46

Kombination von Sub-PL’s zu einem Gesamt-PL

• Bezugnahme: siehe Seite 12 ff. sowie Seite 53 ff.

• Die Kombination von Sub-PL’s (im Regelfall Sub-PL’s für I , L und O ) zu einem Gesamt-PL für einen SRP/CS ist – im Vergleich zur Blockmethode – ein sehr einfaches Verfahren.

• Hierfür hält EN ISO 13 849-1:2006 die sogenannte Kombinationstabelle bereit (= Tabelle 11 der Norm). Sie spiegelt einmal die Theorie des schwächsten Glieds in der Kette wider und berücksichtigt ggf. darüber hinaus die Addition von Restfehlerwahrscheinlichkeiten, d. h. dass ab einer bestimmten Länge der Kette die Zuverlässigkeitswerte PFHd bzw. MTTFd unter einen kritischen Grenzwert fallen können, der den Gesamt-PL berührt.

• Im linken Teil der Tabelle kann man die Gesamtzahl von Sub-PL’slow (> Nlow ≤ Nlow) ablesen, d. h. die Anzahl der niedrigsten Sub-PL’s, und im rechten Teil der Tabelle den daraus resul-tierenden Gesamt-PL. Charakteristisch für die Kombinationstabelle ist dabei, dass es ab ei-ner bestimmten Anzahl „Sub-PL’slow“ eine Herabstufung (ein Downgrading) gibt. Hintergrund dafür ist die Addition von Restfehlerwahrscheinlichkeiten (je länger die Kette, desto mehr!).

• ACHTUNG: Die Herabstufung um einen PL ist jedoch nicht zwingend, wenn die Restfehler-wahrscheinlichkeiten im individuellen Fall besser sind als die Annahmen des Normensetzers bei der Gestaltung von Tabelle 11. Angenommen wurden hier mittlere Werte.

PLlow

Nlow

→ PL

a> 3 → none, not permitted

≤ 3 → a

b> 2 → a

≤ 2 → b

c> 2 → b

≤ 2 → c

d> 3 → c

≤ 3 → d

e> 3 → d

≤ 3 → e

• Mit anderen Worten: Zu ermitteln ist im individuellen Fall:a) der niedrigste Sub-PL (PLlow) im SRP/CS sowieb) die Anzahl der vertretenen niedrigsten Sub-PL’s (Nlow) undc) der daraus resultierenden Gesamt-PL.

• Für einen Gesamt-PL „a“ werden max. drei Sub-PL’slow, für die Gesamt-PL’s „b“ und „c“ max. zwei Sub-PL’slow und für die Gesamt-PL’s „d“ und „e“ wiederum drei Sub-PL’slow to-leriert, ohne dass es zu einer Herabstufung (einem Downgrading) kommt bzw. umgekehrt: Wenn es im betreffenden SRP/CS mehr Sub-PL’slow gibt, ist der Gesamt-PL eine Stufe geringer (z. B. 3 × Sub-PL „c“ ergibt gesamthaft PL „b“).

47

• Bitte beachten: „Höhere“ Sub-PL’s in einem SRP/CS werden bei Anwendung der Kombina-tionstabelle nicht mitgezählt (= Theorie des schwächsten Glieds). Gleiches gilt für Subsys-teme und Teile eines SRP/CS, für die ein Fehlerausschluss in Anspruch genommen wurde.

• Tipp: Um auch bei komplexeren Schaltungen (ohne zu viel Downgrading-Problematik) von der Kombinationstabelle Gebrauch machen zu können, empfi ehlt es sich, die betreffenden Schaltungen näher zu analysieren. Ziel dabei ist, so wenige Subsysteme betrachten zu müssen, wie sicherheitstechnisch geboten. Gegenstand der Analyse sollte deshalb zum einen sein, nicht-sicherheitsrelevante Teile aus der Subsystembetrachtung auszuklammern (z. B. muss nicht jeder Antrieb in einem System ein Gefahr bringender Antrieb sein), zum an-deren kann eine komplexe Schaltung auch mehrere Sicherheitsfunktionen umfassen (siehe hierzu Exkurs Seite 70 ff.).

• Beispiel 1

(2 × Sub-PL „c“ = Gesamt-PL „c“, 1 × Sub-PL „d“ wird nicht betrachtet)

Im vorliegenden Fall handelt es sich um das Normbeispiel zur Anwendung der Kombina-tionstabelle. Angenommen wird ein SRP/CS, der aus 2 Subsystemen mit PL „c“ und einem Subsystem mit Sub-PL „d“ besteht. Niedrigster Sub-PL ist hier „c“, der zwei Mal vertreten ist, d. h. für den Gesamt-SRP/CS bleibt es bei PL „c“. Der Teil des SRP/CS mit Sub-PL „d“ wird (weil „höher“) nicht betrachtet.

Beispiel 1:

I L O PLIst

PL „c“ PL „d“ PL „c“ PL „c“

* gemäß Kombinationstabelle** siehe nächste Abbildung

SRP/CS 1PL c

SRP/CS 2PL

SRP/CSPL

d

cSRP/CS 3

PL c

PLlow

Nlow PL

a> 3

≤ 3

→→

none

a

b> 2

≤ 2

→→

a

b

c> 2

≤ 2

→→

b

c

d> 3

≤ 3

→→

c

d

e> 3

≤ 3

→→

d

e

SRP/CSc

Category 2; PL = cSRP/CSd

Category 2; PL = dSRP/CSc

Category 1; PL = c

Electronic control logic

Fluidics

Light barrier

48

• Beispiel 2

(Dieses Beispiel – 3 × Sub-PL „c“ – zeigt das Vorgehen im Falle einer Herabstufung, wenn man damit – wegen der Notwendigkeit eines höheren PLr – nicht „leben“ kann oder will.)

Beispiel 2:

I L O PLIst

PL „c“ PL „c“ PL „c“ PL „b“*PL „c“

* gemäß Kombinationstabelle

SRP/CS 1PL c

SRP/CS 2PL

SRP/CSPL

d

cSRP/CS 3

PL c

PLlow

Nlow PL

a> 3

≤ 3

→→

none

a

b> 2

≤ 2

→→

a

b

c> 2

≤ 2

→→

b

c

d> 3

≤ 3

→→

c

d

e> 3

≤ 3

→→

d

e

SRP/CSc

Category 2; PL = cSRP/CSd

Category 2; PL = cSRP/CSc

Category 1; PL = c

Electronic control logic

Fluidics

Light barrier

Ein Subsystem möge aus drei Subsystemen mit 3 × Sub-PL „c“ bestehen. Gemäß Kom-binationstabelle ergibt sich eine Herabstufung zu einem Gesamt-PL von „b“. Es gilt nun, die individuellen PFHd-Werte der einzelnen Subsysteme in Betracht zu ziehen, d. h. sie zu addieren und die Summe mit dem PFHd-Wert, der für den Gesamt-PL „c“ erforderlich ist, zu vergleichen, d. h. im vorliegenden Beispiel mit ≥ 1 × 10–6 ... ≤ 3 × 10–6).

Liegt der addierte PFHd-Wert im entsprechenden Intervall, ist ein Downgrading nicht re-levant, da die individuellen Werte besser sind als die vom Normensetzer modellhaft ange-nommenen Werte.

Will man diese Betrachtung mit MTTFd-Werten vereinfachend anstellen, sollten in jedem Fall „> 30 y“ (MTTFd „hoch“) die Zielgröße für den Gesamt-PL sein.

49

• Beispiel 3

Dieses Beispiel versteht sich losgelöst von der Kombinationstabelle von EN ISO 13 849-1:2006, d. h. betrachtet werden von vornherein das „schwächste Glied in Kette“ und die PFHd-Werte des SRP/CS. Diese Betrachtung entspricht z. B. EN IEC 62 061:2005.

MTTFd-/PFHd-Wert-Addition und Vergleich• MTTFd: > 30 y (worst case)• PFHd: > 10–6 … < 3 × 10–6

I L O PLIst

Bemerkung

Variante 1:

MTTFd 50 y + 50 y + 50 y ≙ 17 yReicht nicht!

PFHd 2,24 × 10–6 + 2,24 × 10–6 + 2,24 × 10–6 ≙ 6,72 × 10–6

Variante 2:

MTTFd 200 y + 100 y + 100 y ≙ 40 yReicht soeben!

PFHd ≈0,7 × 10–6 + 1,14 × 10–6 + 1,14 × 10–6 ≙ 3 × 10–6

Beispiel 3:

I L O SRP/CS

AZM 200 ESALAN-Compact Antrieb mit Sicherheitsfunktion PLIst

Σ

PL „e“ PL „e“ PL „d“ PL „d“*

4,3 × 10–9 + 0,5 × 10–9 + 10 × 10–9 = 14,8 × 10–9 PFHd**

* Das „schwächste“ Glied der Kette bestimmt!** Vergleich ist mit dem erforderlichen PFHd-Grenzwert, z. B. > 10–7 … < 10–6 für PL „d“

• Ansonsten (bei wesentlich mehr Subsystemen als in Tabelle 11 von EN ISO 13 849-1:2006 vorgesehen) sollten alle Subsysteme betrachtet werden, insbesondere müssen deren Res-tausfallwahrscheinlichkeiten (sprich die einzelnen PFHd-Werte) addiert und mit dem für den jeweiligen PL maximal zulässigen PFHd-Wert verglichen werden, wobei auch in diesem Falle gilt, dass das schwächste Glied (der niedrigste Sub-PL) den Gesamt-PL bestimmt. Hilfs-weise können auch MTTFd-Werte addiert werden, jedoch sollte in diesem Fall immer ein Wert > 30 y das Ziel sein.

Im oberen Teil der nachfolgenden Abbildung (Variante 1) wird aufgezeigt, dass die Werte nicht ausreichend sein mögen, um einen PL „c“ zu erreichen; im unteren Teil (Variante 2), dass sie (in der Variante 2) soeben ausreichen, um einen PL „c“ nachzuweisen.

50

• Beispiel

Ein SRP/CS möge aus 6 Subsystemen bestehen.– Der niedrigste Sub-PL bestimmt den Gesamt-PL.– Die Summe der PFHd-Werte der Subsysteme muss in die PLr-Klasse fallen!

Woher PFHd-Werte nehmen und nicht stehlen?

• Werden für Subsysteme Geräte mit komplexerer sicherheitstechnischer Funktionalität eingesetzt, die bereits mit einem Sub-PL (oder Sub-SIL) qualifi ziert sind, stehen im Regel-fall auch die PFHd-Werte als Herstellerangabe zur Verfügung. Um bei eigenen Sub-PL-Ab-schätzungen zu einem PFHd-Wert zu kommen, sollte man sich des Anhangs K von EN ISO 13 849-1:2006 bedienen, der jedoch bei 100 y MTTFd endet. Höhere MTTFd-Werte lassen sich ggf. vorsichtig (sprich sehr zurückhaltend) in geschätzte PFHd-Werte umrechnen (bitte beachten Sie, dass es sich um eine logarithmische Funktion handelt). Eine Verlängerung des Anhangs K von EN ISO 13 849-1:2006 (> 100 y MTTFd) ist in Vorbereitung. Zurzeit noch inoffi zielle Zahlen: siehe Stichwort „Anhang K“ im Lexikonteil).

• Wenn es hilft, ist es nach BGIA-Angabe auch vertretbar, mit der Hälfte des PFHd-Werts der jeweiligen PL-Klasse (Achtung: logarithmische Funktion) zu rechnen, sollte man bei einem Subsystem zwar eine PL-Angabe, aber keine entsprechende PFHd-Angabe haben.

• Als weitere Hilfsrechnung erscheint es vertretbar, MTTFd- und Block-MTTFd-Werte (PFHd = 1/PFHd : 8.760) nach der Parts-Count-Methode zu addieren. Dabei sollte aber min-destens ein MTTFd > 30 y pro Kanal das Ergebnis sein, wenn man ein Downgrading vermei-den will. Siehe oben!

• Das etwaige Handicap der Beschränkung von Anhang K von EN ISO 13 849-1:2006 auf einen MTTFd-Wert von 100 y lässt sich aber auch lösen, indem man mehrere diskret, d. h. mit Steuerungskategorie, Kanal-MTTFd und DC, bewertete Subsysteme zusammenfasst und die Zusammenfassung zugrunde legt, um im Anhang K einen PFHd-Wert abzulesen. Beispiele fi nden Sie auf Seite 141 ff.

PFHd von Subsystem 1 mit PL „e“ z. B. 5 × 10–9

+ PFHd von Subsystem 2 mit PL „d“ z. B. 10 × 10–9

+ PFHd von Subsystem 1 mit PL „e“ z. B. 1 × 10–9




= Gesamt-PL = PLlow

= „d“ z. B. 4,6 × 10–8

Per

form

ance

Le

vel (

PL)

Durchschnittliche Wahrscheinlichkeit eines Gefahr brin-genden Fehlers pro Stunde (PFHd)

max. 1 (tolerierter) gefährlicher Fehler pro

a ≥ 10–5 … < 10–4 10.000 Stundenb ≥ 3 × 10–6 … < 10–5 100.000 Stundenc ≥ 10–6 … < 3 × 10–6 333.000 Stundend ≥ 10–7 … < 10–6 1.000.000 Stundene ≥ 10–8 … < 10–7 10.000.000 Stunden

■I

■L

■O

51

Nachwort zur Subsystem-Methode

• Wie bereits mehrfach ausgeführt, handelt es sich bei der Subsystem-Methode um eine in der Norm vorgesehene Möglichkeit, um einen Gesamt-PL in einer einfachen Art und Weise zu berechnen.

• Die Vereinfachungen, die hier im Hintergrund stehen, können jedoch in Einzelfällen dazu führen, dass man bei Anwendung der Subsystem-Methode zu einer niedrigeren Gesamt-PL-Abschätzung kommt als bei Anwendung der Blockmethode, insbesondere bedingt durch die konsequente Anwendung der Philosophie des schwächsten Glieds in der Kette der Subsysteme. Im Fall der Blockmethode werden die einzelnen Betrachtungsparameter dagegen in der Summe (beim MTTFd-Wert) bzw. im Durchschnitt (beim Diagnosedeckungs-grad DC) betrachtet, d. h. in einem bestimmten Maße lassen sich einzelne niedrige Werte durch andere höhere Werte kompensieren.

• Beispiel: Eine Sicherheitsfunktion möge sich aus einem Subsystem mit Sub-PL „d“ und mehreren anderen Subsystemen mit Sub-PL „e“ zusammensetzen (= Gesamt-PL „d“ nach der Subsystem-Methode bzw. nach der Philosophie des schwächsten Glieds in der Kette der Subsysteme). Führt man dagegen eine Gesamtbetrachtung nach der Blockmethode durch, kann es – je nach Konfi guration der einzelnen Werte – möglich sein, zu einem Ge-samt-PL „e“ zu kommen. Dieses Ergebnis würde dabei im Rahmen der intendierten Gestal-tungsspielräume der Norm liegen.

• Aufgrund der Mathematik, die hinter der Norm steht, kann es aber auch zu widersinnigen Ergebnissen (Paradoxen) kommen, z. B. dass auch bei gleichem Diagnosedeckungsgrad einzelner SRP/CS-Teile Erhöhungen von MTTFd-Werten aufgrund einer besseren Hardware-Auswahl, die man vorsieht, rein rechnerisch zu einem niedrigeren DCavg führen kann. Fälle in umgekehrter Richtung sind ebenso denkbar. Deshalb sollte die Korrekturgröße immer der gesunde Menschen- und Fachverstand sein.

Confusion, but on a higher level!

52

53

Wie berechne ich selbst einen PL für ein Subsystem

(einen Sub-PL)?

53

54

Einführung/Präambel

• ACHTUNG: In den nachfolgenden Schaltungsbeispielen geht es im Wesentlichen nur um die Eingangsebene, d. h. welcher Sub-PL bzw. Sub-SIL im SRP/CS für einfache Einzelgeräte in Verbindung mit der nachgeordneten Signalverarbeitung erreicht werden kann.

• Für SRB-Bausteine gilt dabei im Regelfall ein Diagnosedeckungsgrad DC von 99 % (auf-grund des Plausibilitätstests der beiden zwangsgeführten Kanalrelais) und bei Sicherheits-SPSen ebenfalls ein DC von 99 % (aufgrund des hochdynamischen kreuzweisen Daten-vergleichs der beiden Mikrocomputer-Systeme im Gerät). Voraussetzung ist die 2-kanalige Ansteuerung. Beide DC-Werte stammen aus Anhang E von EN ISO 13 849-1:2006.

• Eine andere Betrachtung für den Diagnosedeckungsgrad gilt bei Reihenschaltungen elek tromechanischer Geräte, die auf der Eingangsebene einem SRB-Baustein oder einer Sicherheits-SPS vorgelagert sind. Hier operieren wir bis auf Weiteres mit einem einge-schränkten DC von 60 % = „niedrig“ (siehe Seite 32 f. sowie Seite 139).

• Andere Arten der nachgeordneten Signalverarbeitung einfacher Einzelgeräte bedürfen einer gesonderten Beurteilung (siehe ebenfalls Anhang E von EN ISO 13 849-1:2006). Bitte in diesem Zusammenhang auch nicht außer Acht lassen, dass in einem SRP/CS mehrere Maßnahmen zur Fehleraufdeckung realisiert werden können (z. B. Maßnahmen von SRB-Bausteinen, Sicherheits-SPSen etc. plus Maßnahmen von Testeinrichtungen [TE’s], z. B. betriebsmäßigen SPSen). Siehe Beispiel Seite 76.

Es gibt nun zwei Möglichkeiten, einen Sub-PL zu bilden:

• Möglichkeit 1 ist die Bildung eines Sub-PL’s für die Funktion „Einfaches Einzelgerät + Dia-gnose“ (durch die nachfolgende Signalverarbeitung). Betrachtet würde in diesem Fall der Teil der Schaltung eines SRB-Bausteins oder einer Sicherheits-SPS, der der Fehleraufde-ckung auf der Eingangsebene dient. D.h. die Betrachtung bezieht sich nur auf die Ebene I . Alles, was danach folgt (die Ebenen L + O ), ist Gegenstand einer separaten Sub-PL-Be-trachtung. So meint es die Norm in der nachfolgenden Abbildung (siehe Abbildung, obere Kennzeichnung).



TSE 1.1

D

D

D

I L

SPS in Überein-stimmung

mit IEC 61508


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4

O

55


TSE 1.1

D

D


mit IEC 61508


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4

I/L O

• Möglichkeit 2 ist die Bildung eines Sub-PL’s für die Gerätekombination „Einfaches Einzelge-rät + SRB-Baustein bzw. Sicherheits-SPS“. D. h. hier würden die Ebenen I + L zusammen-gefasst (siehe Abbildung, untere Kennzeichnung). Im Falle von SRB-Bausteinen würde dies aber auch Kenntnisse über die Aktorebene O erfordern, um – wegen der verschleißbehaf-teten Relais – eine überschlägige B10d-Wert-Betrachtung machen zu können.

Die nachfolgenden Anmerkungen gelten unabhängig davon, ob man sich für Möglichkeit 1 oder Möglichkeit 2 entscheidet:

• Einer differenzierteren Beurteilung bedarf der Diagnosedeckungsgrad des Rückführkreises der nachgeordneten Aktorik (normalerweise Kundenangelegenheit). Zwar wirken hier die bereits genannten Maßnahmen (DC: 99 %, siehe oben) ebenfalls, jedoch hängt es von der sicherheitstechnischen Qualität des Rückführsignals ab, zu welchem DC man bei einfachen Einzelgeräten für das Subsystem „Ausgangsebene“ O kommt. Bei Leistungsschützen mit zwangsgeführten Kontakten kann man von 99 % ausgehen, bei einer Signalherkunft von nicht-zwangsgeführten Kontakten sind es weniger, u. a. davon abhängig, ob und wie häu-fi g die Ausgangsebene in den normalen Prozess einbezogen ist und damit betriebsmäßig (sprich sicherheitsunkritisch) getestet wird. Hier muss der Kunde selbst entsprechende Überlegungen unter Zuhilfenahme von Anhang E der Norm EN ISO 13 849-1:2006 anstellen (DC = > 60 % ... < 99 %).

• Bitte beachten Sie, dass sich der Diagnosedeckungsgrad erhöhen lässt, in dem Rück-melde signale aus dem betriebmäßigen Teil der Steuerung (Stichwort: „Testeinrichtung“, siehe a.a.O.) in die Betrachtung mit einbezogen werden können. Informationen über die Wirksamkeit dieser zusätzlichen Maßnahmen enthält Anhang E von EN ISO 13 849-1:2006.

• Bedient man sich, z.B. bei handbetätigten Sicherheitsschaltgeräten (Not-Halt, Zustim-mungsschalter etc.), des Instituts eines Fehlerausschlusses für ein Subsystem in Gänze (siehe Seite 32 f.), braucht das Subsystem gar nicht betrachtet zu werden (siehe Kapitel „BGIA-Schaltungsbeispiele“ Seite 76). Eine sorgfältige Abwägung wird dabei allerdings vorausgesetzt.

56

Beispiel 1(1)

Eine Schutztür in einer Umzäunung um eine Roboteranlage möge mit einem TESF-Schal-ter abgesichert sein. Die nachfolgende Signalverarbeitung erfolgt mit einem Sicherheits-Relais-Baustein aus der PROTECT SRB-Baureihe für SK 4.

Aufgabenstellung:

Welcher Sub-PL liegt für die Eingangsebene „TESF-Schalter“ vor?

Beim TESF-Schalter handelt es sich um ein einfaches Einzelgerät ohne eigene Diagnose-funktion. Die Diagnose erfolgt im nachgeordneten SRB-Baustein. Betrachtet wird mithin der TESF-Schalter selbst und die Diagnosefunktion des SRB-Bausteins, die der Fehlerer-kennung auf der Eingangsebene (dem TESF-Schalter) gilt. Demzufolge ist diese Funktion (nur I ) Grundlage unserer Sub-PL-Betrachtung (die Gerätekombination I + L fi nden Sie im Beispiel 3).

Überlegung 1: Welche Architektur –

unter Berücksichtigung welcher Fehlerausschlüsse – liegt vor?

• Beim TESF-Schalter handelt es sich physikalisch zwar um einen Schalter, jedoch mit zwei voneinander unabhängigen und jeweils zwangsöffnenden NC-/Öffner-Kontakten (Kanälen). Die Umsetzung der Drehbewegung der Schutztür in die Stößelbetätigung der beiden Kanäle erfolgt mittels einer 1-kanaligen Mechanik (Betätigungsachse), jedoch im Geräteinneren, d. h. geschützt und stressfrei. Für diesen kleinen 1-kanaligen Teil nehmen wir einen Fehlerausschluss in Anspruch. Mit anderen Worten: Die Architektur des TESF-Schalters ist 2-kanalig!

• Die Leitungsverlegung zwischen TESF-Schalter und SRB-Baustein erfolgt geschützt bzw. in getrennten Mantelleitungen (= Fehlerausschluss für die Leitungsebene, ansons-ten Querschlussüberwachung im SRB-Baustein erforderlich).

• Die Verdrahtung des TESF-Schalters auf den SRB-Baustein erfolgt 2-kanalig 1:1 gemäß einem Schaltungsbeispiel für SK 4 (keine Reihenschaltung).

ERGO: Die Architektur des Subsystems I entspricht SK 4.

(1) Nicht betrachtet wird nachfolgend die im Vorfeld notwendige PLr-Bestimmung und die Validierung, ob PLIst > PLr ≥ im Nachhinein.



TSE 1.1

D

D

D

I

SPS in Überein-stimmung

mit IEC 61508


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4

57

Überlegung 2: Welche Hardware-Zuverlässigkeit MTTFd liegt vor?

Beim TESF-Schalter handelt es sich um ein einfaches Einzelgerät, das dem Verschleiß unterliegt und insofern mit einem B10d-Wert von 2.000.000 angegeben ist. Unter Bezug-nahme auf das Berechnungsbeispiel gemäß Seite 23 ergibt sich ein MTTFd-Wert von 3.125 y pro Kanal.

ERGO: Es liegt eine Hardware-Zuverlässigkeit MTTFd „hoch“ vor!

Überlegung 3: Welcher Diagnosedeckungsgrad DC liegt vor?

Die Fehleraufdeckungsfunktion für den TESF-Schalter obliegt dem nachfolgenden PROTECT SRB mit 99 % DC (siehe Seite 32 f.)

ERGO: Es liegt ein Diagnosedeckungsgrad DC „hoch“ vor!

Überlegung 4: Welche CCF-Maßnahmen sind getroffen?

Bei Sicherheitsbauteilen und deren ordnungsgemäßer Einbindung und Installation können wir immer von > 65 Punkten ausgehen. Näheres: siehe Lexikonteil, Stichwort „CCF“.

ERGO: Es sind ausreichende CCF-Maßnahmen getroffen (= CCF: o.k.).

Zusammenfassung gemäß Säulendiagramm

• Architektur (SK): 4• MTTFd: hoch• DC: hoch• CCF: o.k.

ERGO: Performance Level „e“


Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

58

Beispiel 2(1)

Wie vor, jedoch mit mehreren TESF-Schaltern in Reihe.

Aufgabenstellung:

Welcher Sub-PL liegt für die Eingangsebene „TESF-Schalter“ vor?

Angenommen wird, dass zu einem bestimmten Zeitpunkt × immer nur die Sicherheits-funktion eines TESF-Schalters angefordert wird (sprich im Regelfall immer nur eine Schutztüre geöffnet wird). D. h. es handelt sich – entsprechend der Anzahl von TESF-Schaltern an der Umzäunung – um eine entsprechende Anzahl von Sicherheitsfunktionen, zum Beispiel bei drei Geräten um drei Sicherheitsfunktionen.

Mit anderen Worten: Es braucht keine Addition der Restfehlerwahrscheinlichkeiten der TESF-Schalter vorgenommen zu werden. Demzufolge ist die Kombination „1 × TESF-Schalter/SRB-Diagnose“ Grundlage unserer Sub-PL-Betrachtung.

Ansonsten: siehe wie vor (Beispiel 1)!



• Zunächst: Siehe oben (Beispiel 1), jedoch können aufgrund der Reihenschaltung nicht alle Fehler entdeckt werden, d. h. eine Fehlerakkumulation kann nicht ausgeschlossen werden. Demzufolge haben wir es mit einer Architektur ohne vollständige Selbstüber-wachungs-Möglichkeit zu tun (2-kanalig, aber mit eingeschränkter Fehlererkennung).

ERGO: Die Architektur des Subsystems entspricht nur SK 3.


59

Überlegung 2: Welche Hardware-Zuverlässigkeit MTTFd liegt vor?

Jeder TESF-Schalter bildet eine Sicherheitsfunktion.

Für die Berechnung des MTTFd-Werts unterstellen wir nun, dass jede Schutztür 2 × pro Stunde geöffnet wird, d. h. es bleibt beim MTTFd-Wert von 3.125 y. Würden wir anneh-men, dass sich die Anforderung von 2 × pro Stunde wahlweise auf alle in der Umzäunung befi ndlichen Schutztüren bezieht, würden sich die MTTFd-Werte nochmals signifkant er-höhen (ohne dass dies aber – wegen der Begrenzung auf 100 y pro Kanal – irgendwelche Auswirkungen auf den PL hätte).

Ansonsten: siehe Beispiel 1!

ERGO: Es liegt eine Hardware-Zuverlässigkeit MTTFd „hoch“ vor!

Exkurs: Würden bei der Sicherheitsfunktion mehrere TESF-Schalter zu betrachten sein, weil betriebsmäßig immer mehr als eine Schutztür geöffnet wird, sind die MTTFd-Werte der Geräte (nach der Parts-Count-Methode) zu addieren. In diesem Fall ist die Summe für die MTTFd-Einstufung maßgeblich. Sie sehen aber selbst, dass es in Anbetracht der hohen Einzel-MTTFd’s schon einer größeren Anzahl von Geräten bedürfte, um zu einer Herabstufung, z. B. auf einen MTTFd-Wert „mittel“, zu kommen. Der Diagnosedeckungs-grad von 60 % bleibt in diesem Fall unverändert.

Überlegung 3: Welcher Diagnosedeckungsgrad DC liegt vor?

Da bei Reihenschaltungen einfacher Einzelgeräte eine Fehlerakkumulation nicht aus-geschlossen werden kann, unterstellen wir nach Rücksprache mit dem BGIA einen DC „niedrig“ (siehe Seite 32 f.), wenn keine weiteren Maßnahmen wirken, z. B. eine zusätzliche Fehleraufdeckung über externe Testeinrichtungen (Stichwort: „Einbezug der betriebsmä-ßigen SPS“) erfolgt oder Fehlerausschlüsse gemacht werden.

Ansonsten: siehe Beispiel 1!

ERGO: Es liegt ein Diagnosedeckungsgrad DC „niedrig“ vor!

Überlegung 4: Welche CCF-Maßnahmen sind getroffen?

Siehe Beispiel 1!

ERGO: Es sind ausreichende CCF-Maßnahmen getroffen (= CCF: o.k.).

60

Zusammenfassung gemäß Säulendiagramm

• Architektur (SK): 3• MTTFd: hoch• DC: niedrig• CCF: o.k.

ERGO: Performance Level „d“


Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

61

Beispiel 3(1)

Aufgabenstellung

Wir fassen die Eingangsebene und die Ebene der Signalverarbeitung zusammen, d. h. be-trachtet wird der SRP/CS-Teil bis zur Freigabeebene des SRB-Bausteins, d. h. wir bilden eine Gerätekombination.



Zu betrachten ist nun neben der Eingangsebene TESF-Schalter mit SRB-Diagnose I zu-sätzlich die Ebene der Signalverarbeitung im SRB-Baustein L selbst.

Bei einem SRB-Baustein handelt es sich um ein Gerät mit komplexerer sicherheitstechni-scher Funktionalität, das von Haus aus bereits mit einem Sub-PL (bzw. Sub-SIL) bewertet ist (in unserem Beispiel mit Sub-PL „e“ bzw. Sub-SIL 3).

ERGO entfällt für den SRB-Baustein eine Einzelbetrachtung von Architektur, MTTFd(2),

DC und CCF-Maßnahmen (weil sie sich bereits im Sub-PL bzw. Sub-SIL widerspiegeln). Unterstellt wird hier, dass Schalthäufi gkeit und Schaltlast der Relais einen MTTFd „hoch“ nicht berühren.

(2) Zu überprüfen ist noch überschlägig, ob im Hinblick auf die Verwendung verschleißbehafteter Technik in Form der Relais die Anzahl der Schaltspiele und die Schaltlast Einfl uss auf die MTTFd-Eingruppierung haben. Hierzu ist auch die Schaltlast auf Freigabeebene der SRB-Bausteine mit in die Betrachtung einzube-ziehen. Kritisch würde es aber nichtsdestotrotz erst bei hohen Schaltspielzahlen und bei hoher Schaltlast (siehe Lexikonteil, Stichwort „B10d-Werte für Relais“).




TSE 1.1

D

D


mit IEC 61508


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4

I/L

62

Zusammenfassung

Unter Bezugnahme auf die Kombinationstabelle (siehe Seite 45 ff.) ergibt sich für die komplette Gerätekombination(1) im Falle der 1:1-Verdrahtung ein Sub-PL „e“ (2 × „e“ bleibt „e“) und im Falle der Reihenschaltung ein Sub-PL „d“ (das schwächste Glied in der Kette bestimmt).

Vertretbar wäre es aber auch, I und L zu einem Subsystem „höherer Ordnung“ (unter Berücksichtigung einer zusätzlichen B10d-Wert-Betrachtung für die Relais im SRB-Bau-stein, siehe (1)) zusammenzufassen.

(1) Zu überprüfen ist noch überschlägig, ob im Hinblick auf die Verwendung verschleißbehafteter Technik in Form der Relais die Anzahl der Schaltspiele und die Schaltlast Einfl uss auf die MTTFd-Eingruppierung haben. Hierzu ist auch die Schaltlast auf Freigabeebene der SRB-Bausteine mit in die Betrachtung einzube-ziehen. Kritisch würde es aber nichtsdestotrotz erst bei hohen Schaltspielzahlen und bei hoher Schaltlast (siehe Lexikonteil, Stichwort „B10d-Werte für Relais“).

63

Wie berechne ich selbst einen Sub-PL

mit Geräten des Schmersal-/Elan-Programms?

Den nachfolgenden Schritten – mit etwas Zusatzüberlegung verbunden – geht sinnvollerweise eine Schaltungsanalyse voraus (siehe Seite 70 ff.) und der Transfer der Schaltung in ein Block-schaltbild.

B1

B2

Q1

Q2

K1

K3 K2

Auf

Zu

Schutzein-richtung 1

AufB3

B1

B2

B4

Q1

L

Q2

K3K1

K3

Hilfs-schütz K2K2

Q1

Q2 Q1

Sicher-heits-baustein

SPS

I1.0 I1.1

O1.1

M3~

I1.2Eingänge

Ausgänge

I1.3 I1.4

K1Zu


Q2

Sub-PL für die Eingangsebene I

• Leitungsebene:Fehlerausschluss unter Bezugnahme auf EN ISO 13 849-2:2003 oder Querschlussüber-wachung (siehe auch Lexikonteil, Stichwort „Fehlerausschluss Leitungsebene“)

• Bestimmung der Architektur, d. h. welche Steuerungskategorie ist auf der Eingangsebene realisiert (siehe Abbildung oben).

• Bestimmung des MTTFd-Werts je Kanal(im Regelfall per B10d-Wert-Betrachtung, siehe Seite 22 ff.)

• DC-Bestimmung bei SRB-Bausteinen und Sicherheits-SPSen:– 99 % bei 1:1-Verdrahtung– 60 % bei Reihenschaltung (losgelöst von der Defi nition der Sicherheitsfunktion)– ggf. Diagnosedeckungsgrad einer TE (siehe Seite 32 f.) mit einbeziehen

• CCF-Management:> 65 Punkte (siehe Lexikonteil, Stichwort „CCF“)

= Sub-PL laut Ergebnisgrafi k (siehe Abbildung) bzw. Anhang K von EN ISO 13 849-1:2006


Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

64

Schematische Zusammenfassung

Modulare Sub-PL-Berechnung

Notwendig, wenn die Diagnose (und damit der Diagnosedeckungsgrad bzw. die Fehleraufdeckungsrate

DC) in einem vor- oder nachgeordneten SRP/CS-Teil erfolgt!

AUFZU

Ansteuerlogik

Sub-PL

Vorgesehene Archi-

tektur (Steuerungs-

kategorie):

• 1-kanalig?• 2-kanalig?• SK 4-Qualifi kation?(1)

Hardware-

Fehlerqualität

MTTFd:

ggf. Ermittlung über B10d-Wert-Berechnung

Diagnosedeckungsgrad DC (Fehlerauf-

deckungsrate):

• ≥ 99 % bei 1 : 1-Verdrahtung(2)

• 60 % bei einfacher Reihenschaltung• DC (wie vor) erfolgt über SK 4- bzw. PL „e“-

qualifi zierte SRB’s oder PES-Systeme

Common-

Cause-

Failure-Maß-

nahmen

CCF:

> 65 Punkte

z. B.:


Kategorie BDCavg =

0

Kategorie 1DCavg =

0






a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)



TSE 1.1

D

D


mit IEC 61508

Teilsysteme (TS)



sind Baugruppen, die die zu den Teilsystemen zugeordneten Funktionsblock-Elemente implementie-ren.



SRECS

SRECS ist.


TSE 1.2



SchützTSE 4.1

SchützTSE 4.2

TS 1

TS 2TS 3

TS 4

(1) siehe Schaltungsbeispiele für SRB oder PES-Systeme(2) ACHTUNG: 99 % DC für den Rückführkreis setzen Schütze mit zwangsgeführten Kontakten voraus, ansonsten und in anderen Fällen (z. B.

Rückführung der Reglerfreigabe) ist der DC niedriger und hängt auch davon ab, ob auch betriebsmäßig ein- und ausgeschaltet wird (Testung) oder ausschließlich sicherheitsgerichtet.

3

2

1

65

Sub-PL für die Logikebene (Signalverarbeitungsebene) L

• Sub-PL bzw. Sub-SIL: siehe entsprechendes Gerät! Es handelt sich – wie schon ausgeführt – um Geräte mit komplexerer sicherheitstechnischer Funktionalität, die bereits von Haus aus einen Sub-PL bzw. einen Sub-SIL haben.

Sub-PL für die Aktorebene (Ausgangsebene) O

• Sinngemäßes Vorgehen wie auf der Eingangsebene (jedoch ggf. andere DC-Werte, siehe EN ISO 13 849-1:2006 Anhang E) = Kundenangelegenheit!

66

67

Exkurse

67

68

Exkurs: Fehleraufdeckung

Fehleraufdeckung ist in einem SRP/CS unter zwei Aspekten von besonderer Bedeutung:

• In mehrkanaligen Architekturen ist zwar ein erster Fehler infolge eines Ausfalls aufgrund von Redundanz bzw. Hardwarefehlertoleranz sicherheitstechnisch unkritisch, jedoch müssen Fehler mit der Folge einer Betriebshemmung aufgedeckt werden, um Fehlerakkumula-tionen zu vermeiden. Wenn nämlich weitere Fehler – zusätzlich zum etwaig unentdeckten Fehler – eintreten würden, könnte dies sehr wohl zu einem gefährlichen Zustand führen, der in Anbetracht der höheren Risiken, die mit diesen Architekturen abgedeckt werden, nicht akzeptabel ist.

• Aber auch bei einfachen Architekturen führt – Gott sei Dank! – nicht jeder gefährliche Zustand infolge eines Ausfalls unmittelbar zu einem Unfall und insofern hat die Fehlerauf-deckung hier dann die Wirkung, das Risiko länger anstehender gefährlicher Zustände mög-lichst zu vermeiden.

• Übliche fehleraufdeckende Maßnahmen und der Grad ihrer Wirksamkeit in Form des Diag-nosedeckungsgrads sind in EN ISO 13 849-1:2006 im Anhang E (getrennt nach Maßnahmen für die Eingabeeinheit, die Logik und die Ausgabeeinheit) aufgeführt.

• Um selbst nicht rechnen zu müssen, enthält EN ISO 13 849-1:2006 Look-up-tables mit typi-schen Maßnahmen und %-Bewertungen (ggf. muss man selbst schätzen).

Maßnahme Diagnostic coverage (DC)

EingabeeinheitZyklischer Testimpuls durch dynamische Änderung der Ein-gangssignale

90%

Plausibilitätsprüfung, z. B. Verwendung der Schließer- und Öffnerkontakte von zwangsgeführtenRelais

99%

Kreuzvergleich von Eingangssignalen ohne dynamischen TTTTeTeTeTeTeTeTeTeTe ttststststststststst

0% bis 99%, abhän-gig davon, wie oft ein Signalwechsel durchdidididididididididididieeeeeeeee AAAAnAnAnAnAnAnAnAnAnwewewewewewewewewe dddndndndndndndndndndunununununununununggggggggg ggererererffofofofollglglglgttttt


LogikIndirekte Überwa-chung (z. B. Überwa-chung durch Druck-schalter, elektrische Positionsüberwa-chung von Antriebse-lementen)

90% bis 99%, abhängig von der Anwendung

Direkte Überwachung (z. B. elektrische Überwachung der Steuerungsventile, Überwachung elek-tromechanischer EiEiEiEiEiEiEiEiEiEiEiEi hhhnhnhnhnhnhnhnhnhnh iiieieieieieieieieieitttetetetetetetetetennnnnnnnn ddddududududududududurcrcrcrcrcrcrcrcrchhhhhhhhhhhh ZZZwZwZwZwanananangsgsgsgsfüfüfüfüfüfühhhrhrhrhrunununun ))g)g)g)g)

99%


AusgabeeinheitenÜberwachung der Ausgänge durch einen Kanal ohne dynamischen Test

0% bis 99%, abhän-gig davon, wie oft ein Signalwechsel durchdie Anwendungerfolgt

Kreuzvergleich von Ausgangssignalen ohne dynamischen Test

0% bis 99%, abhän-gig davon, wie oft ein Signalwechsel durchdie Anwendungerfolgt

Kreuzvergleich von Ausgangssignalen mit dynamischem Test, ohne Erkennung von Kurzschlüssen (b(b(b(b(b(b(b(b(b(b(b(b(b( iiieieieieieieieieieie MMMMMMMMMMMM hhhehehehehehehehehehe fffrfrfrfrfrfrfrfrfrfacacacacacacacacacachhhhhhh-h-h-hhh EiEiEiEiEiEiEiEiEiEiEiEinnnn-n-n-nnn /////////////AAuAuAuAusgsgsgsgäänänänängegegege )n)n)n)n)

90%

• Die Möglichkeit einer Fehleraufdeckung (und damit die Wirksamkeit des Diagnose-deckungs grads) hängt – neben der Maßnahme oder der Maßnahmen-Kombination selbst – in einem hohen Maße auch von der Architektur eines SRP/CS ab.

• Bei einfachen 1-kanaligen Architekturen fehlt die Möglichkeit der Fehleraufdeckung (= DC 0), weil es keine nach- oder übergeordnete „Intelligenz“, die diesem Zweck dient, gibt.

69

• Das Beste für die Eingangsebene I ist eine 2-Kanaligkeit und eine nachfolgende Signalver-arbeitung mittels SRB-Bausteinen oder Sicherheits-SPSen in Verbindung mit einer 1:1-Ver-drahtung (oder vergleichbar), weil hier ein sogenannter fehlersicherer Vergleicher wirkt, mit dem die Konsistenz der Kanäle überprüft wird (z. B. müssen bei einem Maschinenanlauf beide Kanäle im Falle einer „Schließer-Anordnung“ geschlossen sein). Dies entspricht dann einem DC von 99 % (siehe Anhang E von EN ISO 13 849-1:2006). Bei einfachen 1-kanaligen Architekturen fehlt logischerweise dieser Vergleichsmaßstab. Zugleich erfüllt die 2-Kanalig-keit dann selbstverständlich auch die Anforderung der sogenannten 1-Fehler-Sicherheit der Steuerungskategorien 3 und 4, siehe Lexikonteil, Stichwort „Steuerungskategorien“.

• Testmöglichkeiten bieten aber auch elektrische 2-Kanaligkeit oder der Einbezug von Rück-meldesignalen in die SPS (mit anschließender Plausibilitätskontrolle) oder – typisch für nachgeordnete Leistungsschütze – das Rücklesen von Rückmeldesignalen in den Wieder-einschaltpfad des SRP/CS. Ein Rückführkreis von zwangsgeführten Kontakten ergibt dann ebenfalls 99 % DC.

• Weitere Informationen zum Diagnosedeckungsgrad: siehe Seite 32 f., Seite 68 f. und Seite 139.

70

Exkurs: Einfl uss der Defi nition der Sicherheitsfunktion

auf die PL-Berechnung – Beispiele

• Die Defi nition, was eine Sicherheitsfunktion ist und was an Hardware – und ggf. Software – dazu gehört, bestimmt den Umfang einer PL-Betrachtung. Maßgeblich ist, welche Steu-erungsteile zum Zeitpunkt der Anforderung einer Sicherheitsfunktion beteiligt und dabei für eine Personenschutzfunktion „zuständig“ sind. Anhand der nachfolgenden Beispiele (Quelle: BGIA-Report 2/2008, siehe Lexikonteil) sei dies näher erläutert.

Beispiel 1: Sicherheitsfunktion „Stillsetzen beim Öffnen der Schutztür“

• Beim Öffnen der Schutztür hat ein Maschinenbediener Zugang zu einem Gefahrenbereich, in dem fünf Antriebe Bewegungen von Maschinenteilen steuern. Das Öffnen der Schutztür bewirkt ein schnellstmögliches Stillsetzen aller fünf Antriebe.

Stellungs überwachung der Schutztür Antrieb 3

Antrieb 1

Antrieb 2

Antrieb 4

Antrieb 5

Logik

• Bei der späteren Berechnung des PL der Sicherheitsfunktion werden daher die PL’s der folgenden Blöcke (Fehlermöglichkeiten der elektrischen Installation werden den jeweiligen Blöcken zugeordnet) verknüpft:– Stellungsüberwachung der Schutztür einschließlich mechanischer Komponenten– Logik– Antrieb × (x = 1, 2, ... 5)

• Das Resultat kann ein PL sein, der für die Anwendung nicht mehr ausreichend ist, obwohl vielleicht nur die Antriebe 1 und 3 für den Bediener Gefahr bringende Bewegungen auslö-sen und die restlichen Antriebe rein „funktional“ stillgesetzt werden. In diesem Fall empfi ehlt es sich, für die Sicherheitsfunktion nur die Bewegungen zu berücksichtigen, die tatsächlich eine Gefährdung sind.

Beispiel 2: Sicherheitsfunktion „Stillsetzen beim Öffnen einer Schutztür“

• Eine Gefahr bringende Bewegung ist durch einen Zaun abgesichert, der über fünf Schutz-türen verfügt. Das Öffnen einer der Türen führt zum Stillsetzen. Im Hinblick auf die spätere Bestimmung des PL ist jede Tür Bestandteil einer eigenen Sicherheitsfunktion SF1 bis SF5, die sich aus folgenden Blöcken (Fehlermöglichkeiten der elektrischen Installation werden den jeweiligen Blöcken zugeordnet) zusammensetzt:– Stellungsüberwachung Schutztür × (x = 1, 2, ... 5) einschließlich mechanischer Komponenten– Logik– Antrieb

71

AntriebLogik

Stellungsüberwachung Schutztür 1





Beispiel 3: Sicherheitsfunktion „Not-Halt einer Gesamtmaschine“

• An einer größeren Maschine sind 20 Not-Halt-Geräte installiert, deren Betätigung alle 50 Antriebe schnellstmöglich stillsetzt. Welche Komponenten sind in diesem Fall bei der Reali-sierung der Sicherheitsfunktion zu berücksichtigen? Es ist nicht vorhersehbar, welches Not-Halt-Gerät zum Auslösen der Sicherheitsfunktion betätigt wird. Da der Bediener immer nur ein Not-Halt-Gerät betätigt, werden die Sicherheitsfunktionen SF1 bis SF20 defi niert. Der jeweilige Standort einer gefährdeten Person beim Auslösen des Not-Halts ist nicht bekannt, aber wo auch immer sich diese Person befi ndet, stellen nicht alle 50 Antriebe Gefährdung dar. Daher sollte stellvertretend für alle denkbaren Situationen der ungünstigste Fall be-trachtet werden. Dieser ist bestimmt durch den schlechtesten PL, ist also u. A. abhängig von der Anzahl der Antriebe in der Sicherheitskette, die am ungünstigsten Standort Gefahr bringende Bewegungen erzeugen, sowie den jeweiligen einzelnen PL.

Not-Halt-Gerät 01

Not-Halt-Gerät 02

Not-Halt-Gerät 03

Not-Halt-Gerät 04

Antrieb 21

Antrieb 35

Antrieb 47

Logik

• Die Abbildung zeigt das funktionale Schaltbild und die Blöcke der Sicherheitsfunktion SF3:

• Bei der späteren Bestimmung des PL für die Sicherheitsfunktion müssen die PL-Werte der folgenden Blöcke berücksichtigt werden:– Not-Halt-Gerät 03– Logik– Antrieb 21– Antrieb 35– Antrieb 47

72

• Die Beispiele zeigen, dass sich bei der Defi nition einer Sicherheitsfunktion eine „lokale Sichtweise“ empfi ehlt, bei der berücksichtigt wird:– An welchem Ort befi nden sich zum betrachteten Zeitpunkt Personen?– Welche Bewegungen stellen am Standort der Person(en) Gefährdungen dar?– Welche Schutzeinrichtungen müssen die Sicherheitsfunktion auslösen. Ggf. sind mehrere alternativ benutzbare Schutzeinrichtungen zu berücksichtigen.– Leisten dabei beispielsweise mehrere Aktoren (Achsantriebe, Schütze, Ventile etc.) einen Beitrag zur selben Gefährdung, müssen sie zusammen in der Sicherheitsfunktion berück- sichtigt werden ( O1 + O2 + On ).– Dagegen sind so genannte überlagerte Gefährdungen (Gefährdungen, die von mehreren Maschinen auf einen Bediener an einem bestimmten Ort einwirken) nach neuester Inter- pretation nicht (mehr) zu betrachten.– Siehe hierzu Fachausschuss-Informationsblatt 047 „Sicherheitsfunktionen nach EN ISO 13 849-1 bei überlagerten Gefährdungen“.

Anmerkungen aus Schmersal-/Elan-Sicht, insbesondere zum Beispiel 2:

• Wir bekommen es mit einer neuen Betrachtungsweise(1) zu tun, indem eine elektrische Reihenschaltung aus mehreren Sicherheitsfunktionen bestehen kann und sich die PL- bzw. SIL-Bewertung auf die einzelne Sicherheitsfunktion bezieht. D. h. (siehe oben) eine Schal-tung von 5 Schutztüren in Reihe kann aus 5 einzeln zu betrachtenden Sicherheitsfunktionen und – daraus resultierend – 5 einzelnen Bewertungen bestehen.

(1) Eigentlich war dies auch schon in der EN 954-1 so vorgesehen, aber nicht sauber formuliert.

• Man geht im vorliegenden Beispiel davon aus, dass die Sicherheitsfunktion zu einem be-stimmten Zeitpunkt immer nur an einer Schutzeinrichtung von einem Bediener angefordert wird, d. h. es wird immer nur eine von 5 Schutzeinrichtungen geöffnet, oder immer nur ein Not-Halt-Befehlsgerät in einer Reihe von mehreren Not-Halt-Befehlsgeräten betätigt.

• Dieser Ansatz vereinfacht den Umgang mit den neuen Normen erheblich, da die zu betrach-tende Kette des SRP/CS „kürzer“ wird. Zulässig ist diese Betrachtung allerdings nur bei wirklicher Unabhängigkeit der einzelnen Sicherheitsfunktionen, d. h. beispielsweise nicht bei einer Doppeltüre.

• Das Risiko einer Fehlerlöschung in SRP/CS-Reihenschaltungen elektromechanischer Geräte (siehe Lexikonteil, Stichwort „Reihenschaltungen“ und a.a.O.) sollte vorsichtshalber im Rahmen der jeweiligen Sicherheitsfunktion betrachtet werden. Bis auf Weiteres gehen wir davon aus, dass in diesem Fall nur mit einem „niedrigen“ DC-Wert (= 60 %) gerechnet werden kann.

• Unsere bisherige Argumentation verliert ein wenig an Stringenz, dass bei der CSS-Familie bis zu 31 Geräte ohne Verlust der Klassifi kation in Reihe geschaltet werden können (Stich-wort: „Addition von Restfehlerwahrscheinlichkeiten“). Es sind unter diesem Gesichtspunkt nun wesentlich mehr. Es bleibt aber auf jeden Fall das Argument der umfassenden Fehlerer-kennung in der Reihenschaltung.

• Es gibt aber auch noch andere Möglichkeiten, mit dem Thema „Kaskadierung bzw. Reihen-schaltungen“ umzugehen (siehe BGIA-Schaltungsbeispiele 8.2.29 und 8.2.28).

73

Schaltungsbeispiele aus dem BGIA-Report(1)

73

(1) Ausführliche Darstellung: siehe BGIA-Report 2/08. Die Auswahl der nachfolgenden Bei-spiele ist unter dem Gesichtspunkt der Nähe zu unserem Geräteprogramm erfolgt. Ins-gesamt enthält der BGIA-Report 37 Schaltungsbeispiele. ACHTUNG: Die nachfolgende Kommentierung ist wesentlich verkürzt und vereinfacht!

Beachten Sie darüber hinaus, dass im obigen BGIA-Report eine besondere Betrachtung bei Fehlerausschlüssen für zwangsöffnende Kontakte angewendet wird. Zwar wird der „Zwangsöffner“ im Rahmen der Quantifi zierung nicht betrachtet (Fehlerausschluss!), jedoch wird dann für die Betätigungsmechanik eine B10d-Wert-Betrachtung angestellt.

Empfehlung 1: Für unsere Art von Geräten halten wir die vorgenannte BGIA-Unterschei-dung nicht für zielführend, weil sie unseren Kunden wenig bis nichts bringt. Entweder ist ein Fehlerausschluss vertretbar oder nicht (siehe oben). Der Aspekt der Zwangsöffnung der Kontakte ist nur ein Teilaspekt.

Empfehlung 2: Auf einen Fehlerausschluss sollte von vornherein verzichtet werden, wenn eine Abschätzung ergibt, dass die Inanspruchnahme des Geräts im höheren Bereich seines B10d-Werts liegt (bei Positionsschaltern zum Beispiel im Falle vieler 100.000 Schaltspiele pro Jahr; unterhalb dieser Zahl wird man ohnehin regelmäßig im Bereich > 100 y MTTFd liegen).

Empfehlung 3: Wir haben nach wie vor „Bauchschmerzen“, bei einfachen Positions-schaltern Fehlerausschlüsse in Gänze (denken Sie zum Beispiel an einen Verschleiß der Antriebsrolle, an Lunker im Stößel etc.) zu empfehlen (es sei denn, die betreffende C-Norm würde einen Fehlerausschluss ausdrücklich tolerieren). Siehe hierzu jedoch Seite 29 ff.

Empfehlung 4: siehe auch Lexikonteil, Stichwort „Fehlerausschluss“.

Eine Besonderheit – ein Fehlerausschluss im Rahmen des B10d-Werts in Gänze – gilt hier Not-Halt-Befehlsgeräten (siehe a.a.O.).

74

1) BGIA-Schaltungsbeispiel 8.2.34: Schutztürüberwachung

mit nachfolgender Signalweiterverarbeitung mittels SRB-Baustein

oder Sicherheits-SPS (der klassische Fall!)

Anmerkungen

• 2-kanalige Eingangsbeschaltung

• Fehleraufdeckung (Fremddiagnose) bei SRB durch Plausibilitätstest mittels zwangsgeführ-ter Relais = 99 % DC bzw. bei SiSPS durch kreuzweisen Datenvergleich = 99 % DC (Quelle: Anhang E von EN ISO 13 894-1:2006)

• SRB-Baustein oder Sicherheits-SPS erfüllen Sub-PL „e“

• 2-kanalige Ausgangsbeschaltung mit Rückführkreis zwangsgeführter Kontakte.

• Alle übrigen „Spielregeln“ für Anwendung, Anschluss und Verdrahtung sind berücksichtigt.

Ergebnis: Einen hohen MTTFd-Wert unterstellt, entspricht die Kombination PL „e“ (SK 4, MTTFd „hoch“, DC 99 %, unempfi ndlich gegen CCF)! Der MTTFd-Wert ergibt sich dabei aus einer B10d-Wert-Betrachtung (siehe a.a.O.).

Schaltungsbeispiel:

Auf

B1

B2

M3~

Darstellung in betätigter Stellung

L

L L

Zu

K1

S1START(Reset)

Rückführung

Q2Q1Q2Q1

Q1

Q2

75

2) BGIA-Schaltungsbeispiel 8.2.29:

Kaskadierung bzw. Reihenschaltungen

• Bei der Kaskadierung von Not-Halt-Befehlsgeräten kommt das BGIA zu PL „e“, weil für die Geräte in Gänze ein Fehlerausschluss gemacht wird.

Anmerkungen

• Fehlerausschluss für S1, S2 und S3 einschließlich Leitungsebene

• 2-kanalige Eingangsbeschaltung

• SRB-Baustein (o. Ä.) mit PL „e“

• Ergebnis: Einen hohen MTTFd-Wert für den SRB-Baustein unterstellt, entspricht die Schal-tung – trotz Reihenschaltung – PL „e“.

Die vorgenannte Schaltungsbetrachtung wird vom BGIA nicht für maschinen-betätigte Geräte empfohlen.

M3~

L

K2

K3

S1

STARTS4

+

S2

S3

K1

K2

K3

76

3) BGIA-Schaltungsbeispiel 8.2.28:

Kaskadierung bzw. Reihenschaltungen

• Trotz Reihenschaltung elektromechanischer Geräte entspricht die folgende Schaltung PL „e“, indem eine betriebsmäßige SPS zwecks zusätzlicher Fehleraufdeckung in den SRP/CS einbezogen wird.

• Die betriebsmäßige SPS zur Fehleraufdeckung wird in der Terminologie von EN ISO 13 849-1:2006 auch „Testeinrichtung“ genannt. Auffällig im BGIA-Schaltungsbeispiel ist, dass man dieser Möglichkeit in Kombination mit dem Sicherheitsbaustein eine Wirksamkeit von 99 % DC zubilligt.

Auf

Zu


Auf

B3

B1A

A Darstellung in betätigter Stellung

P

A

P

P P

P

B2

B4

Q1

L

Q2

K3

K1

K3

Hilfs-schütz K2

K2

Q1

Q2Q1

Sicherheits-baustein

SPS

I1.0 I1.1

O1.1

M3~

I1.2Eingänge

Ausgänge

I1.3 I1.4

K1Zu


Q2

77

4) BGIA-Schaltungsbeispiel 8.2.18: Schutztürzuhaltung mit nachfolgender

Signalweiterverarbeitung mittels SRB-Baustein oder Sicherheits-SPS

(Kanal 1) und Standard-SPS (Kanal 2)

Dass es aber ggf. auch ohne SRB oder Sicherheits-SPS geht, zeigt dieses Beispiel (Prinzip-schaltung – typisch bei großen Druckmaschinen u. Ä.)!

Anmerkungen

• 2-kanalige Eingangsbeschaltung, Leitungsverlegung geschützt/getrennt

• Für die beiden Positionsschalter B1 und B2 wird über eine B10d-Wert-Betrachtung ein MTTFd von „hoch“ berechnet.

• Signalverarbeitung „Kanal 1“ direkt über ein Schütz (Q2); „Kanal 2“ über eine betriebs-mäßige SPS (K1) mit nachfolgendem Schütz Q1. Die Architektur entspricht SK 3.

• Diagnosedeckung: Die Stellung von B1 wird zusätzlich in die SPS eingelesen und auf Plausibilität mit B2 verglichen (DC = 99 %). Die Stellung der Schütze (mit zwangsgeführten Kontakten) wird ebenfalls über den Rückführkreis in die SPS eingelesen (DC = 99 %). Die SPS selbst wird über den Prozess getestet (DC = 60 %). Demzufolge ergibt sich ein DCavg von 62 %.

• Alle übrigen „Spielregeln“ für Anwendung, Anschluss und Verdrahtung sind berücksichtigt.

Ergebnis: Die Schaltung entspricht PL „d“ (siehe Säulendiagramm: SK 3, MTTFd „hoch“, DC „niedrig“, CCF o.k.).

M3~

L

+

Auf

Zu

B1Q1

Q1

Q2

Q2

Q1Q1

Q2

B2


K1

SPS

I1.0 I1.1

O1.0

I1.2Eingänge

Ausgänge

I1.3

78

(5) BGIA-Schaltungsbeispiel 8.2.19: Schutztürzuhaltung

Anmerkungen

• Zum Verständnis: Die Schaltung ist ohne eine Vorsteuerebene (SRB-Baustein, Sicherheits-SPS o. Ä.) mit direkter Ansteuerung der Aktorik realisiert und entspricht – ohne darauf hier näher einzugehen – PL „d“.

• Das Beispiel wurde hier nicht wegen seiner schaltungstechnischen Eleganz aufgenommen, sondern weil es unsere Argumentation unterstützt, unter welchen Umständen eine Zuhal-tung einer SK 3 zugeordnet werden kann. In Verbindung mit einem entsprechenden SRB-Baustein wäre gar eine Gerätekombination in SK 4 mit PL „e“ erreichbar.

• Achtung: 1-kanalige Stillstandsüberwachung

• BGIA-Kommentar: Die Stellung des Sperrbolzens wird über einen integrierten Positions-schalter B1 überwacht, die Stellung der Schutztür zusätzlich zur Erhöhung der Manipula-tionssicherheit über den Positionsschalter B2. Die Zuhaltung besitzt eine Fehlschließsiche-rung.

M3~

L

S1 S2 STOP

+UB

Ent-riegeln

anzugsverzögert B2

Schutztür

S3 STARTn > 0

n

G1K1

K2

Q1

Q2

M1

Q1

B1

F1Magnet

FZu

Auf

Federkraft-betätigte Zuhaltung mit Fehlschließsicherung

Q2


n

79

• D. h. Kanal 1 „Stellungsüberwachung Schutztür“: Fehlschließsicherung + Sicher heits-kontakt(e) für die Stellungsüberwachung der Schutztür – Kanal 2: „Stellungsüberwachung Sperrbolzen“: elektrisch 2-kanalig

• Wenn der Manipulationsschutz anderweitig realisiert wird, unterstützt dieses Schaltungs-beispiel unsere Auffassung, unter welchen Umständen Zuhaltungen mit Fehlschließsiche-rung stand alone (ohne zusätzlichen 2. Schalter) eingesetzt werden dürfen (siehe hierzu Seite 29 ff.).

80

81

Merkmale und Handhabung von EN ISO 13 849-1:2006

im Überblick

81

82

Zielsetzung der SRP/CS-Normung

• Der SRP/CS-Normung geht es darum, durch zusätzliche Maßnahmen die Personenschutz-funktion eines SRP/CS auch im Fehlerfall beizubehalten (besser ausgedrückt: durch einen Fehlerfall bedingte gefährliche Zustände auf ein vertretbares Restrisiko zu reduzieren).

• Hinter einem Fehlerfall stehen Ausfälle, Fehler und Störungen in der verwendeten Hardware und Software in einem SRP/CS, sofern sie sicherheitsrelevant sind.

• Achtung! Semantische Spitzfi ndigkeit: Fehler (z. B. in Bauteilen = die Funktion war zuvor ordnungsgemäß) führen zu Ausfällen (= bleibende Zustände des Gerätes), jedoch können Fehler auch schon von Anfang an in einem SRP/CS gegeben sein (Konstruktionsfehler = systematische Fehler). Gefahr bringende Zustände infolge (temporärer) Störungen sind Ausfällen gleichgestellt.

EN 954-1:1996 IEC 61508:1998–2000

EN ISO 13 849-1:2006

Deterministik

Bewährte Methoden: Neue Konzepte:

• Zu den zusätzlichen Maßnahmen gehören zwei Arten: Solche, die der Risikominderung ge-gen systematische Ausfälle bzw. Fehler dienen und solche, die gegen zufällige Ausfälle bzw. Fehler gerichtet sind.

• Systematische Fehler und Ausfälle existieren bereits zum Lieferzeitpunkt; sie haben einen deterministischen Bezug zu einer bestimmten Ursache, die nur durch Änderung der Ge-staltung oder des Herstellungsprozesses, Betriebsverfahrens, der Dokumentation oder zugehörender Faktoren, beseitigt werden können. D. h. es handelt sich um grundlegende Konzeptionsprobleme, Spezifi kationslücken, Denkfehler, Softwarefehler etc. Hiergegen ist beispielsweise Redundanz u. Ä. machtlos.

83

• Maßnahmen gegen systematische Fehler und Ausfälle fi nden sich in Anhang G von EN ISO 13 849-1:2006 und in EN ISO 13 849-2:2003.

• Zufälligen Ausfällen und Fehlern (bedingt z. B. durch Alterung des Produkts, zufälligem Versagen von Bauteilen) kann dagegen nur eine statistische Wahrschein-lichkeit zugeordnet werden. Mit anderen Worten: Je geringer die Ausfallwahrscheinlichkeit ist, desto höher ist die funktionale Sicherheit. Die Wahrscheinlichkeit zufälliger Ausfälle und Fehler ist eine ausschließlich statistische Betrachtung und erlaubt zwar Rückschlüsse auf die Gesamtsi-cherheit eines Produkts im Feld, aber keine Rückschlüsse auf die Sicherheit eines individuellen Pro-dukts. Siehe auch Abbildung: Badewannen-Kurve!

Ursachen systematischer

Ausfälle

vor der Inbetriebnahme, z. B.:• Herstellungsfehler• Irrtum bei der Entwicklung

(falsche Auswahl, falsche Dimen-sionierung, fehlerhafte Software)

• Irrtum bei der Integration (falsche Auswahl, fehlerhafte Verkabe-lung)

nach der Inbetriebnahme, z. B.:• Energieausfall/-schwankung• umwelttechnische Einfl üsse• Verschleiß, Überlastung• fehlerhafte Wartung

Maßnahmen zur Vermeidung von Ausfällen

Angemessene Materialien und geeignete Herstellung

Richtige Dimensionierung und Form gebung

Richtige Auswahl, Anordnung, Montage, Installation

Bauteile mit kompatiblen Betriebskenndaten

Festigkeit gegen festgelegte Umgebungsbedingungen

Bauteile nach geeigneter Norm mit defi nierten Ausfallarten

Funktionsprüfung

Projektmanagement, Dokumentation

Black-Box-Test

INTEGRATION:

zusätzlich:

Maßnahmen zur Beherrschung von Ausfällen

Prinzip der Energieabschaltung

Entwurf zur Beherrschung von Spannungseinfl üssen

Entwurf zur Beherrschung umwelttechnischer Einfl üsse

Überwachung Programmablauf (bei Software)

„Sichere“ Datenkommunikationsprozesse (Bussysteme)

Automatische Tests

Redundante Hardware/diversitäre Hardware

Zwangsläufi ger Betätigungsmodus

Kontakte mit Zwangsführung/mit Zwangsöffnung

zusätzlich:

Gerichtete Ausfälle

Überdimensionierung

VerschleißausfälleGegenmittel:

Dimensionierung, vorsorglicher

Austausch

λ

FrühausfälleGegenmittel:Voralterung,

Prozess-optimierung

GebrauchsdauerTM bzw. T10d

Zeit0

Ausfall-rate

Zufalls-ausfälle

84

• Zufällige Fehler existieren nicht zum Lieferzeitpunkt. Sie ergeben sich aus Fehlern der Hard-ware und treten während des Betriebs zufällig auf. Beispiele für zufällige Ausfälle und Fehler sind Kurzschlüsse, Unterbrechungen, Bauteiledriften, Materialermüdung u. Ä. Ausfälle und Fehler dieser Art passieren (wie gesagt) zufällig, jedoch kann ihnen eine statistische Wahr-scheinlichkeit zugeordnet werden.

• Maßnahmen gegen zufällige Ausfälle und Fehler sind Redundanz, Fehlererkennung u. Ä., d. h. alles, was man vereinfachend (und unvollständigerweise) mit Steuerungskategorie SK, Performance Level PL und Safety Integrity Level SIL in Verbindung bringt. „Unvollständiger-weise“, weil Maßnahmen gegen systematische Ausfälle und Fehler zwingende Grundvor-aussetzung für SK, PL oder SIL sind.

• Eine besondere Art der Betrachtung gilt zusätzlich den sogenannten Common Cause Feh-lern, d. h. Ausfällen verschiedener Einheiten (Kanälen), die das Gleiche machen, durch eine gemeinsame Ursache.

• Zufällige Ausfälle und Fehler werden nur Hardware unterstellt, während bei Software ausschließlich systematische Ausfälle und Fehler angenommen werden. Diese These ist – insbesondere bei höheren Kritikalitätsstufen, z. B. im Flugzeugbau – umstritten.

• Der Anteil von Maschinenunfällen infolge zufälliger Hardware-Ausfälle wird heutzutage gering eingeschätzt. Die Rede ist von max. 10 bis 15 % aller Unfälle. Es gibt andere Schät-zungen mit noch geringerer Quote. Das Gros der Unfälle liegt dagegen in systematischen Unzulänglichkeiten und – nicht zu vergessen – infolge der Manipulation von Schutzeinrich-tungen begründet.

85

Performance Level (1)

• Normdefi nition (EN ISO 13 849-1:2006): Diskreter Level, der die Fähigkeit von sicherheitsbe-zogenen Teilen einer Steuerung spezifi ziert, eine Sicherheitsfunktion zu erreichen.

• Vereinfacht: Sicherheitsgerichtete Gesamt-Qualität eines SRP/CS unter Berücksichtigung der SRP/CS-Architektur (= deterministische Betrachtung) und der SRP/CS-Zuverlässigkeit (= probabilistische Betrachtung). Betrachtet werden dabei im Wesentlichen die Gesichts-punkte von sicherheitstechnischer Zuverlässigkeit, Widerstandsfähigkeit gegen Ausfälle und Fehler, Fehlertoleranz, Verhalten im Fehlerfall, Fehlererkennung, Vermeidung von Fehler-akkumulationen sowie der Vermeidung systematischer Fehler.

• Der erforderliche PL (PL „a“ … „e“) ergibt sich aus der Risikograf-Betrachtung der jeweiligen Sicherheitsfunktion bzw. aus der jeweiligen C-Norm.

• Wahrscheinlichkeits-mathematisch steht hinter einem Performance Level PL die durch-schnittliche Wahrscheinlichkeit eines Gefahr bringenden Fehlers pro Stunde PFHd wie folgt:

Performance Level (PL) Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (1/h)

a ≥ 10–5 bis < 10–4

b ≥ 3 × 10–6 bis < 10–5

c ≥ 10–6 bis < 3 × 10–6

d ≥ 10–7 bis < 10–6

e ≥ 10–8 bis < 10–7

Anmerkung: Neben der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde sind weitere Maßnahmen notwendig, um den PL zu erreichen.

• Die Tabellenanmerkung stellt klar, dass es (siehe oben) nicht ausschließlich um wahrschein-lichkeits-mathematische Anforderungen geht.

• Um ein „Gefühl“ zu bekommen, lassen sich PFHd-Werte auch wie folgt übersetzen:

Performance Level (PL) Max. tolerierter Ausfallgrad

a 1 gefährlicher Ausfall pro 10.000 Stunden

b 1 gefährlicher Ausfall pro 100.000 Stunden

c 1 gefährlicher Ausfall pro 333.000 Stunden

d 1 gefährlicher Ausfall pro 1.000.000 Stunden

e 1 gefährlicher Ausfall pro 10.000.000 Stunden

• Konsequenterweise – wenn hinter einem PL die durchschnittliche Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde PFHd steht – lassen sich auch Subsysteme mit PFHd-Werten für einen bestimmten Sub-PL angeben. Typische Beispiele dafür sind alle Geräte mit komplexerer sicherheitstechnischer Funktionalität, für die diese Ausfallgrenze – zusätzlich zur PL- bzw. SIL-Klassifi zierung – im Regelfall angegeben wird.

86

• Spätestens hier wird klar ersichtlich, dass die gemeinsame Klammer von PL (bzw. EN ISO 13 849-1:2006) und SIL (bzw. EN IEC 62 061:2005 und EN IEC 61 508-1/-7:2001) eben die PFHd-Werte sind.

• Bei Sub-PFHd-Angaben wird empfohlen, dass die jeweiligen Werte nur einen bestimmten Teil des Gesamtwerts beanspruchen sollten, der für die jeweilige PL- bzw. SIL-Klassifi kation maximal gilt. Dies sind ≤ je 20 % für die Eingangsebene I und die Logikebene L des SRP/CS, so dass für die Ausgangsebene O – erfahrungsgemäß das schwächste Glied in der Kette – mehr als 60 % verbleiben.

• Wenn man so will, sind die nachfolgend – im Abschnitt (2) genannten und näher erklär-ten Parameter, die dazu dienen, einen PL bzw. Sub-PL zu bestimmen, nichts anderes als vereinfachende Hilfsgrößen, um die komplexe Mathematik zu umgehen, die eigentlich hinter einem PFHd-Wert steht.

• Wird die Subsystem-Methode bei der PL-Abschätzung verwendet (siehe Seite 45 ff.), ent-fallen oder vereinfachen sich einige der nachfolgend aufgeführten Berechnungen. Hier wird von der sogenannten Blockmethode (siehe Seite 131 ff.) ausgegangen.

87


Ein PL setzt sich zusammen aus:

• Architektur (= Steuerungskategorie)Kurzerklärung: Architektur eines SRP/CS (1-kanalig, 1-kanalig mit Testung, 2-kanalig mit gegenseitiger Testung, 2-kanalig mit Selbstüberwachung) für die Kette I (Input = Eingänge) + L (Logik = Signalverarbeitung) + O (Output = Ausgänge), wobei EN ISO 13 849-1:2006 bestimmte Architekturen – nämlich die der bekannten Steuerungskategorien – bevorzugt. Fortgeschrieben wird dabei auch die Möglichkeit, Fehlerausschlüsse in Übereinstimmung mit EN ISO 13 849-2:2003 machen zu können. Andere Architekturen sind auch in der EN ISO 13 849-1:2006 „erlaubt“, jedoch kann man für diese den vereinfachten Berechnungs-ansatz nicht ohne Weiteres nutzen und muss auf präzisere Mathematik – mit dem damit verbundenen Aufwand – zurückgreifen.

• Bestimmt werden (1):– Steuerungskategorie B … 4 (Designated Architectures/Vorgesehene Architekturen): Einstufung der sicherheitsbezogenen Teile einer Steuerung bezügliches ihres Wider standes gegen Fehler und ihres nachfolgenden Verhaltens bei einem Fehler.

• Fehlerausschlüsse sind gemäß EN 13 849-2:2003 weiterhin wichtig bzw. notwendig.

• Achtung: Änderungen in SK 2! Siehe Lexikonteil, Stichwort „Steuerungskategorie 2“,

OL

InputSignal

OutputSignal

O

OI L

InputSignal

OutputSignal

OTETE

2nd switch-off path

or indi-cation path

Monitoring

Mon

itorin

g

Mon

itorin

g

Monitoring

O1L1

InputSignal

OutputSignal

Moni-toring

I1

O2L2InputSignal

OutputSignal

Moni-toring

I2

Cro

ssM

onito

ring

Kategorien 3 und 4:Kategorie 2:Kategorien B und 1:

• Neben der Berücksichtigung der Architekturen eines SRP/CS wie vor gehört zu den Anfor-derungen an eine Steuerungskategorie auch die Beachtung der sogenannten (a) grundle-genden und (b) bewährten Sicherheitsprinzipien. Die grundlegenden Sicherheitsprinzipien entsprechen dem Stand der Technik und sind grundsätzlich (ab Steuerungskategorie B) zu berücksichtigen; ab Steuerungskategorie 1 gilt darüber hinaus die Berücksichtigung der bewährten Sicherheitsprinzipien. Bitte nicht verwechseln mit der Anforderung, sicherheits-technisch bewährte Bauteile zu verwenden (gilt zusätzlich für SK 1). Was das eine und was das andere ist, fi ndet sich in den Anhängen A bis D von EN ISO 13 849-1:2003 („Validierung von SRP/CS“). Siehe auch Lexikonteil, Stichwort „Steuerungskategorien“.

88

• Hardware-Zuverlässigkeit (= MTTFd/Mean Time to dangerous Failure)Kurzerklärung: Mittlere Zeit – ausgedrückt in Jahren (y) – bis zu einem Gefahr bringenden (zufälligen) Ausfall eines SRP/CS-Kanals; die einzelnen MTTFd-Werte der pro Kanal verwen-deten Hardware sind zu ermitteln, zu addieren (mittels Parts-Count-Methode) und mit den Normvorgaben für „niedrig“, „mittel“ und „hoch“ zu vergleichen. MTTFd-Werte basieren auf Herstellerangaben oder auf Angaben einschlägiger Nachschlagewerke, z. B. SN 29 500.

• Bestimmt werden (2):– MTTFd pro Kanal als Summe der Einzel-MTTFd’s von I + L + O und unterteilt in 3 Gruppen: „niedrig“, „mittel“ und „hoch“

Bezeichnung Qualität Wertebereich MTTFd

low 3 Jahre ≤ MTTFd < 10 Jahre

medium 10 Jahre ≤ MTTFd < 30 Jahre

high 30 Jahre ≤ MTTFd ≤ 100 Jahre

• Vereinfacht ausgedrückt: sicherheitsgerichtete (aus der Zuverlässigkeit abgeleitete) statistische Hardware-Qualität.

• Für die Berechnung von MTTFd-Werten wird in EN ISO 13 849-1:2006 die sogenannte Parts-Count-Methode angewendet.

N1

= Σ 1

MTTFd

MTTFd i

i = 1

ACHTUNG: MTTFd-Angaben machen lediglich eine statistische Aussage über die Überle-benswahrscheinlichkeit einer großen Menge eines Produkts (Aussage ist: Nur noch 37 % „überleben“ zu diesem Zeitpunkt). Der reziproke Wert 1/MTTFd ist die Ausfallwahrschein-lichkeit pro Stunde, die auch λ- oder FIT-Wert (für 10–9 Ausfälle) genannt wird. Die wahr-scheinlichkeits-mathematische Theorie im Hintergrund ist die Exponentialverteilung (siehe Lexikonteil).

Die Kurven zeigen von oben nach unten die gefährlichen Ausfälle in % in Abhängigkeit von der MTTFd der Komponente. Von oben nach unten: 3 Jahre, 10 Jahre und 100 Jahre. Gestri-chelt eingezeichnet sind auch die 63 %-Linie , bei der die Jahre des Gebrauchs gleich der MTTFd sind, sowie die 50 %- und die 10 %-Linie.

100

90

80

70

60

50

40

30

20

10

0 0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30

63%

50%

1%10%

MTTFd Elektronik

ge

fäh

rlic

he

Au

sfä

lle

in

%

Jahre des Gebrauchs

100 Jahre

30 Jahre

3 Jahre 10 Jahre

89

Die Kurven zeigen von oben nach unten die gefährlichen Ausfälle in % in Abhängigkeit von der MTTFd der Komponente. Hier wird ein gespreizter Ausschnitt angezeigt für die ersten 5 Jahre des Gebrauchs. Von oben nach unten: 3 Jahre, 10 Jahre, 30 Jahre und 100 Jahre. Gestrichelt eingezeichnet sind auch die 10 %- sowie 1 %-Linie der Ausfälle.

• Diagnosedeckungsgrad (= DC/Diagnostic Coverage in %)Kurzerklärung: Wahrscheinlichkeits-basiertes Maß der Wirksamkeit der Diagnose (→ Feh-ler aufdeckung), die das Verhältnis zwischen bemerkten gefährlichen Fehlern und der Gesamtzahl gefährlicher Fehler ausdrückt. Dieses Verhältnis ist aber noch zusätzlich mit dem MTTFd-Wert des jeweiligen Bauteils gewichtet. Das bedeutet, dass man Bauteile mit großer MTTFd nicht so hochwertig überwachen muss, wie solche mit niedriger MTTFd. 90 % bedeutet beispielsweise, dass mit 90 % Wahrscheinlichkeit gefährliche Fehler (rechtzeitig) entdeckt und 10 % nicht (rechtzeitig) entdeckt werden (rechtzeitig = Entdeckung vor der so-genannten Zweitfehler-Eintrittswahrscheinlichkeit). Bewertungsvorschläge unterschiedlicher Maßnahmen für I , L und O fi nden sich in Anhang E von EN ISO 13 849-1:2006; mittels einer bestimmten Formel kann man einen mittleren DCavg für ein Gesamt-SRP/CS errechnen („avg“ steht dabei für „average“ = Durchschnitt).

30

25

20

15

10

5

0 0 1 2 3 4 5

1%

10%

MTTFd Elektronik

ge

fäh

rlic

he

Au

sfä

lle

in

%

Jahre des Gebrauchs

100 Jahre

30 Jahre

3 Jahre 10 Jahre

• Bestimmt werden (3):– DCavg des Gesamt-SRP/CS (unterteilt in 4 Gruppen: „keine“, „niedrig“, „mittel“ und „hoch“) = Ergebnis der Wirksamkeit der Einzel-DC’s von I , L und O

Bezeichnung Wertebereich DC

none DC < 60 %

low 60 % ≤ DC < 90 %

medium 90 % ≤ DC < 99 %

high 99 % ≤ DC

90

Bestimmt werden (3) (Fortsetzung):

• Vereinfacht ausgedrückt: Wirksamkeit/Zuverlässigkeit fehleraufdeckender Maßnah-men ausgedrückt in Prozent (DCavg-Ermittlung über Formel)

• Hilfestellung in EN ISO 13 849-1:2006: siehe Anhang E von EN ISO 13 849-1:2006

DCavg =

DC1 +DC2 + ... +

DCS

MTTFd1 MTTFd2 MTTFdN

1 + 1 + ... + 1MTTFd1 MTTFd2 MTTFdN

DC =Σ λdd

Probability of detected dangerous failures

Σ λdProbability of total dangerous failures

• Common-Cause-Fehler-Management (sprich „CCF“)Kurzerklärung: Maßnahmen gegen Ausfälle beider Kanäle in einem SRP/CS zur gleichen Zeit infolge einer gemeinsamen Ursache, z.B. Brückung beider Kanäle durch einen Fremd-einfl uss, Übertemperatur, Überspannung, durch Blitzschlag (Surge-Impuls) bei redundanten Halbleiter-Ausgängen, verunreinigtes Öl bei Hydraulik oder zu viel Wasser in der Luft bei Pneumatik. D. h. durch eine einzige Ursache wird die Mehrkanaligkeit (typisch die Redun-danz) aufgehoben. EN ISO 13 849-1:2006 enthält im Anhang eine Tabelle mit Maßnahmen gegen Common-Cause-Fehler. Jede Maßnahme hat einen Punktewert. Zu realisieren sind Maßnahmen mit einer Punktewertigkeit von > 65 von 100 erreichbaren Punkten.

• Hinzu kommen die Maßnahmen gegen systematische Ausfälle und Fehler im SRP/CS. Siehe Lexikonteil, Stichwort „Ausfälle (systematische Ausfälle)“.

• Bestimmt werden (4):– CCF-Maßnahmen (JA-/NEIN-Feststellung, nur ab Steuerungskategorie 2): Ausfall in Folge gemeinsamer Ursache = Ausfälle verschiedener Einheiten auf Grund eines einzelnen Ereignisses, wobei diese Ausfälle keine gegenseitigen Auswirkun- gen haben.

• Bestimmung der Maßnahmen in I , L und O gemäß Look-up-table (von 100 erreich-baren Punkten müssen mindestens 65 Punkte erreicht worden sein)

AusfallKanal 1

Commoncause

AusfallKanal 2

Nr. Maßnahme gegen CCF Punkte

1 Trennung/Abtrennung

Physikalische Trennung zwischen den Signal-wegen

15

2 Diversität

Unterschiedliche Technologien/Gestaltung oder physikalische Prinzipien werden verwendet

20

3 Gestaltung/Anwendung/Erfahrung

3.1 Schutz gegen Überspannung, Überdruck,ÜbÜbÜbÜbeÜbeÜbeÜbeÜbeÜbeÜbe ttrstrstrstrstrstrstrstromromromromromromrom uuuuu, u, u,, swswswswswsw.sw.

15

3 23 23 23.2 VVerVerVerwenwenwenddundundun bg bg bg b äewäewäewäh thrthrthrtererer BBauBauBaut iteiteiteillelele 5555

91

Ergebnis

• Entweder man bedient sich einer Ergebnisgrafi k (Abb. 1), aus der der erreichte PL abge-lesen werden kann oder – wenn es genauer sein soll – bedient man sich des Anhangs K gemäß EN ISO 13 849-1:2006 (Abb. 2), aus dem sich eine genaue numerische Zuordnung zwischen PFHd und den PL-Parametern ergibt.

Ergebnistabelle

• MTTFd-Begrenzung auf 100 y• Abhängigkeit von SK, DC, CCF

und MTTFd

• Genauere Zuordnung (gemäß Anhang K)

• „Überlappungen“ können bei genauen Berechnungen genutzt werden


Kategorie BDCavg =

0

Kategorie 1DCavg =

0






a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Abb. 1: Säulendiagramm

Abbildung 2: Anhang K von EN ISO 13 849-1:2006

Numerische Darstellung

• Siehe EN ISO 13 849-1:2006Anhang K

Tabelle K.1 – Numerische Darstellung von Bild 5 (aus EN ISO 13 849-1:2006 [D] – Anhang K [informativ])

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde [1/h] und der zugehörige Perfor-

mance Level (PL)

MTTFd für

jeden Kanal


Jahre DCavg = kein

DCavg = kein

DCavg = niedrig

DCavg = mittel

DCavg = niedrig

DCavg = mittel

DCavg = hoch

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b

3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b

3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b

3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b

4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b

4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b

5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b

5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c

6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c

6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c

7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c

8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c

9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c

10 1,14 × 10–5 a 7,18 × 10–6 b 5,14 × 10–6 b 3,21 × 10–6 b 1,36 × 10–6 c

11 1,04 × 10–5 a 6,44 × 10–6 b 4,53 × 10–6 b 2,81 × 10–6 c 1,18 × 10–6 c

12 9,51 × 10–6 b 5,84 × 10–6 b 4,04 × 10–6 b 2,49 × 10–6 c 1,04 × 10–6 c

13 8,78 × 10–6 b 5,33 × 10–6 b 3,64 × 10–6 b 2,23 × 10–6 c 9,21 × 10–7 d

15 7,61 × 10–6 b 4,53 × 10–6 b 3,01 × 10–6 b 1,82 × 10–6 c 7,44 × 10–7 d

16 7,13 × 10–6 b 4,21 × 10–6 b 2,77 × 10–6 c 1,67 × 10–6 c 6,78 × 10–7 d

18 6,34 × 10–6 b 3,68 × 10–6 b 2,37 × 10–6 c 1,41 × 10–6 c 5,67 × 10–7 d

20 5,71 × 10–6 b 3,26 × 10–6 b 2,06 × 10–6 c 1,22 × 10–6 c 4,85 × 10–7 d

22 5,19 × 10–6 b 2,93 × 10–6 c 1,82 × 10–6 c 1,07 × 10–6 c 4,21 × 10–7 d

24 4,76 × 10–6 b 2,65 × 10–6 c 1,62 × 10–6 c 9,47 × 10–7 d 3,70 × 10–7 d

27 4,23 × 10–6 b 2,32 × 10–6 c 1,39 × 10–6 c 8,04 × 10–7 d 3,10 × 10–7 d

30 3,80 × 10–6 b 2,06 × 10–6 c 1,21 × 10–6 c 6,94 × 10–7 d 2,65 × 10–7 d 9,54 × 10–8 e

33 3,46 × 10–6 b 1,85 × 10–6 c 1,08 × 10–6 c 5,94 × 10–7 d 2,30 × 10–7 d 8,57 × 10–8 e

36 3,17 × 10–6 b 1,67 × 10–6 c 9,39 × 10–7 d 5,16 × 10–7 d 2,01 × 10–7 d 7,77 × 10–8 e

39 2,93 × 10–6 c 1,53 × 10–6 c 8,40 × 10–7 d 4,53 × 10–7 d 1,78 × 10–7 d 7,11 × 10–8 e

43 2,65 × 10–6 c 1,37 × 10–6 c 7,34 × 10–7 d 3,87 × 10–7 d 1,54 × 10–7 d 6,37 × 10–8 e

47 2,43 × 10–6 c 1,24 × 10–6 c 6,49 × 10–7 d 3,35 × 10–7 d 1,34 × 10–7 d 5,76 × 10–8 e

51 2,24 × 10–6 c 1,13 × 10–6 c 5,80 × 10–7 d 2,93 × 10–7 d 1,19 × 10–7 d 5,26 × 10–8 e

56 2,04 × 10–6 c 1,02 × 10–6 c 5,10 × 10–7 d 2,52 × 10–7 d 1,02 × 10–7 d 4,73 × 10–8 e

62 1,84 × 10–6 c 9,06 × 10–7 d 4,43 × 10–7 d 2,13 × 10–7 d 8,84 × 10–8 e 4,22 × 10–8 e

68 1,68 × 10–6 c 8,17 × 10–7 d 3,90 × 10–7 d 1,84 × 10–7 d 7,68 × 10–8 e 3,80 × 10–8 e

75 1,52 × 10–6 c 7,31 × 10–7 d 3,40 × 10–7 d 1,57 × 10–7 d 6,62 × 10–8 e 3,41 × 10–8 e

82 1,39 × 10–6 c 6,61 × 10–7 d 3,01 × 10–7 d 1,35 × 10–7 d 5,79 × 10–8 e 3,08 × 10–8 e

91 1,25 × 10–6 c 5,88 × 10–7 d 2,61 × 10–7 d 1,14 × 10–7 d 4,94 × 10–8 e 2,74 × 10–8 e

100 1,14 × 10–6 c 5,28 × 10–7 d 2,29 × 10–7 d 1,02 × 10–7 d 4,29 × 10–8 e 2,47 × 10–8 e

92


• Gemäß Norm soll die Bewertung bevorzugt aufgrund von Herstellerangaben erfolgen.

• Ein PL kann auf zwei Wegen ermittelt werden:

– Eine Sicherheitsfunktion (die Kette I + L + O ) wird in Blöcke (in sinnvolle funktionelle Einzelbestandteile) zerlegt. Die Blöcke werden in Bezug auf die – den PL ausmachenden – Betrachtungsgesichtspunkte bewertet und zusammenfassend beurteilt (teils analytisch, teils rechnerisch). Dieser Lösungsweg wird in EN ISO 13 849-1:2006 als Blockmethode benannt und im Anhang B der Norm ausführlich beschrieben.

– Ein Gesamt-SRP/CS wird in Subsysteme aufgeteilt, die sich aus Funktionsblöcken ablei-ten. Für jedes Subsystem wird ein Sub-PL ermittelt und zu einem Gesamt-PL zusammen-geführt (siehe Seite 45 ff.).

• Sub-PL’s haben dabei den Vorteil, dass ein Maschinenhersteller von einem vereinfachenden Verfahren zur Bestimmung des Gesamt-PL’s Gebrauch machen kann. Der Gesamt-PL wird dabei vom niedrigsten Sub-PL bestimmt. Darüber hinaus muss der MTTFd-Wert der Ein-stufung „hoch“ entsprechen oder man bedient sich der sogenannten Kombinationstabelle (siehe Seite 45 sowie Lexikonteil, Stichwort „Berechnungen (PL-Berechnungen)“.

• Im Ergebnis/in ihrer Wirksamkeit sind ein PL und ein Sicherheits-Integritäts-Level SIL inhalt-lich gleich. Insofern gibt es auch eine Kompatibilitätstabelle (z. B. PL „e“ = SIL 3 etc.), jedoch gibt es im Einzelnen unterschiedliche Berechnungsformen.


EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a

Absicherung

niedriger Risiken

Absicherung

hoher Risiken

b c d e

1 no special

safety

requirements

2 3

10–810–5

3 × 10–610–6 10–710–4

• ACHTUNG: Die PFHd-Klassifi kationen wie vor gelten für einen Gesamt-PL (bzw. Gesamt-SIL). Für Subsysteme dürfen nur Anteile „verbraucht“ werden (Empfehlung: Je max. 20 % für I und L , damit > 60 % für O ).

93

Lexikonteil/

Weitere Infos zu einigen Stichwörtern und Begriffen

93

94

Abschätzung von PL und SIL

• Sowohl EN ISO 13 849-1:2006 als auch EN IEC 62 061:2005 verwenden in Zusammenhang mit der Bestimmung von PL und SIL bewusst den Terminus „Abschätzung“, um zu verdeut-lichen, dass es bei den quantitativen (probabilistischen) Anforderungen nicht auf absolute rechnerische Genauigkeit ankommt. Es geht um die „richtige“ Größenordnung.

• EN ISO 13 849-1:2006 sieht gar bei einfachen SRP/CS im Rahmen von PL „a“ bis „c“ vor, dass eine qualitative Abschätzung genügt (siehe Ziffer 4.5.1).

• Hintergrund dafür, dass Abschätzungen genügen, ist der Vereinfachungsgedanke, den beide Normen verfolgen und die deterministische Steuerungskategorie, die nach wie vor eine wichtige Rolle spielt. Hinzu kommt, dass gerade zufällige Ausfälle, gegen die sich die quantitativen (probabilistischen) Maßnahmen insbesondere richten, in der Praxis nur zu 10 bis 15 % am Unfallgeschehen im Maschinenbau beteiligt sind. Es gibt andere Schätzungen, dass dieser Anteil gar noch niedriger ist.

Addition von Ausfallwahrscheinlichkeiten

• Stehen MTTFd-Werte zur Verfügung, erfolgt die Addition pro Kanal per Parts-Count-Me-thode, d. h. addiert werden die Kehrwerte 1/MTTFd. Die Summe wird wiederum in einen Gesamt-MTTFd-Wert rückverwandelt und mit den Normvorgaben für „niedrig“ (3 y … 10 y), „mittel“ (10 y … 30 y) und „hoch“ (30 y … 100 y) verglichen. Pro Kanal gibt es eine Begren-zung auf 100 y MTTFd (dagegen kann innerhalb eines Kanals mit höheren Werten gerechnet werden).

• Für Kanäle mit unterschiedlichen MTTFd-Werten gibt es eine sogenannte Symmetrisie-rungsformel wie folgt:

• PFHd-Werte können ohne Weiteres addiert werden, d. h. 1 × 10–9 + 1 × 10–9 = 2 × 10–9, je-doch bestimmt die niedrigste Sub-Klassifi kation den Gesamt-PL bzw. -SIL. Bessere PFHd-Werte kompensieren keineswegs Einschränkungen, die sich beim Safety Integrity Level (siehe Stichwort „SIL“) aufgrund der sogenannten Architectural Constraints ergeben.

AMD 1 zu EN 1088:1996

• Die Ergänzung AMD 1 zu EN 1088:1996(1) betrifft Anforderungen über die Gestaltung zur Mi-nimierung von Umgehungsmöglichkeiten von Verriegelungseinrichtungen. Zwischenzeitlich wurde AMD 1 in die Ausgabe EN 1088-10:2008 eingearbeitet.

• Zu unterscheiden ist dabei zwischen Maßnahmen, die ein Umgehen auf einfache Weise verhindern (wie bislang) und zusätzlichen Maßnahmen, die ein Umgehen erschweren sollen. Vorgeschlagen werden – je nach Art der Verriegelungseinrichtung – verschiedene Maßnah-men, von denen dann – und dies ist das eigentlich Neue – mindestens eine realisiert werden möge.

• Bezogen auf Geräte mit getrenntem Betätiger gehören zu diesen zusätzlichen Maßnahmen wahlweise:– ein verdeckter Geräteeinbau;– dass sich der Betätiger nicht auf einfache Weise lösen lässt, z. B. durch eine Montage mit Einwegschrauben, Vernietungen, Verschweißungen etc.;

A

(1) Verriegelungs-einrichtungen in Verbindung mit trennenden Schutzeinrichtun-gen – Leitsätze für Gestaltung und Auswahl (www.beuth.de).

MTTFd =2 MTTFd C1 + MTTFd C2 –

13 1 + 1

MTTFd C1 MTTFd C2

N1

= Σ 1MTTFd MTTFd i

i = 1

95

– dass Betätiger individuell kodiert sind oder– steuerungstechnische Überwachungsmaßnahmen erfolgen, wie Plausibilitätstests, An- lauftestungen o. Ä.

• In Anbetracht des Unfallgeschehens sollte man den neuen (erweiterten) Anforderungen entsprechende Aufmerksamkeit widmen. Man schätzt, dass ein Viertel aller Arbeitsunfälle an Maschinen in Deutschland auf manipulierte Schutzeinrichtungen zurückzuführen sind. Dieses Ergebnis und viele andere wertvolle Informationen und Erkenntnisse hat eine em-pirische Studie ergeben, die vom Berufsgenossenschaftlichen Institut für Arbeitsschutz BGIA, St. Augustin, im Auftrag einiger Fach-Berufsgenossenschaften (u. A. der Metall-BGen) durchgeführt wurde (Download: www.dguv.de/bgia → Publikationen→ BGIA-Reports 2005–2006).

• Nichtsdestotrotz ist es mit der Erhöhung des Schwierigkeitsgrads bei der Manipulation von Schutzeinrichtungen allein nicht getan. Häufi g – auch dies hat die obige Studie erge-ben – haben die Bediener – objektive und subjektive – Gründe zu manipulieren, wenn sie ihre Arbeit tun wollen. Insofern sind die Konstrukteure von Maschinen in Zukunft vermehrt gefordert, dem im Rahmen des Sicherheitskonzepts einer Maschine Rechnung zu tragen, z. B. indem für Arbeiten außerhalb des Automatikbetriebs ebenso wirksame wie sichere Betriebsarten zusätzlich vorgesehen werden. Es ist aber auch eine Frage der „Sicherheits-kultur“ in den maschinen-betreibenden Unternehmen, wie es um das Thema „Manipulation von Schutzeinrichtungen“ steht.

Anhang E

• Abschätzung von Diagnosedeckungsgraden (DC) für Funktionen und Module• Siehe Stichwort „Fehleraufdeckung“ sowie Seite 32 f. und Seite 68 f.

Anhang G (gemäß EN ISO 13 849-1:2006)

• Maßnahmen gegen systematische Ausfälle zählen zu den wichtigsten Maßnahmen zur SRP/CS-Sicherheit. Unzulänglichkeiten auf diesem Gebiet können kaum durch andere Maßnah-men kompensiert werden.

EN IEN INEN ISO 1SO 1SO 1SO 13849384938493849-1:21 21:2-1:2006 006 06006 (D)(D)D(D)

AnhAnhAnhAA angangang GGG

(in(infororormatmatmatattiv)iv)i )

SysSysSysysystemtemtemeematischs er eeee AusAusAusAusAusfalfalfalaa lll

G.1G.11 AllgAllgAllgemeiemeem nesnesnesee

Dieie e ISO 13848 9-2- liefiefertertrt einenene umfuum asseasssass nde Liste mit Mat Mt Maßnahßnahnahmen menmenmenmen gegegegegegegegeegen den den den syn syn syn syn systemstemstema-a-a-a-atisctisctiscs hen h Ausfall, diee angewenw det werdw en sollten, wie w ggrundlegdldl endeendeende SicSicicSS herhherherhhheitsi prinprin--zipip en uee nd bewährte e Sicherheitsprinzipien.

G.2 GG.GG.GGGGG.GG.G. Maßnahmen zur Beherrschung systematischer Ausfälle

Die DDiiD folgenden Maßnahmen sollten angewendet werden:

– – Anwendung der Energieabschaltung (siehe ISO 13849-2)

Die sicherheitsbezogenen Teile der Steuerung (SRP/CS) sollten s sso geo g stals tet ee werden,en,en, dass mit Verlust der elektrischen Versorgung der sichere Zustanda der Maschine er--reicht oder aufrechterhalten werden kann.

– – Maßnahmen, um die Auswirkungen von Spannungsausfall, Spannungsschwan--kungen, Überspannung und Unterspannung zu beherrschen.

Das Verhalten der SRP/CS als Reaktion aufgrund der Bedingungen von Spannungs--ausfall, Spannungsschwankungen, Überspannung und Unterspannung sollten vor-r-rrrrrher bestimmt werden, sodass die SRP/CS den sicheren Zustand der Maschine er-rr-rrrrreichen oder aufrechterhalten kann (siehe auch IEC 60204-1 und IEC 61508-7-2000,0,00, AA 8)A

– Maßnahßßßßßßß men,,,,, um uuuuuu die dddddddddd Wirkungengngngng n physiksssss alisaliialiialialialialia chercherchercherchercherr Umgmgmggmgmgmgggebunebuebubuebuebubub gsbegsbgsbgsbgsbgsbgsgsss dinginiini ginginingininggungeungungungungungunggg n (z. B.BBBBBBBBBBBB TemTemTTemTTTemTTTT --peraaaaperaap tur,tur,tur,tur,,,, Feuchtehhchchhchchtechtehchcchc , WaWW, Wa, Wa, Waasserrssersserssesse , ViViViVi,, bratbrataaa ion,ion,ion,ion,n StaStaStaStaStaStaaub,bbbubbububbbbbb korrkkkkkkorkkkkorkkor osiviosivosivososivsss e Sue S e Sue Sue Su Se Su e Substabbbbbbb nzennzennzennzenenzennzennzennzennzenzennzen, eleee, ele, e, ektromagmmmmaggomamomaomamagomago a ne-ne-neneneneeettisctiscscsctiscscsscscscscsche Bhe Bhee Be Bhe Bhee Bhe Bhe Bhe Bhe Bhee Beeineeineeineeineeineeineeineeineeineeineeineinfl usfl usfl usfl ufl usflusflususflusflusfl usfl usflususufl sungsungsungusungungungsungsungsungsunggsungsungusung undundundundundundundundundundundundunduund derderderderderderderderderderrderderderderrren Wen Wen Wen Wen Wen Wen Wen Wn Wn Wen Wn Wen Wn Wn irkurkurkurkukrkurkurkurkurkurkuirkurkuirkurkrk ngenngeneengenengenengenengenegengg ) zu) zu) zu z) zu) zuzu) zu) zu) zuzu) zu) zu) zu) z z) zu z behbehbebebehbbehbehehbehehbehbeherrserrserrsrrserrsrserrserrserrsrerrerrrrrr chenchechchechechenchenchchenchccheccchenhe odeododdeededeoddedeoddeodedeoder zur zur zur zur zuzuzuzur zuur zuzuzur zu vervvereeeeeververevere hindhinndndndhindndndhinndhindh ndhinddeernernern.ern.erernern.ererern.ern.ern.re

DaDDasDasDasDasDasDasDasDasDas VerVerVerVerVerVerVerVerVerVerhalth lthhalthalthalthalthalthalthalten den den den den den den dden den den der Ser Ser Sr Ser Ser Ser SSer Ser Ser SRP/CRP/CRP/CRRP/CRP/CRP/CRP/CRP/CRP/CSS alS alS alS alS alS alS alS als Res Res Res ReRRs Res Res ReRe ktikaktaktaktiaktiaktiaktiaktiakt on aon aon aon aon aon aon aon auf duf df duf duf duf dduf duf df die Wie We We We WWe WWe Wie Wirkkrkuirkuirkuirkuirkuirkurkukungennngenngenngenngenngenngengen ddderderererderderderer phhphyphyphyphyphyphyphyphysikasikaiksikaksikasikasikasikasikaliscliscliliscliscliscscliscchhenhehenhenhen henhen hen UmUm-Um-UUUm-Um-Um-Um-Umgebugebungsbngsbedinedingunggungen sen solltollte voe vorherh besbestimmtimmt wet werdenrden, sosodassdass diedie SRPSRP/CS /CS denden si-si

96

• Insofern werden Maßnahmen zur Vermeidung und Beherrschung systematischer Ausfälle im Anhang G von EN ISO 13 849-1:2006 noch einmal zusätzlich – wenngleich nicht normativ, sondern nur informativ – betrachtet.

• „Zusätzlich betrachtet“ heißt, dass bereits die Normen EN 954-1:1996 (ISO 13 849-1:1999), aber insbesondere EN ISO 13 849-2:2003 (ursprünglich angedacht als EN 954-2) dezidierte Anforderungen beinhalten, die mit dem Anhang G fortgeführt und verbessert werden.

• Gleiche Betrachtungen zum Thema gibt es ebenfalls in EN IEC 62 061:2005.• Anhang G teilt sich in 4 Gruppen ein: Dabei ist die Gruppe G.1 nur ein Querverweis auf die

ausführlichen Betrachtungen von EN ISO 13 849-2:2003 (siehe oben). Gruppe G.2 betrifft Maßnahmen zur Beherrschung systematischer Ausfälle, G.3 Maßnahmen zur Vermeidung systematischer Ausfälle und G.4 Maßnahmen zur Vermeidung systematischer Ausfälle wäh-rend der Integration eines SRP/CS.

Anhang K (gemäß EN ISO 13 849-1:2006)

• Anhang K dient zwei verschiedenen Zwecken:– Einmal kann man ihm die Überlappungsbereiche des Säulendiagramms genauer entnehmen, beispielsweise ab welchem MTTFd-Wert ein PL „e“ auch mit einer Architektur gemäß SK 3 und einem mittleren Diagnosedeckungsgrad erreicht wird (ab 62 y) etc. Zur Verdeutlichung: siehe nachstehender Tabellenausriss.– Anhang K ist darüber hinaus zu entnehmen, welcher durchschnittlichen Wahrschein- lichkeit eines gefährlichen Ausfalls je Stunde (sprich welchem PFHd-Wert) eine bestimmte Konfi guration entspricht. Zum Beispiel entspricht PL „d“ mit einer Architektur gemäß SK 3, einem Kanal-MTTFd-Wert von 56 y und einem mittleren Diagnosedeckungsgrad einem PFHd-Wert von 1,03 × 10–7/h.

• Der PFHd-Wert bildet praktisch die Klammer zu EN IEC 61508-2001 bzw. EN IEC 62 061:2005, weil diese Normen die Restausfallwahrscheinlichkeit eines SRP/CS in dieser Einheit ausdrücken. Man könnte auch sagen, dass sich im Anhang K die Patenschaft von EN IEC 61 508:2001 bei der Erarbeitung von EN ISO 13 849-1:2006 am Deutlichsten wider-spiegelt. Der PFHd-Wert ist aber keine ausschließlich probabilistische Betrachtung.

(1) Da CCF-Maß-nahmen ab SK 2 obligatorisch sind, werden sie im Anhang K nicht namentlich aufge-führt, sondern als gegeben betrach-tet.

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde [1/h] und der zugehörige

Performance Level (PL)

MTTFd

für jeden

Kanal


Jahre DCavg =kein

DCavg =kein

DCavg =niedrig

DCavg = mittel

DCavg = niedrig

DCavg = mittel

DCavg = hoch

3 3,80 × 10–5 a 2,58 × 10–5 a 1,99 × 10–5 a 1,26 × 10–5 a 6,09 × 10–6 b3,3 3,46 × 10–5 a 2,33 × 10–5 a 1,79 × 10–5 a 1,13 × 10–5 a 5,41 × 10–6 b3,6 3,17 × 10–5 a 2,13 × 10–5 a 1,62 × 10–5 a 1,03 × 10–5 a 4,86 × 10–6 b3,9 2,93 × 10–5 a 1,95 × 10–5 a 1,48 × 10–5 a 9,37 × 10–6 b 4,40 × 10–6 b4,3 2,65 × 10–5 a 1,76 × 10–5 a 1,33 × 10–5 a 8,39 × 10–6 b 3,89 × 10–6 b4,7 2,43 × 10–5 a 1,60 × 10–5 a 1,20 × 10–5 a 7,58 × 10–6 b 3,48 × 10–6 b5,1 2,24 × 10–5 a 1,47 × 10–5 a 1,10 × 10–5 a 6,91 × 10–6 b 3,15 × 10–6 b5,6 2,04 × 10–5 a 1,33 × 10–5 a 9,87 × 10–6 b 6,21 × 10–6 b 2,80 × 10–6 c6,2 1,84 × 10–5 a 1,19 × 10–5 a 8,80 × 10–6 b 5,53 × 10–6 b 2,47 × 10–6 c6,8 1,68 × 10–5 a 1,08 × 10–5 a 7,93 × 10–6 b 4,98 × 10–6 b 2,20 × 10–6 c7,5 1,52 × 10–5 a 9,75 × 10–6 b 7,10 × 10–6 b 4,45 × 10–6 b 1,95 × 10–6 c8,2 1,39 × 10–5 a 8,87 × 10–6 b 6,43 × 10–6 b 4,02 × 10–6 b 1,74 × 10–6 c9,1 1,25 × 10–5 a 7,94 × 10–6 b 5,71 × 10–6 b 3,57 × 10–6 b 1,53 × 10–6 c10 1,14 × 10–5 a 7,18 × 10–6 b 5,14 × 10–6 b 3,21 × 10–6 b 1,36 × 10–6 c11 1,04 × 10–5 a 6,44 × 10–6 b 4,53 × 10–6 b 2,81 × 10–6 c 1,18 × 10–6 c12 9,51 × 10–6 b 5,84 × 10–6 b 4,04 × 10–6 b 2,49 × 10–6 c 1,04 × 10–6 c13 8,78 × 10–6 b 5,33 × 10–6 b 3,64 × 10–6 b 2,23 × 10–6 c 9,21 × 10–7 d15 7,61 × 10–6 b 4,53 × 10–6 b 3,01 × 10–6 b 1,82 × 10–6 c 7,44 × 10–7 d16 7,13 × 10–6 b 4,21 × 10–6 b 2,77 × 10–6 c 1,67 × 10–6 c 6,78 × 10–7 d18 6,34 × 10–6 b 3,68 × 10–6 b 2,37 × 10–6 c 1,41 × 10–6 c 5,67 × 10–7 d20 5,71 × 10–6 b 3,26 × 10–6 b 2,06 × 10–6 c 1,22 × 10–6 c 4,85 × 10–7 d22 5,19 × 10–6 b 2,93 × 10–6 c 1,82 × 10–6 c 1,07 × 10–6 c 4,21 × 10–7 d24 4,76 × 10–6 b 2,65 × 10–6 c 1,62 × 10–6 c 9,47 × 10–7 d 3,70 × 10–7 d27 4,23 × 10–6 b 2,32 × 10–6 c 1,39 × 10–6 c 8,04 × 10–7 d 3,10 × 10–7 d30 3,80 × 10–6 b 2,06 × 10–6 c 1,21 × 10–6 c 6,94 × 10–7 d 2,65 × 10–7 d 9,54 × 10–8 e33 3,46 × 10–6 b 1,85 × 10–6 c 1,08 × 10–6 c 5,94 × 10–7 d 2,30 × 10–7 d 8,57 × 10–8 e36363636363636363636 3 13 13 13 13 13 13,13,13,13,1,, 7777777777 ××××××××× 10101010101010101010–6666 bbbbbbbbbb 1 61 61 61 61 61 61,61,61,61,6,, 777777777 ×××××××××× 10101010101010101010–6666 cccccccccc 9 39 39 39 39 39 39,39,39,39,3,, 9999999999 ××××××××× 10101010101010101010–7777 dddddddddd 5 15 15 15 15 15 15,15,15,15,1,, 666666666 6 ×××××××××× 10101010101010101010–7777 dddddddddd 2 02 02 02 02 02 02,02,02,02,0,, 1111111111 ×××××××××× 10101010101010101010–7777 dddddddddd 7 77 77 77 77 77 77,77,77,77,7,, 7777777777 ×××××××××× 10101010101010101010–8888 eeeeeeeeee393939393939 2 92 92 92 92,92,9333333 ×××× 101010101010 66–6–66 cccc 1 51 51 51 51,51,5333333 ×××× 101010101010 666–6–66 cccc 8 48 48 48 48,48,4000000 ×××× 101010101010 77–7–77 dddddd 4 54 54 54 54,54,5333333 ×××× 101010101010 77–7–77 dddddd 1 71 71 71 71,71,7888888 ×××× 101010101010 77–7–77 dddddd 717171717,17,1111111 ×××× 101010101010 88–8–88 eeee

97

• Der Tabelle des Anhangs K liegen ausgiebige Berechnungen mittels Markov-Modellen zugrunde, die im Zuge der Ausarbeitung der Norm vom Institut für Arbeitsschutz (BGIA) der Deutschen Gesetzlichen Unfallversicherung, St. Augustin, durchgeführt wurden.

• Leider endet das Zahlenwerk von Anhang K bei einem MTTFd-Wert von 100 y pro Kanal, wenngleich für Betrachtungen innerhalb eines Kanals die Umrechnung „höherer“ Werte manchmal wünschenswert wäre. Solche Werte lassen sich aber mittels einer logarithmi-schen Berechnung vereinfacht hochrechnen. Laut BGIA-Report 2/08 lässt sich grob verein-facht (und auch nur in dieser Richtung zulässig) aus einem PFHd-Wert aber auch über eine Kehrwertbildung ein Block-MTTFd-Wert errechnen. D. h. 1/PFHd : 8.760 = Block-MTTFd (bei höheren PL’s bzw. SIL’s im Regelfall mehrere 100 y).

• Zwischenzeitlich gibt es eine inoffi zielle Fortschreibung von Anhang K-Zahlen (sogenannte Stützwerte), jedoch beziehen sie sich nur auf Architekturen gemäß Steuerungskategorie 4. Kompatibel zu EN ISO 13 849-1:2006 ist die Anwendung dieser Zahlen nur bei Subsystemen (um mehr davon in Reihe schalten zu können). Die Begrenzung eines Gesamt-SRP/CS auf 1 × 10–8 bleibt davon unberührt.

• Für andere Architekturen bleibt es – wenn es notwendig ist – beim Ratschlag der vorsich-tigen Hochrechnung unter Berücksichtigung des doppel-logarithmischen Maßstabs bzw. sich der Hilfsgrößen MTTFd und Block-MTTFd zu bedienen.

• Nachfolgend die fortgeschriebenen Zahlen (bei SK 4, DC „hoch“ und CCF > 65 Punkte):

MTTFd (y) = PFH

d (pro Stunde)

100 = 2,47 × 10–8

110 = 2,23 × 10–8

120 = 2,03 × 10–8

130 = 1,87 × 10–8

150 = 1,61 × 10–8

160 = 1,50 × 10–8

180 = 1,33 × 10–8

200 = 1,19 × 10–8

220 = 1,08 × 10–8

240 = 9,81 × 10–9

270 = 8,67 × 10–9

300 = 7,76 × 10–9

330 = 7,04 × 10–9

360 = 6,44 × 10–9

390 = 5,94 × 10–9

430 = 5,38 × 10–9

470 = 4,91 × 10–9

510 = 4,52 × 10–9

560 = 4,11 × 10–9

620 = 3,70 × 10–9

680 = 3,37 × 10–9

750 = 3,05 × 10–9

820 = 2,79 × 10–9

910 = 2,51 × 10–9

1.000 = 2,27 × 10–9

1.100 = 2,07 × 10–9

1.200 = 1,90 × 10–9

1.300 = 1,75 × 10–9

1.500 = 1,51 × 10–9

1.600 = 1,42 × 10–9

1.800 = 1,26 × 10–9

2.000 = 1,13 × 10–9

2.200 = 1,03 × 10–9

2.300 = 9,85 × 10–10

2.400 = 9,44 × 10–10

2.500 = 9,06 × 10–10

Architekturen

• Normdefi nition (EN 62 061:2005): Spezifi sche Konfi guration von Hardware- und Softwareele-menten in einem SRP/CS:SRP/CS-Architekturen setzen sich aus der Eingangsebene I (bestehend aus sicherheitsge-richteten Sensoren und Befehlsgeräten), der Logikebene L (für die Signalverarbeitung) und der Ausgangsebene O (mit den Steuersignalen für die Gefahr bringende Bewegung auslö-senden Aktoren) zusammen. Mit zur Architektur gehören auch die Anzahl der Kanäle (sprich die Steuerungskategorie) sowie die internen, ggf. auch die externen Testeinrichtungen.

• Zur Bestimmung eines (Gesamt-) PL’s oder SIL’s ist die Betrachtung der gesamten Kette, d. h. der Reihenschaltung I + L + O erforderlich.

• Eine Ebene kann dabei wieder das Ergebnis einer Reihenschaltung sein, sofern sich dies aus der Sicherheitsfunktion ergibt.

Sensor Logik Aktorerfassen verarbeiten schalten

SRP/CSa SRP/CSc PLr bzw. SILSRP/CSb

iab ilx

98

• Unter dem Begriff „vorgesehene Architekturen“ nehmen die Architekturen in EN ISO 13 849-1:2006 eine besondere Bedeutung ein. Gemeint sind damit die Steuerungskategorien, wie sie aus EN 954-1:1996 bekannt sind und in EN ISO 13 849-1:2006 fortgeschrieben werden.

• „Vorgesehene Architekturen“ („designated architectures“) bedeutet in diesem Zusammen-hang, dass signifi kante Abweichungen von ihnen (sprich wesentliche Abweichungen von den Steuerungskategorien) nicht zulässig sind (ausgenommen Fehlerausschlüsse), will man sich EN ISO 13 849-1:2006 bedienen. Falls nicht, müssten sie gemäß EN IEC 61 508:2001, EN IEC 62 061:2005 oder anderen spezifi schen Normen (z. B. EN IEC 61 496 für AOPD’s)(1) bewertet werden. In diesem Zusammenhang sollten die Architekturen aber nicht als Schalt-pläne, sondern als funktionale Schaltbilder betrachtet werden. Sofern man in den Grundzü-gen und im Grundaufbau bei den „designated architectures“ bleibt, macht es keinen Unter-schied, ob man in einem Kanal drei oder auch mehr oder weniger Blöcke (Subsysteme) hat.

• Erklärung für diese Beschränkung sind die wahrscheinlichkeits-mathematischen Berech-nungen, die bei der Erarbeitung von EN ISO 13 849-1:2006 im Hintergrund gestanden haben und die sich dabei auf die bekannten Steuerungskategorien abgestützt haben.

• Siehe auch Stichwort „Steuerungskategorien“

Ausfälle

• Normdefi nition (EN ISO 13 849-1:2006): Beendigung der Fähigkeit eines Gerätes (Subsys-tems), eine geforderte Funktion zu erfüllen.

• Die Verminderung des Risikos, dass Ausfälle in einem SRP/CS gefährliche Zustände verur-sachen können, ist eine wesentliche Zielsetzung der Normung zu diesem Thema.

• Ausfällen gleichgestellt betrachtet werden Störungen.• Im Rahmen der SRP/CS-Normung wird im Wesentlichen zwischen zufälligen und systemati-

schen Ausfällen sowie Gefahr bringenden Ausfällen (bei Werteangaben häufi g gekennzeich-net durch den Index „d“) und nicht Gefahr bringenden (die Verfügbarkeit von Prozessen hemmenden) Ausfällen unterschieden. Letzteres liegt nicht im Anwendungsbereich der SRP/CS-Normung.

• Das Ergebnis von Ausfällen sind Fehler im SRP/CS. Die Norm defi niert dazu, dass Ausfälle Ereignisse und Fehler Zustände sind. Fehler können aber auch ohne vorhergehende Aus-fälle zustande kommen. Auch hiergegen sind Maßnahmen zu treffen, wie sie insbesondere in EN ISO 13 849-2:2003 behandelt werden.

• Da es sich teils um eine semantische Spitzfi ndigkeit handelt, was ein „Ausfall“ und was ein „Fehler“ ist, werden die beiden Begriffe in dieser Broschüre an der einen oder anderen Stelle auch synonym verwendet.

Ausfälle (systematische Ausfälle)

• Normdefi nition (EN ISO 13 849-1:2006): Ausfälle mit deterministischem Bezug zu einer bestimmten Ursache, die nur durch Änderung der Gestaltung oder des Herstellungspro-zesses, Betriebsverfahrens, Dokumentation oder zugehörende Faktoren beseitigt werden können.

• Systematische Ausfälle können sowohl Hardware als auch Software betreffen.• Maßnahmen zur Vermeidung und Beherrschung systematischer Ausfälle werden im neuen

Anhang G von EN ISO 13 849-1:2006 noch einmal zusätzlich betrachtet. „Zusätzlich be-trachtet“ heißt, dass bereits die Normen EN 954-1:1996 (ISO 13 849-1:1999), aber insbeson-dere EN ISO 13 849-2:2003 (ursprünglich angedacht als EN 954-2) dezidierte Anforderungen beinhalten, die mit dem Anhang G fortgeführt und verbessert werden. Ausführliche Betrach-tungen zum Thema gibt es ebenfalls in EN IEC 62 061:2005.

• In systematischen Ausfällen liegt heute das Gros der Ursachen für Maschinenunfälle be-gründet. Hierzu zählen unzulängliche FMEA’s und Erprobungen, Konzept- und Spezifi kati-onslücken, ebenso aber auch Denkfehler etc. Hinzu kommen Unfälle durch Manipulationen von Schutzeinrichtungen (in Deutschland mit ca. 25 % eingeschätzt).

(1) AOPD = Active Optoelectronic Protective Devices = Optoelektroni-sche Schutzein-richtungen

99

• Wenngleich es nicht ganz in die Normensystematik passt, gehört auch die umfassende Risi-kobeurteilung (Gefahrenanalyse) mit in den Kontext systematischer Fehlerpotenziale. Siehe hierzu auch EN ISO 12 100-1/-2:2003 und EN ISO 14 121:2007 (vormals EN 1050).

• Folgt man einer britischen Studie (siehe Abbildung), sind mehr als 60 % aller im Rahmen ei-ner repräsentativen Auswahl untersuchten Unfälle auf Ursachen zurückzuführen, die bereits im SRP/CS vor Inbetriebnahme enthalten waren.

(1) More than 60 % of failures “built into the safety-related systems” before taken into service!

15 %Design &

implementation

6 %Installation and commissioning

15 %Operation and

maintenance

20 %Changes after commissioning

44 %Specifi cation

Ausfälle (zufällige Ausfälle)

• Insbesondere die Anforderung, die sicherheitsgerichtete Gesamtqualität eines SRP/CS in Form eines PL bzw. SIL zu bestimmen, zielt auf eine Verminderung des Restrisikos gefährli-cher Zustände durch zufällige Gefahr bringende Ausfälle ab.

• Bei Hardware wird grundsätzlich angenommen, dass sie sowohl zufällig als auch systema-tisch ausfallen kann. Bei Software werden dagegen nur systematische Ausfälle unterstellt.

• Dem zufälligen Hardware-Ausfall (bedingt durch Schwächungen des Produkts verschie-denster Ursachen, z. B. Materialermüdung) kann eine statistische Wahrscheinlichkeit zuge-ordnet werden. Mit anderen Worten: Je geringer diese Wahrscheinlichkeit ist, desto höher die funktionale Sicherheit. Ggf. kann auf anderes (ganz oder teilweise) verzichtet werden, ohne die sicherheitstechnische Gesamtqualität zu berühren.

• Der Anteil von Unfällen infolge zufälliger Hardware-Ausfälle wird heutzutage gemeinhin ge-ring eingeschätzt. Die Rede ist von max. 10 bis 15 % aller Maschinenunfälle. Es gibt andere Schätzungen, dass dieser Anteil gar noch niedriger ist.

• Die Wahrscheinlichkeit zufälliger Hardware-Ausfälle ist eine ausschließlich statistische Be-trachtung und erlaubt keine Rückschlüsse auf die Qualität eines individuellen Produkts.

Ausfallraten

• Typische Werte für Ausfallraten, die in der Norm EN ISO 13 849-1:2006 in Bezug genommen werden, sind MTTFd-Werte (= Mean Time to dangerous Failure).

• Generell sind MTTF-Werte eine statistische Kenngröße für die Zuverlässigkeit eines Objekts (was auch immer das „Objekt“ sei); sie treffen eine Aussage über Wahrscheinlichkeiten zufälliger Ausfälle. Ausfälle aufgrund anderer Einfl üsse, z. B. durch falsche Auswahl, unzurei-chende Dimensionierung etc., zählen zur Gruppe der systematischen Ausfälle und werden über MTTF-Werte nicht gespiegelt.

100

• MTTF-Werte beziehen sich auf die mittlere (durchschnittliche) Lebensdauer bzw. Laufl eis-tung von Objekten (bis zum Ausfall). Das Wissen um Lebensdauer bzw. Laufl eistungen er-gibt sich aus Felddaten, Hochrechnungen aus Stresstests, sogenannten FMED-Analysen(1) u. Ä.

• Im Sinne der Normen EN ISO 13 849-1:2006 und EN IEC 62 061:2005 interessieren nur Ge-fahr bringende Ausfälle. Zum Beispiel kann ein Kontakt nicht schließen (= bei Shut-down-Systemen im Regelfall störend, aber nicht Gefahr bringend) oder nicht öffnen (= bei Shut-down-Systemen im Regelfall Gefahr bringend). Üblicherweise wird das Verhältnis Gefahr bringender zu nicht Gefahr bringenden Ausfällen 50 : 50 gerechnet. Insofern ist ein MTTFd-Wert dann auch immer doppelt so hoch wie der – alle Fehlermöglichkeiten widerspiegelnde – MTTF-Wert.

• Für eine Vielzahl von Objekten wird mit einem MTTFd-Wert wahrscheinlichkeits-mathema-tisch – unter Bezugnahme auf die Exponentialverteilung – ausgedrückt, dass nach Ablauf der MTTFd-Lebensdauer 63,2 % der betreffenden Objekte gefährlich ausgefallen sind. D. h. es geht hier um die Aussage über eine Überlebenswahrscheinlichkeit.

• Beispiel:

(1) Failure Modes Effects and Diag-nostic Analysis

Zuverlässigkeitsverteilungvon Einheiten dreier Kollektive

Intakt

Ausgefallen

18Jahre

37%63%

MTTF = 6 Jahre MTTF = 18 Jahre MTTF = 60 Jahre

72%28%

90%10%

60Jahre

Jahre

60

18

6

Veranschaulichung der mittleren Lebensdauer: Es sind drei Kollektive mit unterschiedlichen Zuverlässigkeitsniveaus dargestellt. Ihre Einheiten (veranschaulicht durch Punkte) fallen zu zufälligen Zeiten aus. Ihre Ausfallzeitpunkte entsprechen der vertikalen Koordinate. Die Ausfallzeiten sind über große Zeiträume verstreut, z. B. beim 1. Kollektiv überleben einzelne Einheiten 18 Jahre, während andere bereits nach einem Jahr ausfallen. 63 % sind bereits nach 6 Jahren ausgefallen (Quelle: Einführung in die Methoden der Zuverlässigkeitsbewer-tung, Siemens AG, I&S IS ICS IT2).

• λ- bzw. FIT-Werte – Ausfallraten, mit denen EN IEC 62 061:2005 „arbeitet“ – geben dage-gen an, wie viele Objekte in einer Zeiteinheit im Durchschnitt zufällig ausfallen (= 1/Zeit vs. „Überlebenswahrscheinlichkeit“ von MTTF- bzw. MTTFd-Werten). FIT-Werte stellen da-bei eine Ausfallrate ausgedrückt in 10–9 pro Stunde dar. D. h. es geht hier um eine andere zeitliche Betrachtung des gleichen Phänomens. Die Kehrwerte von λ- bzw. FIT-Werten sind deshalb auch wieder MTTF- bzw. MTTFd-Werte.

101

• PFHd-Werte drücken ebenfalls die Wahrscheinlichkeit eines Gefahr bringenden Ausfalls je Stunde aus, sie können dabei jedoch mehr als nur die Betrachtung zufälliger Hardware-Ausfälle in die Berechnung einbeziehen. D. h. eine Umrechnung ist nur bedingt zulässig. Sie ist möglich bei 1-kanaligen Strukturen (1/MTTFd = PFHd und umgekehrt). Darüber hinaus können PFHd-Werte in sogenannte Block-MTTFd-Werte per Kehrwertbildung (1/PFHd : 8.760) grob vereinfachend umgerechnet werden (jedoch nicht umgekehrt).

• Bei PFHd-Werten ist die Unterscheidung über die Indexierung „d“ nicht besonders üblich, d. h. sowohl mit einem PFH- als auch mit einem PFHd-Wert ist im Regelfall die Gefahr brin-gende Ausfallrichtung gemeint.

• Eine Unterart von MTTF- bzw. MTTFd-Werten sind MTBF- bzw. MTBFd-Werte. MTBF steht für Mean Time Between Failures und ist bei reparablen Objekten die mittlere Zeit zwischen zwei Ausfällen. Der Unterschied zwischen MTTF (MTTFd) und MTBF (MTBFd) ist nur margi-nal und kann in Zusammenhang mit den Betrachtungen für SRP/CS vernachlässigt werden.

• In vielen anderen Bereichen, z. B. in Chemie und Verfahrenstechnik, Militärtechnik, Avionik etc., gehört der Einbezug von Ausfallraten zum Stand der Technik (Stichwort: „Zuverlässig-keits-Engineering“).

• Für Ausfallraten gibt es zahlreiche Quellen und Nachschlagewerke, z. B. SN 29 500, MIL-Handbücher u. Ä.

• Bedient man sich allgemeiner Quellen für Angaben über Ausfallraten, ist es anempfehlens-wert zu hinterfragen, ob ein Wert nur die im Sinne von EN ISO 13 849-1:2006 gefährlichen Ausfälle (häufi g gekennzeichnet durch den Index „d“) oder alle möglichen Ausfälle wider-spiegelt (letzteres gilt es dann – siehe oben – umzurechnen).

• Darüber hinaus gibt es in EN ISO 13 894-1:2006 die Empfehlung, nicht für deren Zwecke entsprechend verifi zierte Werte anderer Herkunft nur mit 10 % in die Berechnungen einge-hen zu lassen.

• Bei unspezifi schen Angaben über Ausfallraten, z. B. für elektrische Bauelemente, handelt es sich häufi g um nominelle Werte ohne Berücksichtigung von Temperatureinwirkungen (z. B. dass sich die Ausfallrate pro 20 °C-Temperatursteigerung verdoppelt), Temperaturzyklen (Wärme ↔ Kälte) und anderen Umwelteinfl üssen. Diese Einfl üsse müssen in die weiteren Berechnungen eingerechnet werden (typisch für EN IEC 61 508:2001) oder pauschal be-rücksichtigt werden, in dem man nur 10 % der nominalen Ausfallraten in seine weiteren Berechnungen aufnimmt (empfohlen in EN ISO 13 849-1:2006).

B10d

-Werte

• Normdefi nition: Anzahl der Zyklen, bis 10 % der Komponenten gefährlich ausgefallen sind (B10d-Werte gelten vorzugsweise für mechanische, fl uidische und elektromechanische Kom-ponenten).

• ACHTUNG: Weiter wichtige Besonderheit → T10d-Wert! • Mit Anzahl der Zyklen ist dabei die Anzahl von Schaltspielen über die Lebensdauer gemeint,

d. h. der B10d-Wert drückt eine maximale Anzahl von Schaltspielen aus und bildet die Grund-lage für die notwendigen MTTFd-Berechnungen bei verschleißbehafteten Geräten in einem SRP/CS. Hierzu gehören Komponenten und Geräte der Mechanik, z. B. Federn, Geräte der Fluidik, z. B. Ventile, und Schaltgeräte der Elektromechanik, z. B. Schütze, Relais, Positions-schalter, Not-Halt-Befehlsgeräte u. Ä.

• Bauteile dieser Art haben ein Ausfallverhalten, das von der Anzahl der ausgeführten Schalt-spiele – und teils auch von der Schaltlast – bestimmt wird und für das deshalb eine (mono-ton wachsende) Weibull-Verteilung angenommen wird, weil die Ausfallwahrscheinlichkeit über die Zeit variiert.

• Die Formeln zur Umrechnung von einem B10d-Wert in einen MTTFd-Wert sind dabei wie folgt:

B

102

dop × hop × 3.600s

MTTFd =B10d nop =

h0,1 × nop tcycle

nop = mittlere Zahl Schaltspiele pro Jahrdop= durchschnittliche Anzahl Betriebstage pro Jahrhop = durchschnittliche Anzahl Betriebsstunden pro Tagtcycle = durchschnittliche Anforderung der Sicherheitsfunktion in s (zum Beispiel 4 × pro Stunde = 1 × pro 15 min. = 900 s)

• In Anhang C (Tabelle C.1) von EN ISO 13 849-1:2006 werden für die typischen Arten ver-schleißbehafteter Bauteile B10d-Werte angegeben, für die dann zur Berechnung von MTTFd-Werten pro Kanal die obige Formel gilt (alternativ zu den Normwerten können abweichende Herstellerangaben zugrunde gelegt werden).

• Eine Ausnahme bilden mechanische und hydraulische Bauteile, für die die Berechnungsfor-mel nicht angewendet zu werden braucht. Aufgrund der bekannten und empirisch abge-stützten hohen Zuverlässigkeit dieser Bauteile empfi ehlt der Normensetzer, hierfür pauschal mit 150 y MTTFd pro Kanal zu rechnen (unter der Voraussetzung, dass die in der Norm beschriebenen grundlegenden und bewährten Sicherheitsprinzipien beachtet werden).

• Eine zweite Besonderheit im Anhang C bilden die B10d-Werte für (Reedkontakt-basierte) Näherungsschalter, Schütze und Relais. Für Bauteile dieser Art werden zwei B10d-Werte angegeben, und zwar einmal ein B10d-Wert, wenn das Bauteil mit minimaler Last (= 20 %) betrieben wird (B10d = 20.000.000), zum anderen ein B10d-Wert, wenn das Bauteil mit ma-ximaler Last betrieben wird (B10d = 400.000). Die Bildung von Zwischenwerten ist zulässig, z. B. 7.500.000 (bei 40 % Last), 2.500.000 (bei 60 % Last) oder 1.000.000 (bei 80 % Last).

• Darüber hinaus ist zu beachten, dass für Not-Halt-Befehlsgeräte und Positionsschalter zwangsöffnende Kontakte gemäß EN IEC 60 947-5-x abgefordert sind.

• Voraussetzung für die Anwendung der B10d-Normwerte sind die sogenannten Verfahren guter ingenieurmäßiger Praxis (= Good Engineering Practices), d. h. der Bauteile-Hersteller bestätigt– die Verwendung der grundlegenden und bewährten Sicherheitsprinzipien gemäß EN ISO 13 849-2:2003 oder der entsprechenden Produktnormen für die Konstruktion des Bauteils und– beschreibt die geeignete Anwendung und die Betriebsbedingungen für den Anwender (Stichwort: „Betriebsanleitung“).

• Darüber hinaus muss der SRP/CS-Verantwortliche die grundlegenden und bewährten Si-cherheitsprinzipien gemäß EN ISO 13 849-2:2003 für die Implementierung und den Betrieb des Bauteils einhalten.

• Im Zusammenhang mit verschleißbehafteten Bauteilen gilt es noch eine weitere Besonder-heit zu berücksichtigen, nämlich den sogenannten T10d-Wert als Wert für die vorbeugende Instandhaltung verschleißbehafteter Bauteile durch rechtzeitigen Austausch.

• Sowohl die B10d-Wert- als auch die T10d-Wert-Betrachtung ist sicherlich nicht ganz problem-los, da nicht jeder Maschinenbauer im Voraus weiß, welchen Betriebsbedingungen seine Maschine beim Kunden unterliegen wird. Ggf. gilt es unter Zugrundelegung von Worst-Case-Annahmen zu schätzen und/oder solche Bauteile in den SRP/CS so einzubinden, dass die T10d-Wert-Betrachtung immer zu seriösen > 20 y führt (siehe Stichwort „Mission time“). Hierzu gehört die Betrachtung der Anforderungsrate der Sicherheitsfunktion, z. B. dass ein Not-Halt-Befehlsgerät nicht zu einem Dual-Use-Produkt wird, d. h. zugleich auch als betriebsmäßiger STOP-Taster wirkt (sondern dass dafür dann ein zusätzliches Gerät vorgesehen wird) und die elektrische Last, mit der bestimmte Bauteile betrieben werden, maximal im mittleren Bereich liegt.

• Von Haus aus (normseitig) sind die B10d- und T10d-Werte recht großzügig dimensioniert.

103

(1) Falls Fehler-ausschluss für Zwangsöffnung möglich ist

Internationale Normen, die sich mit MTTFd- oder B10d-Werten für Bauteile befassen (Auszug)

Grundlegende und

bewährte Sicher-

heitsprinzipien nach

ISO 13 849-2:2003

Andere

relevante

Normen

Typische Werte:

MTTFd (Jahre)

B10d

(Zyklus)

Mechanische Bauteile Tabellen A.1 und A.2 – MTTFd = 150

Hydraulische Bauteile Tabellen C.1 und C.2 EN 982 MTTFd = 150

Pneumatische Bauteile Tabellen B.1 und B.2 EN 983 B10d = 20.000.000

Relais und Hilfsschütze mit geringer Last (mechanische Belastung)

Tabellen D.1 und D.2 EN 50 205IEC 61 810IEC 60 947

B10d = 20.000.000

Relais und Hilfsschütze mit maximaler Belastung Tabellen D.1 und D.2 EN 50 205IEC 61 810IEC 60 947

B10d = 400.000

Näherungsschalter mit geringer Last (mechanische Belastung)

Tabellen D.1 und D.2 IEC 60 947EN 1088

B10d = 20.000.000

Näherungsschalter mit maximaler Belastung Tabellen D.1 und D.2 IEC 60 947EN 1088

B10d = 400.000

Schütze mit geringer Last (mechanische Belastung) Tabellen D.1 und D.2 IEC 60 947 B10d = 20.000.000

Schütze mit nominaler Last Tabellen D.1 und D.2 IEC 60 947 B10d = 2.000.000

Positionsschalter, unabhängig von der Lasta Tabellen D.1 und D.2 IEC 60 947EN 1088

B10d = 20.000.000

Positionsschalter (mit separatem Antriebselement, Zuhaltung), unabhängig von der Last(1)

Tabellen D.1 und D.2 IEC 60 947EN 1088

B10d = 2.000.000

Not-Aus-Einrichtungen, unabhängig von der Last(1) Tabellen D.1 und D.2 IEC 60 947ISO 13 850

B10d = 100.000

Not-Aus-Einrichtungen mit maximaler Betätigungs-anzahl(1)

Tabellen D.1 und D.2 IEC 60 947ISO 13 850

B10d = 100.000

Taster (z. B. Freigabetaster), unabhängig von der Last(1) Tabellen D.1 und D.2 IEC 60 947 B10d = 100.000

Badewannenkurve

• Diagramm-Darstellung der Gerätelebensdauer/der Ausfallrate von (typischerweise) elektro-nischen Bauteilen sowie Geräten und Systemen mit konstanten Ausfallraten in Phase II. Die Diagramm-Darstellung ergibt unter Berücksichtigung der Phase I (Frühausfälle) und der Phase III (Lebensdauerende) eine badewannenähnliche Kurve.

Failure rate

Earlyfailures

Failures caused by

wear

Phase of constant failures

Time of operation

• Siehe auch Stichworte „Exponentialverteilung“ und „Ausfallraten“.• Typische Produkte: Elektronische Sicherheitssensoren, optoelektronische Schutzeinrichtun-

gen (AOPD’s), Sicherheits-SPSen, -Bussysteme u. Ä.

104

• Für SRP/CS sind Ausfallraten mit „Badewannenkurven-Verhalten“ aber nicht durchgän-gig anwendbar, weil vielfach Bauteile, Geräte und Systeme mit Technologien zum Einsatz kommen, für die die konstante Ausfallrate in Phase II nicht gilt, z. B. bei Fluidtechnik, Elek-tromechanik und Mechanik. In diesen Fällen ist der Berechnung von MTTFd-Werten eine B10d-Wert-Betrachtung (siehe dort) voranzustellen.

Berechnungen (PL-Berechnungen)

• Es gibt zwei grundsätzliche verschiedene Vorgehensweisen, einen Performance Level PL entsprechend EN ISO 13 849-1:2006 zu berechnen (abzuschätzen):– Vorgehensweise 1 ist die diskrete Betrachtung, d. h. die sicherheitsbezogenen Teile in der Maschinensteuerung werden bestimmt (identifi ziert) und nach der Blockmethode in einem Blockdiagramm strukturiert (siehe Beispiel).

B2

Betriebshalt

Reglerfreigabe

K1

Eingänge

SPSAusgänge

FU

MnG1

SW1B

+ + + L

K1B1

B2 SPS FU

G1

– Für jeden einzelnen Block wird der MTTFd-, DC- und CCF-Beitrag ermittelt und – unter Zugrundelegung bestimmter Formeln und Look-up-Tabellen – zu den jeweiligen Gesamt- werten zusammengefasst. Es folgt eine abschließende Bewertung unter Zugrundelegung der Abbildung „Beziehung zwischen den Kategorien, DCavg, MTTFd jedes Kanals und PL“ der Norm EN ISO 13 849-1:2006 (siehe Stichwort „Säulendiagramm“).– In EN ISO 13 849-1:2006 wird dieses Vorgehen auch als Blockmethode bezeichnet und im Anhang B ausführlich beschrieben. Ein Normbeispiel fi nden Sie in der Broschüre auf Seite 131 ff. beschrieben.– Vorgehensweise 2 ist die Betrachtung von Subsystemen, die bereits mit einem Perfor- mance Level PL (= Sub-PL) ausgewiesen oder berechnet sind und die Anwendung der sogenannten Kombinationstabelle. Maßgeblich für den Gesamt-PL ist grundsätzlich der niedrigste Sub-PL („a“ < „b“ < „c“ < „d“ < „e“) und deren Anzahl (siehe Abbildung Seite 105), d. h. bis zu einer bestimmten Anzahl PLlow bleibt der Gesamt-PL unberührt bzw. ab einer bestimmten Anzahl PLlow gibt es – aufgrund der Summierung von „Restrisiken/Rest- fehlerwahrscheinlichkeiten“ – ein Downgrading um eine Stufe (siehe Normbeispiel). Das Downgrading ist jedoch nicht erforderlich, wenn (im Rahmen einer einfachen Zusatzbe- rechnung) die Aufsummierung der Einzel-MTTFd’s im SRP/CS einen Gesamtwert „high“ (> 30 y) bzw. einen entsprechenden PFHd-Wert ergibt.

105

Berechnung des PL für die Reihenschaltung von SRP/CS

PLniedrig

Nniedrig

➔ PL

a> 3 ➔ kein, nicht erlaubt

≤ 3 ➔ a

b> 2 ➔ a

≤ 2 ➔ b

c> 2 ➔ b

≤ 2 ➔ c

d> 3 ➔ c

≤ 3 ➔ d

e> 3 ➔ d

≤ 3 ➔ e

• Eine ähnliche Vorgehensweise (hier wird mit SILsubsysteme gearbeitet) sieht auch EN IEC 62 061:2005 vor.

• Siehe auch Seite 45 ff. der Broschüre.

Betriebsbewährung

• Im Maschinenbau wenig gebräuchliche Sicherheitsbetrachtung, die sich insbesondere als Ersatzmaßnahme für die Betrachtung systematischer Fehler und Ausfälle versteht.

• Siehe hierzu EN IEC 61 508:2001.

BGIA

• Das BGIA – Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung – ist ein Forschungs- und Prüfi nstitut der gesetzlichen Unfallversicherungsträger in Deutschland. Es hat seinen Sitz in St. Augustin bei Bonn.

• Das BGIA unterstützt die gesetzlichen Unfallversicherungsträger in Deutschland und deren Institutionen schwerpunktmäßig bei naturwissenschaftlich-technischen Fragestellungen im Arbeits- und Gesundheitsschutz durch:– Forschung, Entwicklung und Untersuchung– Prüfung von Produkten und Stoffproben– Betriebliche Messungen und Beratungen– Mitwirkung in der Normung und Regelsetzung– Bereitstellung von Fachinformationen und Expertenwissen

• Darüber hinaus wird das BGIA tätig für Hersteller und Firmen im Rahmen der– Produktprüfung und -zertifi zierung– Zertifi zierung von Qualitätsmanagementsystemen

BGIA-Drehscheibe

• Vom BGIA herausgege-benes Hilfsmittel, das die Beziehungen zwischen PL und PFHd einerseits und MTTFd, DC und CCF andererseits aufzeigt. Im Grundsatz handelt es sich um die Wiedergabe von Anhang K aus EN ISO 13 849-1:2006.

Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

➊

➊

Cat. 4, DC high

30

9,54

PL e

× 10–8

➋

e


106

BGIA-Report 2/08

• Dieser Report mit dem Titel „Funktionale Sicherheit von Maschinensteuerungen – Anwen-dung der DIN EN ISO 13 849“ dient dem tieferen Verständnis von EN ISO 13 849-1:2006.

• Herausgeber des Reports ist das Institut für Arbeitsschutz BGIA der Deutschen Gesetz-lichen Unfallversicherung (DGUV), St. Augustin; der Report steht als Download unter www.dguv.de zur Verfügung oder kann beim BGIA (oder bei uns) als Hardcopy angefordert werden.

• Der Report umfasst rund 260 Seiten und ist dabei in die Kapitel– Vorwort– Einleitung– Report und Norm im Überblick– Sicherheitsfunktionen und ihr Beitrag zur Risiko- minderung– Gestaltung sicherer Steuerungen– Verifi kation und Validierung– Schaltungsbeispiele für SRP/CS– Literatur+ 10 Anhängeaufgeteilt.

• Besonders hervorzuheben sind 37 Schaltungsbei-spiele, wenngleich es sich dabei nicht um „Koch-rezepte“ handelt.

• Siehe auch Seite 73 ff.

CCF (Common Cause Failure), CCF-Maßnahmen, CCF-Management

• Normdefi nition (EN ISO 13 849-1:2006): Ausfälle verschiedener Einheiten aufgrund eines ein-zelnen Ereignisses, wobei diese Ausfälle nicht auf gegenseitigen Ursachen beruhen (sollten nicht verwechselt werden mit gleichartigen Ausfällen).

• Dem CCF liegt eine sehr spezielle Fehlerbetrachtung zugrunde, die darauf abzielt, dass aus-reichende Maßnahmen gegen Fehler getroffen sind, die zur gleichen Zeit auf mehr als einen SRP/CS-Kanal einwirken und damit die Schutzfunktion eines Systems trotz Mehrkanaligkeit unwirksam machen könnten.

• In der Terminologie der Normen EN IEC 62 061:2005 und EN IEC 61 508:2001 wird CCF auch als β-Faktor bezeichnet. An anderen Orten werden diese speziellen Ausfälle auch als „Common-Mode-Ausfälle“ („Common-Mode-Failures“) bezeichnet.

• Ein typisches Beispiel für CCF’s sind Einwirkungen elektromagnetischer Strahlungen, z. B. ein Surge-Impuls, der auf redundant ausgeführte Halbleiter-Ausgänge mit der gleichzeitigen schädigenden Folge einwirkt, dass die Transistoren beider Kanäle nicht mehr abschalten können. Ein anderes Beispiel sind mangelnde Filtermaßnahmen bei fl uidischer Technologie oder Fehler infolge klimatischer Einwirkungen, z. B. Luftfeuchtigkeit.

C

AusfallKanal 1

Commoncause

AusfallKanal 2

107

• EN ISO 13 849-1:2006 listet in Tabelle F.1 handelsübliche CCF-Maßnahmen auf (siehe nach-folgende Abbildung) und bewertet jede Maßnahme mit Punkten. Ergibt die Aufsummierung der Punkte der getroffenen Maßnahmen mehr als 65 Punkte (von max. 100) konzidiert EN ISO 13 849-1:2006, genügend Maßnahmen gegen CCF-Risiken getroffen zu haben, d. h. der Betrachtungspunkt „CCF-Management“ kann abgehakt werden.

• Ausreichende CCF-Maßnahmen müssen immer ab Steuerungskategorie 2 gewährleistet werden.

Verfahren zur Punktevergabe und Quantifi zierung für Maßnahmen gegen CCF

Nr. Maßnahme gegen CCF Punkte-

zahl

1 Trennung/Abtrennung

Physikalische Trennung zwischen den Signalwegen 15

2 Diversität

Unterschiedliche Technologien/Gestaltung oder physikalische Prinzipien werden verwendet

20

3 Gestaltung/Anwendung/Erfahrung

3.1 Schutz gegen Überspannung, Überdruck, Überstrom, usw. 15

3.2 Verwendung bewährter Bauteile 5

4 Beurteilung/Analyse

Sind die Ergebnisse einer Ausfallart und Fehlereffektanalyse berücksich-tigt worden, um Ausfälle aufgrund gemeinsamer Ursache in der Entwick-lung zu vermeiden?

5

5 Kompetenz/Ausbildung

Sind Konstrukteure geschult worden, um die Gründe und Auswirkungen von Ausfällen infolge gemeinsamer Ursache zu verstehen?

5

6 Umgebung

6.1 Schutz vor Verunreinigung und elektromagnetischer Beeinfl ussung (EMC) gegen CCF in Übereinstimmung mit den angemessenen Normen

25

6.2 Andere Einfl üsse: Wurden alle Anforderungen hinsichtlich Unempfi ndlich-keit gegenüber allen relevanten Umgebungsbedingungen wie Temperatur, Schock, Vibration, Feuchte (z.B. wie in den zutreffenden Normen festgelegt) berücksichtigt?

10

• Aus der Tabelle wird ersichtlich, dass es bei einfachen Einzelgeräten nur bedingt möglich ist, im Voraus die CCF-Punkte vollständig zu bestimmen, da insbesondere die Betrach-tungseinheiten 1 und 2 Gestaltungsspielraum unseres Kunden sind. Die Betrachtungsein-heiten 3 ff. sind dagegen überwiegend konstruktionsbedingt und gerätespezifi sch, bringen aber bereits die nötigen 65 Mindestpunkte für einfache Einzelgeräte.

CCF-Management/-Maßnahmen

• Siehe oben!

108

(Type-) C-Normen

• Diese Normen, die sich mit den konkreten sicherheitstechnischen Anforderungen bei den einzelnen Arten von Maschinen (Werkzeugmaschinen, Bearbeitungszentren, Verpackungs-maschinen etc.) beschäftigen, müssen auf die neue Normenlage umgestellt werden. D. h. sind hier für die Ausführung bestimmter Sicherheitsfunktionen Steuerungskategorien festgelegt, gilt es, dass die jeweiligen Normensetzer sie auf den erforderlichen Performance Level (= PLr) umstellen.

• In Anbetracht mehrerer 100 C-Normen, die es zwischenzeitlich gibt, dürfte aber nicht damit gerechnet werden können, dass dies kurzfristig (innerhalb der nächsten Monate) erfolgen kann. Insofern muss der SRP/CS-Verantwortliche zunächst einmal selbst die Umstellung SK → PLr vornehmen. Möglicherweise sorgt aber das Inkrafttreten der neuen EG-Maschinen-Richtlinie 2006/42/EG hier für einen beschleunigteren Ablauf.

• Teils kann die Umstellung SK → PLr schematisch vorgenommen werden, teils müssen aber auch noch einmal die Risikoparameter S, F und P (siehe Stichwort „Risikograf“ gemäß EN ISO 13 849-1:2006) zu Rate gezogen werden, und zwar dort, wo die jetzige Risikograf-Betrachtung zu zwei alternativ anwendbaren Steuerungskategorien führt. Künftig gibt es solche Zweideutigkeiten nicht mehr.

• Denkbar wäre es aber auch, dass einige C-Normensetzer neben der Festlegung eines PLr weiterhin eine Steuerungskategorie zusätzlich abfordern, weil sie nicht damit einverstanden sind, dass es in Zukunft möglich ist, bisherige 2-kanalige Strukturen durch 1-kanalige Struk-turen mit entsprechend hohen MTTFd- und/oder DC-Werten zu ersetzen.

• (Type-) C-Normen bilden in der Normenmatrix zur Maschinensicherheit – oberhalb der Ebenen der sogenannten A- und B-Normen – eine eigene Ebene. (Type-) A-Normen legen dabei die grundlegenden Anforderungen an die Maschinensicherheit fest (Gestaltungsleit-sätze, Risikobeurteilung etc.). (Type-) B-Normen betreffen in der Untergruppe B1 ergänzend die verschiedenen Sicherheitsaspekte (Sicherheitsabstände, Körpermaße etc.) und in der Untergruppe B2 die Anforderungen an Schutzeinrichtungen (Verriegelungseinrichtungen, AOPD’s etc.).

Designated Architectures

• Siehe Stichworte „Architekturen“ und „Steuerungskategorien“

Diagnosedeckungsgrad DC

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“ sowie Seite 32 f. und Seite 68 f.

Diagnostic Coverage DC

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“ sowie Seite 32 f. und Seite 68 f.

Ergebnisgrafi k PL

• Siehe a.a.O. und Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

Exponentialverteilung

• Die Exponentialverteilung ist eine stetige Wahrscheinlichkeitsverteilung über der Menge der positiven reellen Zahlen und eine typische Lebensdauerverteilung; sie wird zum Beispiel – ausgedrückt in MTTF oder MTBF – für die Abschätzung der Lebensdauer von Bauteilen, Geräten etc. benutzt, wenn Alterungserscheinungen (sprich Verschleiß) nicht berücksichtigt zu werden brauchen.

D

E

109

• Für verschleißbehaftete Bauteile, Geräte etc. gilt eine vorgeschaltete B10d-Wert-Betrachtung.• Ein MTTFd-Wert nimmt an/bedeutet, dass

– 63 % aller Einheiten gefährlich ausgefallen sind– 37 % aller Einheiten noch korrekt arbeiten

• EN ISO 13 849-1:2006 unterteilt MTTFd-Werte pro Kanal in drei Gruppen:

F

nicht akzeptier-bar

MTTFd =MTTFd =MTTFd =MTTFd =

= 30% Ausfälle nach 1 Jahr= 10% Ausfälle nach 1 Jahr= 3% Ausfälle nach 1 Jahr= 1% Ausfälle nach 1 Jahr

3 y10 y30 y

100 y

gefä

hrlic

he A

usfä

lle [%

]

100%

80%

60%

40%

20%

0%0 5 10 15 20 25 30

Zeit [Jahre]

nicht akzeptierbar

niedrig

mittel

hoch

Fehleraufdeckungsgrad DC

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“ sowie Seite 32 f. und 68 f.

Fehlerausschluss

• Der Fehlerausschluss ist ein Kompromiss zwischen den technischen Sicherheitsanforde-rungen (der notwendigen Fehlerbetrachtung) und der theoretischen Möglichkeit des Auftre-tens eines Fehlers.

• Wie der Name schon sagt, werden bestimmte Ausfall- bzw. Fehlerfälle bei der sicherheits-technischen Bewertung (bei der Fehlerbetrachtung) eines SRP/CS ausgeschlossen (es wird nicht angenommen/es darf angenommen werden, dass sie eintreten).

• Fehlerausschlüsse erlauben mithin – teils wesentliche – Vereinfachungen bei der Gestaltung der Architektur eines SRP/CS, z. B. bei Fragen nach der Notwendigkeit einer redundan-ten Ausführung oder bei Fragen nach der Ausführung der Verbindungsleitungen in einem SRP/CS, jedoch darf von der Fehlerausschlussmöglichkeit nicht willkürlich und subjektiv Gebrauch gemacht werden. Vielmehr bedarf es eines qualifi zierten Nachweises und einer schriftlichen Dokumentation der entsprechenden Überlegungen.

• Zu unterscheiden ist, ob sich Fehlerausschlüsse auf den anerkannten Stand der Technik abstützen oder individuell (und ohne die Rückendeckung durch diesen Stand der Technik) gemacht werden.

• Auf dem Gebiet der Maschinensicherheit werden die Anhänge A bis D von EN ISO 13 849-2:2003 als maßgeblicher Stand der Technik betrachtet. Hier werden – je nach Technolo-gie, d. h. ob Mechanik, Hydraulik, Pneumatik und Elektrik – festgelegt, welche Fehleraus-schlüsse ohne Weiteres zulässig sind, welche nur unter bestimmten Umständen zulässig und welche nicht zulässig sind.

110

• Die Möglichkeit von Fehlerausschlüssen beschreibt EN ISO 13 849-1:2006 wie folgt: Der Fehlerausschluss kann basieren auf:– der technischen Unwahrscheinlichkeit des Auftretens einiger Fehler,– der allgemeinen anerkannten technischen Erfahrung, unabhängig von der betrachteten Anwendung, und– den technischen Anforderungen in Bezug zur Anwendung und der speziellen Gefährdung.

• Wenn Fehler ausgeschlossen werden, muss eine genaue Begründung in der technischen Dokumentation gegeben werden.

• Für Fehlerausschlüsse gilt dabei folgende Grenzziehung: Die Kombination sicherheitsbe-zogener Teile einer Steuerung beginnt an dem Punkt, an dem sicherheitsbezogene Signale erzeugt werden (einschließlich zum Beispiel Betätiger und Rolle eines Positionsschalters) und endet an den Ausgängen der Leistungssteuerelemente (einschließlich z. B. Hauptkon-takte eines Schützes).

• Siehe auch Seite 29 ff.

Fehlerausschluss bei handbetätigten Geräten

• Not-Halt-Befehlsgeräte, Zustimmungsschalter u. Ä.: siehe Seite 29 ff.

Fehlerausschluss bei Verriegelungseinrichtungen

• Physische vs. elektrische 2-Kanaligkeit von Überwachungsschaltern bei Verriegelungen beweglicher Schutzeinrichtungen: siehe Seite 29 ff.

Fehlerausschluss: Leitungsebene

• EN ISO 13 849-1:2006 geht bevorzugt davon aus, dass für die Leitungsebene in einem SRP/CS ein Fehlerausschluss gemacht werden kann.

• Die Anforderungen an einen Fehlerausschluss sind dabei wie folgt:

Fehlerannahme Fehlerausschluss

Kurzschluss zwischen zwei beliebigen Leitern

Kurzschlüsse zwischen Leiter,– die dauerhaft (fest) verlegt und gegen

äußere Beschädigung geschützt sind (z. B. durch Kabelkanal, Panzerrohr) oder

– in unterschiedlichen Mantelleitungen, oder– innerhalb eines elektrischen Einbauraumes1,

oder– die einzeln durch eine Erdverbindung ge-

schützt sind.

Kurzschluss zwischen einem beliebigen Leiter und einem ungeschützten leitenden Teil oder der Erde oder einer Schutzleiter-verbindung

Kurzschlüsse zwischen Leiter und jedem ungeschützten leitenden Teil innerhalb eines Einbauraumes(1).

Unterbrechung eines Leiters Nein

(1) Voraussetzung ist, dass sowohl die Leitungen als auch der Einbau-raum den jeweili-gen Anforderun-gen entsprechen (siehe EN 60 204-1 [IEC 60 204-1]).

• Anderenfalls empfehlen wir unseren Kunden eine Signalverarbeitung mit zusätzlicher Quer-schlussüberwachung!

111

Fehleraufdeckung (extern)

• Werden einfache Einzelgeräte innerhalb eines SRP/CS eingesetzt, obliegt die Fehlerauf-deckung anderen – den einfachen Einzelgeräten vor- und nachgeordneten – Teilen im SRP/CS (im Regelfall der Signalverarbeitung im Logikteil oder speziellen Testeinrichtungen).

• Notwendigerweise muss in diesen Fällen bekannt sein, welche fehleraufdeckenden Maß-nahmen hier wirken und – selbstverständlich – müssen die einfachen Einzelgeräte korrekt, z. B. in die Logik eingebunden sein (zum Beispiel nachgeordnete Leistungsschütze – mit vorzugsweise zwangsgeführten Kontakten – per Rückführkreis).

• Ggf. muss man sich erkundigen, welche fehleraufdeckenden Maßnahmen, z. B. im Logikteil bezogen auf die vor- und nachgeordneten Teile des SRP/CS wirken. Am besten bedient man sich des Anhangs E von EN ISO 13 849-1:2006 (siehe auch Seite 68 f.) Darüber hinaus müssen auch alle Anforderungen an die Steuerungskategorien eingehalten werden, z. B. die Anforderungen an Leitungsverlegung u. Ä.

• Gedanklich bildet man dann sein eigenes Subsystem bzw. Teilsystem.• Siehe auch Seite 32 f.• Beim Einsatz von Sicherheits-Relais-Bausteinen, sofern sie für SK 4, PL „e“ bzw. SIL 3

ertüchtigt sind, kann für die Eingangsebene ein Diagnosedeckungsgrad von 99 % ange-nommen werden (Tabelle E-Maßnahme: Überwachung elektromechanischer Einheiten durch Zwangsführung). Auf der Ausgangsebene ist der Diagnosedeckungsgrad jedoch im Wesentlichen von der Art des Aktors abhängig.

Querschluss

Sensor A

Sensor B

• Erfolgt beispielsweise die Überwachung eines Leistungsschützes mit zwangsgeführten Kontakten per Rückführkreis, können 99 % DC ebenfalls erreicht werden.

• Von 99 % Diagnosedeckungsgrad auf der Eingangsebene (hier aufgrund des sogenannten kreuzweisen Datenvergleichs) kann auch bei Sicherheits-SPSen, Sicherheits-Bussystemen u. a. ausgegangen werden (sofern ebenfalls SK 4-, PL e- bzw. SIL 3-ertüchtigt). Für die Aus-gangsebene gilt das vorher genannte (siehe: Sicherheits-Relais-Bausteine).

• ACHTUNG: Die vorgenannten Ausführungen gelten nicht für alle Gemengelagen, z. B. nicht bei Reihenschaltungen elektromechanischer Sicherheitsschaltgeräte, weil bestimmte Fehler, die innerhalb dieser Kette auftreten können, von der Logik nicht immer erkannt werden kön-nen. Für einen Diagnosedeckungsgrad von 99 % müssen die Geräte hier 1:1 eingebunden werden oder es bedarf anderer zusätzlicher Maßnahmen (z. B. externer Testeinrichtungen).

• Informationen zur Fehleraufdeckung bei Reihenschaltungen, insbesondere bei Reihenschal-tungen elektromechanischer Geräte: siehe Seite 32 f.

Good Engineering Practices (GEP)

• Originär Begriffl ichkeit aus Planung und Betrieb von Pharmaanlagen. Im Sinne von EN ISO 13 849-1:2006 ist damit insbesondere gemeint, bei der Gestaltung von SRP/CS– die Anforderungen der jeweiligen Produktnormen (siehe Tabelle D.2 in EN ISO 13 849- 1:2006)– die Anforderungen der A-Normen (EN ISO 12 100-1/-2, EN ISO 14 121-1/-2)– sowie der grundlegenden und bewährten Sicherheitsprinzipien sowie – in SK 1 – die Verwendung sicherheitstechnisch bewährter Bauteile (Anhänge A bis D von EN ISO 13 849-2:2003)zu berücksichtigen.

G

112

• Darüber hinaus gehört zu den GEP’s die geeignete Geräteauswahl im Hinblick auf die An-wendungs- und Umgebungsbedingungen und die Berücksichtigung von Herstellerangaben (Stichwort: „Betriebsanleitung“).

• Hintergrund ist die Vermeidung systematischer Fehler und Ausfälle, die nicht (kaum) von den Gestaltungsmerkmalen, die die Höhe eines PL’s (oder SIL’s) ausmachen, beeinfl usst werden.

• Siehe hierzu auch Stichwort „Ausfälle“.

Hardware-Zuverlässigkeit MTTFd

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

Inkrafttreten

• EN ISO 13 849-1:2006 ist bereits seit Herbst 2006 in Kraft, ebenso bereits in Kraft: IEC EN 62 061:2005, jedoch kann EN 954-1:1996 (bzw. ISO 13 849-1:1999) noch bis Dezember 2009 (mit Konformitätsvermutung zur EG-Maschinenrichtlinie) angewendet werden.

• Siehe ergänzend Stichwort „Übergangsfrist“

Kappung/Kappungsgrenze

• Gemeint ist damit, dass für einen Gesamt-PL mit nicht mehr als 100 y MTTFd gerechnet werden darf (um zu blockieren, dass man sich allein über eine MTTFd-Wert-Betrachtung „schön“ – sprich in höhere PL’s als „c“ – hinein rechnen kann). Innerhalb eines Kanals ist das Rechnen mit höheren Werten als 100 y MTTFd möglich und – bei längeren Reihenschal-tungen – teils auch zwingend erforderlich.

• Siehe hierzu auch Anmerkung (Fußnote) zum Software-Tool SISTEMA auf Seite 23.

Kompatibilität SIL ↔ PL/PL ↔ SIL

• Da beiden neuen SRP/CS-Normen EN IEC 61 508-2001 Pate gestanden hat, sind SIL- und PL-Angaben zueinander kompatibel, d. h. ein PL kann schematisch als SIL und ein SIL schematisch als PL ausgedrückt werden. Gemeinsamer Bemessungsmaßstab ist dabei die Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde (PFHd) wie folgt:

H

I

K


EN ISO 13849-1:2006

PL

SILIEC 62061:2005/IEC 61508:2001

a

Absicherung

niedriger Risiken

Absicherung

hoher Risiken

b c d e

1 no special

safety

requirements

2 3

10–810–5

3 × 10–610–6 10–710–4

• Das vorgenannte Schema gilt gesamthaft, kann aber auch für Subsysteme bzw. Teilsysteme verwendet werden. Dies hat dann insbesondere den Vorteil, dass beispielsweise SIL-quali-fi zierte Geräte in PL-Betrachtungen nach EN ISO 13 849-1:2006 einbezogen werden können und umgekehrt auch PL-qualifi zierte Geräte in SIL-Betrachtungen nach EN IEC 62 061:2005.

113

• Rechnet man ohne die Kombinationstabelle (Tabelle 11 gemäß EN ISO 13 849-1:2006) gilt die Empfehlung, dass für Subsysteme je max. 20 % für I und L des Gesamt-PFHd’s ver-braucht werden sollen, damit > 60 % für die O -Ebene (erfahrungsgemäß das „schwächste“ Glied in der Kette) zur Verfügung stehen.

• Anmerkung: Für die Umrechnung von MTTFd-Werten in PFHd-Werte und umgekehrt: siehe Stichwort „Anhang K“ von EN ISO 13 849-1:2006.

Leitungsebene

Siehe Fehlerausschluss „Leitungsebene“

Literatur

• Zu EN ISO 13 849-1:2006 und EN IEC 62 061:2005 gibt es zwischenzeitlich eine Vielzahl von Literatur, die sowohl von Verlagen als auch – hier teils unentgeltlich – von Sicherheitsbau-teile-Herstellern herausgegeben wird.

• Mit zu den ersten (und nach wie vor mit zu den umfänglichsten) Informationen gehörte un-sere Infobroschüre „Neuer Ansatz für die Sicherheit von Maschinen: EN ISO 13 849-1:2006 – SRP/CS“, die als Download unter www.schmersal.com (Link: „Sicherheit und Normen“) zur Verfügung steht.

• Weiterhin gibt es Erläuterungen zur Anwendung der Normen EN 62 061 und EN ISO 13 849-1 in einer ZVEI-Broschüre als Verbandswerk des Fachbereichs Automation der Elektro- und Elektronikindustrie Deutschlands (Download unter www.zvei.org).

• Last, but not least, sei auf den BGIA-Report 2/08 zum Thema (siehe dort) verwiesen.

L

Neuer Ansatz für die Sicherheit von Maschinen:EN ISO 13 849-1:2006 – Sicherheitsbezogene Teile von Steuerungen

Category

S1

B1234

S2

F1P1

P2

P1

P2P2 F2

Niedriges

Risiko

Ausgangspunkt

zur Einschätzung

der Risikominderung

Performance-

Level PLr

Erforderlicher

S1

F1FF

F2FF

F1FF

P1

a

b

c

dd

P2PP

P1

PP

P1

P2P

Sicherheit von Maschinen

Erläuterungen zur Anwendung der Normen EN 62061 und EN ISO 13849-1

Automation

Low Demand Mode

• Siehe PFD

114

Maschinen-Richtlinie (MRL)

• Die EG-Maschinen-Richtlinie MRL bildet die gesetzliche Grundlage für die Anforderungen an die funktionale Maschinensicherheit in der Europäischen Union sowie in den Rest-EFTA-Ländern Island, Liechtenstein, Norwegen und Schweiz sowie – den beabsichtigten EU-Bei-tritt vorwegnehmend – in der Türkei.

• Wie bei allen Richtlinien der EU muss auch der Inhalt der MRL in jeweiliges nationales Recht umgesetzt werden. Im Falle der MRL geschieht dies in Deutschland unter dem Dach des Geräte- und Produktsicherheitsgesetzes GPSG in Form der sogenannten Maschinen-verordnung (= 9. GPSG-VO).

• Aus den Allgemeinen Grundsätzen (Stich-wort: „Gefahrenanalyse“ bzw. in Zukunft „Risikobeurteilung, Risikominderung“) sowie den Anforderungen in Ziffer 1.2.1 (Stichwort: „Sicherheit und Zuverlässigkeit von Steuerungen“) im MRL-Anhang I(1) leitet sich die Notwen-digkeit sicherheitsbezogener Teile von Steuerungen (= SRP/CS) ab.

• Die Notwendigkeit für SRP/CS wird in Ziffer 9.4 „Steuerfunktion im Fehlerfall“ von EN IEC 60 204-1:2005(2) weiter konkretisiert und schlussendlich (in Bezug auf die konkrete Ausgestaltung) in die „Zuständigkeit“ von EN ISO 13 849-1:2006 und EN IEC 62 061:2005 verwiesen. Das abgestufte Konzept basiert dabei auf den allgemeinen Grundsätzen der MRL.

Mission Time (Lebensdauer)

• Die wahrscheinlichkeits-mathematischen Modelle hinter EN ISO 13 849-1:2006 gehen von einer sogenannten Mission Time von 20 Jahren aus. Eine Ausnahme davon bildet die B10d-Wert- bzw. T10d-Wert-Betrachtung im Hinblick auf einen etwaig notwendigen vorbeugenden Geräteaustausch. Sogenannte Proof-Tests, Proof-Test-Intervalle u. Ä. spielen im Hinblick auf PL und SIL im Maschinenbau dagegen weniger eine Rolle.

MTTFd-Hardware-Zuverlässigkeit

• Siehe a.a.O. (Stichwörter „Ausfallrisiken“, „Badewannenkurve“ u. a.) und auch Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

NORMEN

(Type-) A-, B- und C-Normen

• Siehe C-Normen

EN 954-1:1996

• Diese von Anfang an umstrittene Norm zum Thema SRP/CS wird im Dezember 2009 zu-rückgezogen.

• Nachfolgenorm: EN ISO 13 849-1:2006

EN 954-2

• Siehe EN ISO 13 849-2:2003

M

(1) Siehe MRL 2006/42/EG gültig ab 29.12.2009 bzw. zurzeit gültige MRL 98/37/EWG

(2) Elektrische Aus rüstung von Ma schinen; Be-zugsquelle: Beuth-Verlag, Berlin

N

115

EN ISO 13 849-1:2006

• Neue B1-Norm zum Thema: „Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allge-meine Gestaltungsleitsätze“

• Deutsche Fassung: DIN EN 13 849-1:2008; Bezugsquelle: Beuth-Verlag GmbH, Berlin, www.beuth.de

• Seit Mai 2007 unter dem Dach der EG-Maschinenrichtlinie gelistete (harmonisierte) Norm mit Vermutungswirkung.

• Löst EN 954-1:1996 (ISO 13 849-1:1999) ab (wird im Dezember 2009 zurückgezogen).• Wesentliche Änderungen:

– Performance Level (löst die ausschließliche Betrachtung von Steuerungskategorien ab).– Bezieht Entwicklung und Anwendung sogenannter Programmierbarer Elektronischer Systeme mit Sicherheitsfunktion (PES) in die SRP/CS-Technologien ein.– Erweitert (über einen eigenen Anhang G) die Betrachtung zur Beherrschung und Vermei- dung systematischer Ausfälle und Fehler.

• Alternative Norm zu EN ISO 13 849-1:2006 (für Teilbereiche): EN IEC 62 061:2005

EN ISO 13 849-2:2003

• Ursprünglich als Teil 2 von EN 954 auf den Weg gebrachte Norm mit dem Schwerpunkt „Validierung von SRP/CS“ (Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung)

• Deutsche Fassung: DIN EN ISO 13 849-2:2003-12;Bezugsquelle: Beuth-Verlag GmbH, Berlin, www.beuth.de

• Ist weiterhin in Kraft (wird jedoch zurzeit überarbeitet) und ergänzt nun EN ISO 13 849-1:2006.

• Die Norm hat bei der Gestaltung und Auslegung von SRP/CS auch nach Inkrafttreten des neuen Teils 1 in Form von EN ISO 13 849-1:2006 nach wie vor ihre Bedeutung.

• Besondere Bedeutung kommt ihr dabei im Hinblick auf zulässige Fehlerausschlüsse sowie die Aufl istung grundlegender und bewährter Sicherheitsprinzipien sowie sicherheitstech-nisch bewährter Bauteile zu (siehe technologie-bezogene Anhänge A bis D).

EN IEC 62 061:2005

• Neue B1-Norm zum Thema: „Funktionale Sicherheit sicherheitsbezogener elektrischer, elek tronischer und programmierbarer elektronischer Steuerungssysteme (E/E/PES-Sys-teme)“

• Aus EN (IEC) 61 508:2001 abgeleitete sektorspezifi sche Norm für den Maschinenbau.• Deutsche Fassung: DIN EN 62 061 (VDE 0113-50):2005-10;

Bezugsquelle: Beuth-Verlag GmbH, Berlin, www.beuth.de• Seit Dezember 2006 unter dem Dach der EG-Maschinenrichtlinie gelistete (harmonisierte)

Norm mit Vermutungswirkung.• Versteht sich als Alternative zu EN 954-1:1996 und – insbesondere für komplexere E/E/PES-

Systeme – auch als Alternative zu EN ISO 13 849-1:2006.• Wesentliche Inhalte:

– Betrachtet sicherheitsbezogene elektrische Steuerungssysteme (SRECS) und Safety Integrity Levels (SIL).– Spiegelt für den Maschinenbau die Anforderungen von EN (IEC) 61 508:2001 wider, jedoch in einer vereinfachten Form.

• Siehe hierzu auch Stichwort „EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich)“.

EN IEC 61 508:2001

• Sogenannte Basic Safety Publication (Sicherheits-Grundnorm) zum Thema: „Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer Systeme“ – Teile 1 bis 7 (= 370 Seiten)

116

• Deutsche Fassung: DIN EN 61 508-x:2001 (x = Teile 1 bis 7); Bezugsquelle: Beuth-Verlag GmbH, Berlin, www.beuth.de

• Ursprüngliche IEC-Norm 1508 (1998 + Änderungsschleife 2000); wurde 2001 ins Europäi-sche Normenwerk übernommen, aber ohne Harmonisierung unter dem Dach der EG-Ma-schinenrichtlinie.

• Der Geltungsbereich der Norm erstreckt sich über alle Lebensphasen eines Produkts/Sys-tems und betrachtet den sogenannten Sicherheitslebenszyklus (beginnend mit dem Kon-zept bis hin zur Deinstallation). Gegenstand der Betrachtung sind alle Arten sicherheitsre-levanter Systeme (fehlertolerante Systeme, Shut-down-Systeme etc.) und risikomindernder Maßnahmen im Fehler- bzw. Versagensfall bis hin zu katastrophalen Risiken. Zum Hinter-grundverständnis: Anstoß zum Entstehen dieser Norm hat das Giftgasunglück in Seveso gegeben.

• Die Wirksamkeit der Maßnahmen wird in einem Safety Integrity Level (SIL) ausgedrückt, dessen Berechnung auf komplexen mathematischen Modellbildungen mit einem hohen wis-senschaftlichen Anspruch beruht. Vor diesem Hintergrund sind auch die sogenannten sek-torspezifi schen Normen entstanden, die die Normanforderungen von EN IEC 61 508:2001 in einer vereinfachten Form auf den Bedarf der jeweiligen Zielgruppe herunter brechen.

Chemicaland Process

branch

Powerstationbranch

Machinerybranch

Medicalbranch

… branch

• Sehr vereinfacht ausdrückt ist EN IEC 61 508:2001 der Archetyp sicherheitsgerichteten Zuverlässigkeits-Engineerings und hat auch EN ISO 13 849-1:2006 Pate gestanden.

EN ISO 13 849-1:2006 ↔ EN IEC 62 061:2005 (Vergleich)

• Beide Normen sind unter dem Dach der EG-Maschinenrichtlinie gelistete (harmonisierte) Normen mit Vermutungswirkung.

• Unglücklicherweise gibt es zwischen den beiden Normen Schnittmengen (sprich Doppel-regelungen). D. h. beide Normen beschäftigen sich mit der Gestaltung von SRP/CS, wenn dafür elektrische, elektronische und programmierbare elektronische Technologien ein-gesetzt werden (EN ISO 13849-1:2006 in Form eines Performance Levels und EN IEC 62 061:2005 in Form eines Safety Integrity Levels).

117

• Hintergrund für die Schnittmengen ist, dass die eine Norm auf ISO-Ebene und die andere Norm auf IEC-Ebene entstanden ist (auf europäischer Ebene auf CEN- bzw. CENELEC-Ebene). Dabei nimmt der Normensetzer auf ISO-Seite für sich in Anspruch, dass auch EN 954-1:1996 bereits eine ISO-Norm gewesen ist und reklamiert für sich insofern auch die Zuständigkeit für die Revision der Norm (sprich der Normnachfolge), während die Normen-setzer auf IEC-Seite unter Bezugnahme auf die Basic Safety Publication EN IEC 61 508:2001 die Zuständigkeit für die sogenannten E/E/PES-Technologien bei sich sehen.

• Eine klare Abgrenzung gibt es bei den Technologien Mechanik, Hydraulik, Pneumatik und verschleißbehafteter Elektrik (hierfür enthält ausschließlich EN ISO 13 849-1:2006 dezidierte Regelungen) einerseits und bei Architekturen, die sich signifi kant von den in den EN 13 849-1:2006 vorgesehenen Architekturen (sprich den Steuerungskategorien) unterscheiden (hierfür ist EN IEC 62 061:2005 „zuständig“, jedoch bei sehr häufi gen Querverweisen auf EN EN IEC 61 508:2001). Darüber hinaus gibt es für die PES-Entwicklung mit Performance Level „e“ einen Zuständigkeitsverweis auf EN IEC 62 061:2005/61508:2001, sofern keine diversitär erstellte Software verwendet wird. Ansonsten empfehlen wir unseren Kunden klar EN ISO 13 849-1:2006.

• Grund für die Empfehlung ist, dass EN ISO 13 849-1:2006 konsequent darauf abzielt, die Verkomplizierung, die sich aus der Umstellung auf den Perfomance Level ergibt, für den Anwender im Maschinenbau so weit wie möglich zu vereinfachen (der „Preis“ dafür ist, sich dann aber nur im Rahmen der vorgesehenen Architekturen bewegen zu dürfen), während EN IEC 62 061:2005 mehr Optionen anbietet (aber unter häufi ger Bezugnahme auf EN IEC 61 508:2001). Der Vereinfachungsgedanke in EN IEC 62 061:2005 im Vergleich zu EN IEC 61508:2001 ist dabei, SRP/CS mittels Subsystemen zu realisieren.

• Nichtsdestotrotz sind beide Normen zueinander kompatibel; sie können wahlweise oder kombiniert angewendet werden.

EN ISO 13 849-1 / EN IEC 62 061:2005 (Vergleich zu EN 954-1:1996)

• Die Verkomplizierung einmal außen vorgelassen, ist klarer Vorteil der beiden neuen SRP/CS-Normen, dass es künftig mehr Gestaltungsspielräume für den Anwender gibt. So gibt es beispielsweise in EN ISO 13 849-1:2006 beim PL „c“ 5, ggf. 6 verschiedene Gestaltungs-möglichkeiten. In der Vergangenheit wäre es nur SK 2 gewesen.

Performance Level (PL) PL „a“ PL „b“

Designated Architecture (SK) SK B SK 2 SK 2 SK 3 SK 3Bauteilequalität (MTTFd) niedrig niedrig mittel niedrig niedrigFehleraufdeckung (DC) niedrig niedrig mittel niedrigCCF-Management Ja! Ja! Ja! Ja!

Performance Level (PL) PL „c“

Designated Architecture (SK) SK 1 SK 2 SK 2 SK 3 SK 3Bauteilequalität (MTTFd) hoch hoch mittel mittel niedrigFehleraufdeckung (DC) niedrig mittel niedrig mittelCCF-Management Ja! Ja! Ja! Ja!

Performance Level (PL) PL „d“ PL „e“

Designated Architecture (SK) SK 2 SK 3 SK 3 SK 4Bauteilequalität (MTTFd) hoch hoch mittel/hoch(1) hochFehleraufdeckung (DC) mittel niedrig mittel hochCCF-Management Ja! Ja! Ja! Ja!

(1) Bei MTTFd „sehr hoch“ PL „e“

118

Abgerundet in sicherer Richtung:


Kategorie BDCavg =

0

Kategorie 1DCavg =

0




+ CCF



a

b

c

d

e

10–4

10–5

3 × 10–6

10–6

10–7

10–8

PL

PFH (1/h)

• Hinzu kommt als Unterscheidung zu EN 954-1:1996 der Einbezug der Entwicklung und An-wendung von PES-Systemen (SiSPSen, Sicherheits-Bussysteme etc.) sowie die dezidiertere Betrachtung systematischer Fehler (einschl. CCF).

Parts-Count-Methode

• Siehe „Addition von Ausfallwahrscheinlichkeiten“

Performance Level

• Siehe a.a.O. (Stichwort „Berechnungen“ u. a.) und auch Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

PFD (Probability of Failure on Demand)

• Betrachtung aus EN IEC 61 508-1/-7:2001• Wahrscheinlichkeit der Sicherheitsintegrität eines SRP/CS, wie er für die Prozess- und

Verfahrenstechnik typisch ist. Der PFD-Wert ist das Pendant zum PFHd-Wert für die Fabrik-automatisierung.

• Die Unterscheidung liegt darin begründet, dass die Häufi gkeit der Anforderung der Sicher-heitsfunktion signifi kant unterschiedlich ist. Im sogenannten Low Demand Mode (typisch für die Prozess- und Verfahrenstechnik) wird die Sicherheitsfunktion sehr selten (nicht häufi ger als einmal pro Jahr) angefordert. Ein typisches Beispiel sind Notabschaltsysteme, die erst dann aktiv werden, wenn ein Prozess außer Kontrolle geraten ist. Dies tritt normalerweise immer seltener als einmal pro Jahr auf. Dem steht der sogenannte High Demand Mode (mit den PFHd-Werten) gegenüber, d. h. die Sicherheitsfunktion wird häufi g(er) bzw. kontinuierlich (= mehr als einmal pro Jahr) angefordert.

• Die SIL-Einteilung im Low Demand Mode ist dabei wie folgt(1):

SIL PFD Max. akzeptierter Ausfall des SIS

1 ≥ 10–2 bis < 10–1 1 gefährlicher Ausfall in 10 Jahren

2 ≥ 10–3 bis < 10–2 1 gefährlicher Ausfall in 100 Jahren

3 ≥ 10–4 bis < 10–3 1 gefährlicher Ausfall in 1.000 Jahren

4 ≥ 10–5 bis < 10–4 1 gefährlicher Ausfall in 10.000 Jahren

P

(1) SIL 4 betrifft Sicherheitsfunk-tionen mit dem Risiko mehrerer Toter und katas-trophale Auswir-kungen und wird im Maschinenbau (in der Fabrikauto-matisierung) nicht betrachtet.

119

PL-Ergebnisgrafi k

• Siehe auch Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

PL – Performance Level

• Siehe a.a.O. (Stichwort „Berechnungen“ u. a.) und auch Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

PLr = required

• Normdefi nition (EN ISO 13 849-1:2006): Angewandter Performance Level (PL), um die erfor-derliche Risikominderung für jede Sicherheitsfunktion zu erreichen.

• Es handelt sich sozusagen um die Ermittlung des SOLL-Zustands aufgrund der Risikobeur-teilung einer Sicherheitsfunktion. Realisiert werden muss demzufolge ein PL ≥ PLr.

• Der PLr ergibt sich aus der jeweiligen C-Norm oder aus einer Risikograf-Betrachtung der Sicherheitsfunktion, d. h. abhängig von der vermutlichen Verletzungsschwere im Fehlerfall, der Häufi gkeit und/oder Dauer im Gefahrenbereich und der Möglichkeit, sich durch per-sönliche Reaktion einer Gefahr zu entziehen, ergibt sich der für eine Sicherheitsfunktion zu erreichende Performance Level („a“, „b“, „c“, „d“ oder „e“).

• Siehe Stichwort „Risikograf-Betrachtung gemäß EN ISO 13 849-1:2006“.

HohesRisiko

NiedrigesRisiko

Ausgangs-punkt zur Einschätzungder Risikominderung

Performance-Level PLr

Erforderlicher

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

S Schwere der Verletzung

S1 leichte (üblicherweise reversible Verletzung) S2 ernste (üblicherweise irreversible Verletzung einschließlich Tod)

F Häufi gkeit und/oder Dauer

der Gefährdungsexposition

F1 selten bis weniger häufi g und/ oder die Zeit der Gefährdungs- exposition ist kurz F2 häufi g bis dauernd und/oder die Zeit der Gefährdungs- exposition ist lang

P Möglichkeit zur Vermeidung

der Gefährdung oder

Begrenzung des Schadens

P1 möglich unter bestimmten Bedingungen P2 kaum möglich

• Risikograf-Betrachtung: PLr (required)• Defi nition F2: → 1 × pro Stunde• Eindeutige PLr’s

Proof-Test/Proof-Test-Intervall

• Wiederholungstest/Wiederkehrende Prüfung von SRP/CS, die zur Erkennung von Fehlern ausgeführt wird, so dass – falls notwendig – das System in einen „Wie-Neu-Zustand“ ge-bracht oder so nah wie praktisch möglich an diesen Zustand heran gebracht werden kann. Es beginnt dann eine neue sogenannte Mission Time zu zählen.

• Typisch für Proof-Tests und Proof-Test-Intervalle ist die Chemie- und Verfahrenstechnik, aber beispielsweise auch die Flugzeugwartung.

• Für unsere Geräte hat das Thema kaum Relevanz (ausgenommen der T10d-Wert-Betrach-tung verschleißbehafteter Geräte).

• Die Pfl icht zu regelmäßigen Prüfungen von Arbeitsmitteln durch den Arbeitgeber, wie sie sich aus der EG-Arbeitsmittelbenutzungs-Richtlinie bzw. – in Deutschland – aus der BetrSichV ergeben, bleiben davon unberührt.

120

Proven in use

• Siehe Stichwort „Betriebsbewährung“.

Reihenschaltungen

• Die Länge einer Reihenschaltung (und damit die relative Höhe der Restfehlerwahrschein-lichkeiten, d. h. je länger desto höher) bestimmt sich aus der Defi nition der Sicherheitsfunk-tion (siehe auch Seite 32 f.).

• Unter diesem Gesichtspunkt können beispielsweise auch mehr als 31 CSS-Geräte in Reihe geschaltet werden, ohne dass damit eine Herabstufung von SIL oder PL verbunden ist, wenn hinter der Geräteanzahl mehrere voneinander unabhängige Sicherheitsfunktionen stehen.

• Das Argument der vollständigen Fehlererkennung (DC ≥ 99 %) der CSS-„Familie“ bleibt aber voll erhalten.

Reihenschaltungen elektromechanischer Geräte

• Wir haben in der Vergangenheit argumentiert, dass Reihenschaltungen elektromechani-scher Geräte nur eine Steuerungskategorie 3 bilden. Eine Qualifi zierung als SK 4 sei nicht möglich, weil nicht alle Fehler in der Reihenschaltung erkannt und unter bestimmten Um-ständen eine Fehlerakkumulation nicht ausgeschlossen werden kann (siehe Abbildung Seite 32 f.).

• An dieser Einschätzung ändert sich nichts, d. h. einem SRB-Baustein oder einer SiSPS kann im Falle einer Reihenschaltung elektromechanischer Geräte kein „hoher“ Diagnose-deckungsgrad (≥ 99 %) zugebilligt werden, jedoch ist auch mit einer SK 3-Architektur künftig ein PL „d“ möglich. Wir empfehlen nach Rücksprache mit dem BGIA, mit 60 % DC zu rech-nen (siehe a.a.O., insbesondere Seite 32 f.).

• Reihenschaltungen mit PL „e“ sind aber auch möglich, wenn die Kontakte der Reihen-schaltung in die betriebsmäßige SPS zurück gelesen und dort auf Plausibilität ausgewertet werden (siehe BGIA-Schaltungsbeispiel 8.2.28 auf Seite 76) oder auf der Eingangsebene Fehlerausschlüsse (siehe BGIA-Schaltungsbeispiel 8.2.29 auf Seite 75) gemacht werden.

Reset

• Siehe Stichwort „Wiedereinschaltkreis“ und Seite 28.

Risiko, Risikoanalyse, Risikobewertung

• Normdefi nition Risiko: Kombination von Wahrscheinlichkeit des Eintritts eines Schadens und Schadenshöhe.

• Normdefi nition Risikoanalyse: Kombination aus Festlegung der Grenzen der Maschine, Identifi zierung der Gefährdungen und Risikoeinschätzung.

• Normdefi nition Risikobewertung: Auf der Risikoanalyse beruhende Beurteilung, ob die Ziele der Risikominderung erreicht wurden.

• Ebenso diesem Themenkomplex liegen gesetzliche Anforderungen der EG-Maschinen-Richtlinie (siehe Stichwort „Maschinen-Richtlinie“) zugrunde.

• Die beiden Gesichtspunkte „Risiko und Risikoanalyse“ (andernorts auch Risikobeurteilung, Gefahrenanalyse o. Ä. genannt) sind nicht primärer Gegenstand der beiden neuen SRP/CS-Normen; sie werden vielmehr als erledigt vorausgesetzt, bevor man sich einer der beiden SRP/CS-Normen bedient.

• Interpretations- und Durchführungshilfen bieten hier insbesondere die Normen EN ISO 12 100-1/-2:2004(1) und EN 1050:1995 (künftig EN ISO 14 121:2007(2)).

R

(1) Sicherheit von Maschinen – Grundbegriffe, allgemeine Gestal-tungsleitsätze –-1: Teil 1: Grund-

sätzliche Ter mi no lo gie, Me tho do logie;

-2: Teil 2: Techni-sche Leitsätze

(2) Sicherheit von Maschinen – Risi-kobeurteilung –-1: Teil 1: Leitsätze

121

Beispiel eines Schemas für Risikobeurteilung (Quelle: SUVA/CH)

Bestimmung der Grenzen der Maschine

Ris

iko

an

aly

se

Ris

iko

min

eru

ng

tec

hn

isc

he

Do

ku

me

nta

tio

n

Risikobewertung

Beschreibung der bestimmungsgemäßen Verwendung in der Betriebsanlei-tung. Beschreibung der Schutzmaßnahmen, die zur Verhütung der von der Maschine ausgehenden Gefahren gewählt wurden, und Hinweise auf Restrisiken. Es empfiehlt sich, auch Risiken zu beschreiben, für die keine Schutzmaßnahmen nötig sind.

keine weitere Schutzmaßnahme nötig

Schutzmaßnahme auswählen

JA

NEIN

Identifizierung der Gefahrensituationen

Risikoeinschätzung

Ris

iko

be

urt

eil

un

g

Ist dieMaschinesicher?

Risikograf, Risikobewertung

• Beide neuen SRP/CS-Normen kennen einen Risikografen, mit dessen Hilfe das notwendige Maß an Risikoverminderung für den SRP/CS bestimmt wird bzw. welcher PL bzw. SIL sich dafür ergibt.

• Sieht man von einer differenzierteren Betrachtung in EN IEC 62 061:2005 ab, sind Vorge-hensweise und Ergebnis in einem hohen Maße vergleichbar. In wenigen Grenzfällen mag es dabei vorkommen können, dass EN ISO 13 849-1:2006 etwas „strenger“ ist (eine Anforde-rungsklasse höher liegt).

Risikograf-Betrachtung gemäß EN ISO 13 849-1:2006

• Bestimmt den PLr (= anzuwendender PL, um die erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen).

• Die aus EN 954-1:1995 (ISO 13 849-1:1999) bekannten Betrachtungsparameter der Risi-kobewertung bleiben in EN ISO 13 849-1:2006 unverändert erhalten, jedoch führen sie im Ergebnis nicht mehr zu einer zu realisierenden Steuerungskategorie, sondern zu einem zu realisierenden Performance Level PLr wie folgt:

122

HohesRisiko

NiedrigesRisiko

Ausgangs-punkt zur Einschätzungder Risikominderung


Erforderlicher

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

S Schwere der Verletzung

S1 leichte (üblicherweise reversible Verletzung) S2 ernste (üblicherweise irreversible Verletzung einschließlich Tod)

F Häufi gkeit und/oder Dauer

der Gefährdungsexposition

F1 selten bis weniger häufi g und/ oder die Zeit der Gefährdungs- exposition ist kurz F2 häufi g bis dauernd und/oder die Zeit der Gefährdungs- exposition ist lang

P Möglichkeit zur Vermeidung

der Gefährdung oder

Begrenzung des Schadens

P1 möglich unter bestimmten Bedingungen P2 kaum möglich

• Ein Vorteil des neuen Risikografen ist, dass es jetzt eine Normdefi nition für die Abgrenzung zwischen den Parametern F1 und F2 gibt, d. h. F1 gilt für Aufenthaltshäufi gkeiten im Gefah-renbereich von 1 × pro Stunde und mehr und F2 für Aufenthaltshäufi gkeiten im Gefahrenbe-reich > 1 × pro Stunde.

• Zweiter Vorteil ist, dass die Parameterbetrachtungen künftig immer zu einem eindeutigen PLr führen, während es in der Vorgängernorm bei einigen Gemengelagen möglich gewesen ist, zu zwei – wahlweise anwendbaren – Steuerungskategorien zu kommen, ohne dass es dann weitere Entscheidungshilfen gegeben hat.

Risikograf-Betrachtung gemäß EN IEC 62061:2005

• Bestimmt die Anforderungen an die Sicherheitsintegrität des SRP/CS in Form eines Sicher-heitsintegritätslevels (SIL).

• Es handelt sich dabei um ein auf den Maschinenbau angepasstes und aus dem Risikogra-fen gemäß EN IEC 61 508:2001 abgeleitetes Derivat.

• EN IEC 62 061:2005 kennt in diesem Zusammenhang noch die sogenannte SIL-Anspruchs-grenze (SILCL = SIL Claim Limit). Hier handelt es sich um den (Normdefi nition) maximalen SIL, der für ein SRP/CS-Teilsystem in Bezug auf strukturelle Einschränkungen und systema-tische Sicherheitsintegrität beansprucht werden kann. Die SIL-Anspruchsgrenze ist insofern für die Gesamtbewertung (Validierung) wichtig, weil der niedrigste SILCL – als schwächstes Glied in der Kette – bestimmt, welchen SIL ein SRP/CS gesamthaft erreichen kann.

Häufi gkeit und/oder Auf-enthaltsdauer F

Eintrittswahrschein-lichkeit des Gefähr-dungsereignisses W

Möglichkeit der Vermeidung P

≤ 1 Std. 5 häufi g 5

> 1 Std. bis ≤ 1 Tag 5 wahrscheinlich 4

> 1 Tag bis ≤ 2 Wochen 4 möglich 3 unmöglich 5

Schwere des Schadens S

> 2 Wo. bis ≤ 1 Jahr 3 selten 2 möglich 3

> 1 Jahr 2 vernachlässigbar 1 wahrscheinlich 1

Auswirkungen Schadensmaß S Klasse K = F + W + P

3–4 5–7 8–10 11–13 14–15

Tod, Verlust von Auge oder Arm 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3

Permanent, Verlust von Fingern 3 SIL 1 SIL 2 SIL 3

Reversibel, medizinische Behandlung 2 andere Maßnahmen SIL 1 SIL 2

Reversibel, Erste Hilfe 1 SIL 1

(1)(2)

(1) < 10 Min. eine Stufe tiefer!(2) Berücksichtigung von Kom-

plexität und mensch lichem Verhalten (Ausbildung, Zeit-druck etc.)

123

Rückführkreis

• Maßnahme zur Fehleraufdeckung auf der O -Ebene, wenn sie mit einfachen Einzelgeräten, z. B. Leistungsschützen, ausgeführt wird.

• Ebenso kann das Testergebnis anderer Maßnahmen hier „einfl ießen“, um sicherzustellen, dass ein Wiederanlauf der Maschinensteuerung nur möglich ist, wenn die betreffenden SRP/CS-Teile ordnungsgemäß arbeiten.

• Der Diagnosedeckungsgrad DC kann – je nach Qualität der Rückführsignale – bis zu 99 % betragen.

• Siehe auch Seite 55.

Säulendiagramm

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“.

Sicherheitsfunktion

• Abgestellt wird für die Klassifi kation eines notwendigen PL gemäß EN ISO 13 849-1:2006 bzw. SIL in EN IEC 62 061:2005 auf eine Sicherheitsfunktion. Defi nitionsgemäß (siehe EN ISO 13 849-1:2006) ist dies die Funktion einer Maschine, wobei ein Ausfall der Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann.

• Die Defi nition der Sicherheitsfunktion hat daher erhebliche Auswirkungen auf die Bestim-mung von PL und SIL.

• Weitere Informationen: siehe Seite 70 ff.

SIL (Safety Integrity Level)

• Klasse der sicherheitstechnischen Gesamt-Qualität eines SRP/CS, wie sie EN IEC 62 061:2005 und EN IEC 61 508-1/-7:2001 kennen (ähnlich der PL-Philosophie).

• Normdefi nition: Diskrete Stufe zur Festlegung der Anforderungen zur Sicherheitsintegrität der sicherheitsbezogenen Steuerungsfunktion. Sicherheitsintegrität ist dabei defi niert als Wahrscheinlichkeit, dass die erforderlichen Steuerungsfunktionen unter allen festgelegten Bedingungen zufriedenstellend ausgeführt werden und bezieht sich dabei auf Hardware-, Software- und systematische Sicherheitsintegrität. Trotz des Begriffs „Wahrscheinlichkeit“ wie vor ist ein SIL aber nicht pure Probabilistik.

• Ein SIL bestimmt sich aus den sogenannten Architectural Constraints (Architektur-Be-schränkungen) und der Wahrscheinlichkeit eines Gefahr bringenden Fehlers pro Stunde (PFHd).

• Architektur-Beschränkungen bestehen in Abhängigkeit von der sogenannten Safe Failure Fraction SFF. Sie kombiniert Diagnose mit dem Anteil der Fehler, die in die sichere Rich-tung gehen. Ist – vereinfacht gesprochen – die SFF (also Anteile erkannter und/oder sicherer Fehler) hoch, kann man – je nach SIL – 1-kanalig bauen, ist die SFF niedrig, muss man – je nach SIL – redundant bauen (Hardwarefehlertoleranz)

SFF: s = Fehler in „sichere“ Richtung, dd = Fehler „dangerous detected“, du = Fehler „dangerous undetected“

• Beispielsweise erfordert ein SIL 2 einen PFHd-Wert zwischen 1 × 10–7 und 1 × 10–6 auf Basis einer HWT 2 (3-kanalig) bei < 60 % SFF oder HWT 1 (2-kanalig) bei 60 … 90 % SFF oder HWT 0 (1-kanalig) bei 90 … 99 % SFF.

S

nter

du

dd s

124

• Je nach Kritikalitätsstufe unterscheidet EN IEC 62 061:2005 für den Maschinenbau zwischen drei Safety Integrity Leveln. Für die Einstufung ist auch hier ein Risikograf (ähnlich dem aus EN ISO 13 849-1:2006) maßgebend.

• Bezogen auf die Restfehlerwahrscheinlichkeit kann weder gesagt werden, dass ein SIL strenger als ein PL sei oder umgekehrt. Eher ist es so, dass es bei SIL’s mehr Gestaltungs-möglichkeiten gibt.

• Bezogen auf Sub- oder Teilsysteme eines SRP/CS wird im vorliegenden Papier auch von Sub-PL’s bzw. Sub-SIL’s gesprochen. Gemeint ist damit die sicherheitstechnische Ertüchti-gung – ausgedrückt in SIL und PFHd – bezogen auf ein Sub- bzw. Teilsystem.

• Der Gesamt-SIL eines SRP/CS entspricht dem niedrigsten Sub-SIL (Theorie des schwächs-ten Glieds) und dem dafür zu erreichenden PFHd-Wert. Letzterer ist die Addition der Einzel-PFHd-Werte je Sub-SIL.

• EN IEC 61508:2001 kennt insgesamt 4 SIL-Stufen. SIL 4 deckt dabei Risiken mit mehreren Toten bzw. katastrophalen Auswirkungen ab, d. h. ist für den Maschinenbau nicht relevant. Neben dem PFHd-Wert arbeitet EN IEC 61 508:2001 auch noch mit dem sogenannten PFD-Wert (PFD = Probability of Failure on Demand) bei seltener Anforderung einer Sicherheits-funktion (> 1-mal pro Jahr), zum Beispiel typisch für Chemie und Verfahrenstechnik.

SIL Claim Limit (SILCL)

• SIL-Anspruchsgrenze, d. h. der im Hinblick auf eine Sicherheitsfunktion benötigte SIL (die Soll-Vorgabe aufgrund einer Risikograf-Betrachtung oder aus einer C-Norm).

• Die Anspruchsgrenze „SILCL“ ist ähnlich dem erforderlichen Performance Level PLr zu verstehen.

• Siehe auch Stichwort „nur SIL“ und „Risikograf-Betrachtung gemäß EN IEC 62 061:2005“.

SISTEMA

• WINDOWS-basierte Software zur PL-Berechnung gemäß EN ISO 13 849-1:2006, die vom Institut für Arbeitsschutz BGIA der Deutschen Gesetzlichen Unfallversicherung DGUV, St. Augustin, erstellt wurde und allen Interessierten kostenlos zur Verfügung gestellt wird.

• SISTEMA steht für SIcherheit von STEuerungen an MAschinen.

125

• Das SISTEMA-Tool bildet die Struktur sicherheitsbezogener Steuerungsteile (SRP/CS) auf der Basis der sogenannten vorgesehenen Architekturen nach und berechnet Zuverläs-sigkeitswerte auf Detailebenen einschließlich des erreichten Performance Levels (PL). Die Risikoparameter zur PL-Bestimmung, d. h. die Kategorie, CCF-Maßnahmen, Bauteilegüte MTTFd und Testqualität DCavg, lassen sich Schritt für Schritt erfassen. Die Auswirkungen jeder Parameteränderung auf das Gesamtsystem wird direkt angezeigt und kann als Report ausgedruckt werden.

• Das Tool ist eine Hilfestellung bei der Berechnung, ersetzt jedoch nicht das grundsätzliche Normverständnis!

• SISTEMA kann heruntergeladen werden unter www.dguv.de/bgia/13849. Im Hinblick auf die Anerkennung der Lizenzbedingungen und etwaiger Updates wird der Nutzer um eine Registrierung gebeten.

Software

• Software im Rahmen von PES-Systemen erhält sowohl in EN ISO 13 849-1:2006 als auch in EN IEC 62 061:2005 eine besondere Hervorhebung.

• Unterschieden wird dabei zwischen der Betriebssystem-Software eines PES (= SRESW für Safety-Related Embedded Software) und der Anwender-Software eines PES (= SRASW für Safety-Related Application Software). Letztere (SRASW) wird dabei noch nach den dafür verwendeten Programmiersprachen unterteilt (FVL für Programmiersprachen mit nicht eingeschränktem Sprachumfang und LVL für Programmiersprachen mit eingeschränktem Sprachumfang).

• Im Rahmen der vorliegenden Broschüre gehen wir auf das Thema „SRESW“ nicht näher ein.• Wichtig zu wissen ist, dass EN 13 849-1:2006 auch die Entwicklung von PES-Systemen

ermöglicht (siehe a.a.O.) und sich SRESW-Anforderungen in der Norm bis zu einem PL „d“ wiederfi nden. Für PL „e“ ist der entsprechende Teil aus EN IEC 61 508:2001 zugrunde zu legen, alternativ wäre die SRESW-Software diversitär zu erstellen.

• Für SRASW-Software gelten künftig ebenfalls zusätzliche Anforderungen, die den Nutzer betreffen, z. B. den Programmierer einer Sicherheits-SPS. Es gibt Basis-Anforderungen, die für alle PL’s gelten, und – unterteilt nach FVL und LVL – zusätzliche Anforderungen ab PL „c“.

• Defi nition „Anwender-Software“:

Software, die speziell für die Anwendung vom Hersteller in die Maschine implementiert und üblicherweise logische Sequenzen, Grenzwerte und Ausdrücke zum Steuern der entspre-chenden Eingänge, Ausgänge, Berechnungen und Entscheidungen enthält, um die notwen-digen Anforderungen des SRP/CS zu erfüllen.

• Defi nition FVL:

Typ einer Sprache mit der Fähigkeit, einen großen Bereich von Funktionen und Anwendun-gen zu implementieren.– Beispiel: C, C++, Assembler– Anmerkung 1: In Anlehnung an IEC 61 511-1:2003, Begriff 3.2.80.1.3– Anmerkung 2: Ein typisches Beispiel von Systemen für die Verwendung von FVL: Embedded-Systeme– Anmerkung 3: Im Bereich der Maschinen wird FVL in Embedded-Software und gelegent- lich in Anwendungssoftware eingesetzt.

• Defi nition LVL:

Typ einer Sprache, die die Fähigkeit hat, vordefi nierte, anwendungsspezifi sche Bibliotheks-funktionen zu kombinieren, um die Spezifi kation der Sicherheitsanforderungen zu imple-mentieren.– Anmerkung 1: In Anlehnung an IEC 61 511-1:2003, Begriff 3.2.80.1.2– Anmerkung 2: Typische Beispiele von LVL (Kontaktplan, Funktions-Blockdiagramm) sind in IEC 61 131-3 angegeben.– Anmerkung 3: Ein typisches Beispiel von einem System, das die LVL verwendet: PLC.

126

Steuerungskategorien

• Terminologie von EN 954-1:1996, künftig (in EN ISO 13 849-1:2006) „vorgesehene Architek-turen“ (designated architectures) genannt. Sie betreffen die sicherheitstechnischen Anfor-derungen an SRP/CS unabhängig von der Technologie und sind in 5 Stufen (in die Katego-rien B, 1, 2, 3 und 4) unterteilt. Die Abstufungen reichen von einfachen bis zu aufwändigen Anforderungen, wie z. B. 1-Fehler-Sicherheit/Redundanz und Selbstüberwachung.

• Neben den Architekturanforderungen gehört zu den Anforderungen an die Steuerungskate-gorien auch die Beachtung der sogenannten grundlegenden Sicherheitsprinzipien (ab SK B) und weiterhin (ab SK 1) die Berücksichtigung der sogenannten bewährten Sicherheitsprinzi-pien. Bitte nicht verwechseln mit der Anforderung, sicherheitstechnisch bewährte Bauteile zu verwenden (gilt nur für SK 1). Was das eine und was das andere ist, fi ndet sich in den informativen Anhängen A bis D von EN ISO 13 849-1:2006 („Validierung von SRP/CS“).

• Steuerungskategorien spiegeln die Widerstandsfähigkeit eines SRP/CS gegen Ausfälle wider und das Verhalten im Fehlerfall.

• Die Kurzfassung der Anforderungen an die 5 Steuerungskategorien im Einzelnen ist der nachfolgenden Tabelle zu entnehmen.

Kat.(1) Kurzfassung der Anforderungen Systemverhalten(2) Prinzipien

zum Errei-

chen der

Sicherheit

B Die sicherheitsbezogenen Teile von Steuerungen und/oder ihre Schutzeinrichtungen als auch ihre Bauteile müssen in Übereinstimmung mit den zutreffenden Normen so gestaltet, gebaut, ausgewählt, zusam-mengestellt und kombiniert werden, dass sie den zu erwartenden Einfl üssen standhalten können.

Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunk-tion führen.

Überwie-gend durch Auswahl von Bauteilen charakteri-siert.

1 Die Anforderungen von B müssen erfüllt sein.

Bewährte Bauteile und bewährte Sicherheitsprinzipien müssen angewendet werden.

Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunk-tion führen, aber die Wahr-scheinlichkeit des Auftretens ist geringer als in Kategorie B.

2 Die Anforderungen von B und die Verwendung be-währter Sicherheitsprinzipien müssen erfüllt sein.

Die Sicherheitsfunktion muss in geeigneten Zeit-abständen durch die Maschinensteuerung geprüft werden.

• Das Auftreten eines Fehlers kann zum Verlust der Sicher-heitsfunktion zwischen den Prüfungsabständen führen.

• Der Verlust der Sicherheits-funktion wird durch die Prü-fung erkannt.

Überwiegend durch die Struktur cha-rakterisiert.


Sicherheitsbezogene Teile müssen so gestaltet sein, dass• ein einzelner Fehler in jedem dieser Teile nicht zum

Verlust der Sicherheitsfunktion führt, und• wann immer in angemessener Weise durchführbar,

der einzelne Fehler erkannt wird.

• Wenn ein einzelner Fehler auftritt, bleibt die Sicherheits-funktion immer erhalten.

• Einige, aber nicht alle Fehler werden erkannt.

• Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion führen.



Sicherheitsbezogene Teile müssen so gestaltet sein, dass• ein einzelner Fehler in jedem dieser Teile nicht zum

Verlust der Sicherheitsfunktion führt, und• der einzelne Fehler bei oder vor der nächsten An-

forderung an die Sicherheitsfunktion erkannt wird, oder, wenn dies nicht möglich ist, eine Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunk-tion führt.

• Wenn Fehler auftreten, bleibt die Sicherheitsfunktion immer erhalten.

• Die Fehler werden rechtzeitig erkannt, um einen Verlust zu verhindern.


(1) Die Katego-rien sind nicht dazu bestimmt, in irgendeiner angegebenen Reihenfolge oder hierarchischen Anordnung in Bezug auf die sicherheitstechni-schen Anforderun-gen angewendet zu werden.

(2) Aus der Risiko-beurteilung wird sich ergeben, ob der gesamte oder teilweise Verlust der Sicher heits-funk tion(en) auf-grund von Fehlern akzeptabel ist.

127

Steuerungskategorien/Steuerungskategorie 2

• Auf Anforderungen und Inhalt der Steuerungskategorien wird hier im Detail – weil aus EN 954-1:1996 langjährig bekannt – nicht näher eingegangen. Einen Überblick fi nden Sie unter dem Stichwort „Steuerungskategorien“.

• Ausgenommen davon sei der Hinweis, dass sich im Zuge von EN ISO 13 849-1:2006 die An-forderungen an die Steuerungskategorie 2 erhöht haben. Praktisch handelt es sich künftig um eine Art von Steuerungskategorie 3 „light“.

• Hintergrund: Da die Sicherheitsfunktion in SK 2 zwischen den Tests unbemerkt ausfallen kann, ist die Testhäufi gkeit ein kritischer Parameter. Außerdem könnte die Testeinrichtung selbst früher als der Funktionskanal ausfallen. Deshalb wird für die Quantifi zierung voraus-gesetzt:– dass der MTTFd-Wert der Testeinrichtung TE nicht kleiner ist als der halbe MTTFd der Logik L und– die Testrate mindestens 100-mal höher ist als die mittlere Anforderungsrate der Sicherheitseinrichtung bzw. als die Gefahr bringende Ausfallrate.– Hinzu kommt die Anforderung eines zweiten Abschaltwegs (über die Testeinrichtung).

• Insbesondere das geforderte Verhältnis 1:100 von Anforderungs- zu Testrate stellt SK 2-Strukturen mit elektromechanischer Technik (ohne eigene Testintelligenz) vor kaum lös-bare Aufgaben. Grund für die erhöhten Anforderungen an die Steuerungskategorie 2 ist, dass es künftig – in Verbindung mit einem MTTFd-Wert „hoch“ und einem DC „mittel“ mög-lich ist, einen Performance Level „d“ zu erreichen. Für diese Kritikalitätsstufe müssen wir unseren Kunden empfehlen, andere Gestaltungsmöglichkeiten in Betracht zu ziehen. Lernen wir im Laufe der Zeit neue Gestaltungsmöglichkeiten kennen, werden wir Sie informieren.

• Bis zu einem PL „e“ würde hingegen ein MTTFd-Wert „hoch“ und eine Architektur der Steuerungskategorie 1 (1-kanalig, jedoch mit sicherheitstechnisch bewährten Bauteilen realisiert) ausreichen. D. h. für die typischen mittleren Risikobereiche (sprich: PL „c“) ist elektromechanische Technik nach wie vor anwendbar. Insofern ergibt sich im Vergleich zum derzeitigen Stand der Sicherheitstechnik – trotz der erhöhten Anforderungen an SK 2 – kein signifi kanter Unterschied.

Symmetrisierungsformel

• Siehe Stichwort „Addition von Ausfallwahrscheinlichkeiten“

T10d

-Wert-Betrachtung

• Eine T10d-Wert-Betrachtung ist ebenfalls eine neue Betrachtung in EN ISO 13 849-1:2006. Der T10d-Wert entspricht 10 % des B10d-Werts und ist – umgerechnet in Jahre (y) – als Hin-weis für den vorbeugenden Austausch verschleißbehafteter Geräte zu verstehen. Beim T10d-Wert wird angenommen, dass sich in der entsprechenden Zeit für das betreffende Gerät ein konstantes Ausfallverhalten (ähnlich der mittleren Phase der „Badewannenkurve“) ergibt.

• Der Hinweis auf einen vorbeugenden Geräteaustausch macht natürlich nur bei MTTFd-Wer-ten Sinn, wenn der 10 %-Anteil innerhalb der angenommenen Mission Time eines SRP/CS von 20 Jahren liegt.

• Die T10d-Wert-Betrachtung ersetzt nicht die regelmäßigen Prüfungen von Arbeitsmitteln ge-mäß EG-Arbeitsmittelbenutzungs-Richtlinie bzw. – in Deutschland – gemäß BetrSichV.

• Siehe auch Stichwort „B10d-Werte“

OI L

InputSignal

OutputSignal

OTETE

2nd switch-off path

or indi-cation path

Monitoring

Mon

itorin

g

Mon

itorin

g

Monitoring

T

128

Testeinrichtungen

• Testeinrichtungen dienen der Fehleraufdeckung (dem Diagnosedeckungsgrad) in SRP/CSen. Sie können in den Kanälen eines SRP/CS implementiert sein, z. B. in der Sicherheits-SPS oder im SRB-Baustein. Sie können aber auch losgelöst von einem Einbezug in die Kanäle eines SRP/CS als externe Testeinrichtungen wirken, beispielsweise im Rahmen der Funktionalität der betriebsmäßigen SPS. In diesem Fall gibt es bestimmte zusätzliche Anfor-derungen an die Testeinrichtung, die aber im Normalfall keine unüberwindlichen Hindernisse darstellen. Siehe hierzu auch BGIA-Schaltungsbeispiel 8.2.28 (Seite 76).

Übergangsfrist

• EN 954-1:1996 (bzw. ISO 13 849-1:1999) wird im Dezember 2009 zurückgezogen. Zugleich verliert die Norm zu diesem Zeitpunkt den Status der sogenannten Vermutungswirkung (d. h. die Schutzziele der EG-Maschinenrichtlinie im Sinne des Gesetzgebers „richtig“ zu interpretieren und zu konkretisieren).

• Ab 2010 erstmals in Verkehr gebrachte Maschinen und Maschinensteuerungen sollten die neue Normenlage berücksichtigen, um im Zweifelsfall auch weiterhin konform zur EG-Ma-schinenrichtlinie zu sein.

• ACHTUNG: Dies gilt auch für existente Konstruktionen, die nach wie vor nach diesem Stich-tag in Verkehr gebracht werden.

• Realistisch gesehen wird eine fristgerechte Umstellung in einzelnen Fällen nicht gelingen können, denkt man beispielsweise an die Durchlaufzeiten von großen Maschinen und Maschinenanlagen. Wenn es „hart auf hart“ käme, müssten ggf. Gerichte entscheiden, wie solche Fälle zu sehen sind. Berücksichtigt würde dabei sicherlich auch, dass EN 954-1:1996 keine „schlechte“ Norm gewesen ist bzw. EN ISO 13 849-1:2006 nicht die „sichere“ Norm ist (sondern teils eine andere Herangehensweise vertritt).

• Für Maschinen und Maschinensteuerungen, die bereits in Verkehr gebracht worden sind, gilt unbeschadet davon die „Besitzstandswahrung“.

Vorgesehene Architekturen

• Siehe Stichwort „Architekturen“

Wiedereinschaltkreis

• Typischerweise gehört hierzu das manuelle (und in Ausnahmefällen automatische) Wieder-einschalt-/Reset-Signal an der L -Ebene.

• Der Bediener hat sich zuvor davon zu überzeugen, dass der Wiederanlauf einer Maschinen-steuerung gefahrlos möglich ist.

• EN ISO 13 849-1:2006 legt künftig eindeutig fest, dass ein Flankenwechsel zur Reinitialisie-rung erforderlich ist. Siehe hierzu auch Seite 28.

• Wiedereinschalt- und Rückführkreis werden auf der O -Ebene häufi ger auch zusammenge-fasst.

Zielsetzung der SRP/CS-Normung

• Siehe Teil 6, Seite 81 ff.: „Merkmale und Handhabung von EN ISO 13 849-1:2006“

Zusätzlicher Überwachungsschalter

• Siehe Seite 29.

U

V

W

Z

129

Zuverlässigkeitstechnik (Zuverlässigkeits-Engineering)

• Die Zuverlässigkeit ist eine Sacheigenschaft, die durch eine statistisch zu messende Größe aufgrund beobachteter Ausfallhäufi gkeiten empirisch oder mit Hilfe der Wahrscheinlichkeits-berechnung abgeschätzt werden kann.

• PL- und SIL-Betrachtungen gehören im weiteren Sinne zur Wissenschaft der Zuverlässig-keitstechnik (des Zuverlässigkeits-Engineerings).

• Erste Anwendungen für die Zuverlässigkeitstechnik fanden sich – wie auch anderenorts so häufi g – auf dem Gebiet der Militärtechnik (gefolgt von anderen Anwendungen).

• Der Forschungsbereich Zuverlässigkeitstechnik beschäftigt sich mit der Zuverlässigkeit von Bauteilen und Systemen sowie mit Methoden zur Zuverlässigkeitsanalyse und -sicherung. In diesem Zusammenhang steht auch der Aufbau von Zuverlässigkeitsdatenbanken. Unter-sucht werden Methoden zur Versuchsplanung und die statistische Auswertung von Ausfall-daten und Lebensdauerversuchen. Weitere Themen sind die realitätsnahe Modellierung von komplexen technischen Systemen und die Simulation der Zuverlässigkeit und Verfügbarkeit in frühen Entwicklungsphasen. Durchgeführt werden Berechnungen der Systemlebens-dauer sowie die Ermittlung von Lastkollektiven. Ein Arbeitsgebiet ist die Durchführung von FMEA’s und die Erstellung entwicklungsbegleitender Dokumentation.

• Die Methoden und Begriffe der Zuverlässigkeitstechnik sind heute in den nationalen und internationalen Normenwerken und Risikostandards umfassend beschrieben und gelten im Grundsatz für alle technischen Produkte und Systeme.

• Safety Integrity Level gehen auf die Norminitiative IEC 1508 (heute EN IEC 61 508-1/-7:2001) als Folge des Seveso-Giftgas-Unglücks zurück. Insofern galten die ersten Anwendungen der Norm dann auch Chemie und Verfahrenstechnik und – später – anderen Bereichen, wobei der Maschinenbau mit den Normen EN IEC 62 061:2005 und EN ISO 13 849-1:2006 sozusagen ein Schlusslicht bildet.

1940

1945

1950

1955

1960

1965

1970

1975

1980

Luft- und Raumfahrttechnik(Luftwaffe „V1“)

Aktivitäten vorwiegend in den USA

Elektr. BauelementetechnikMess- und Regeltechnik

Verkehrstechnik(Luftfahrt)

Ze

ita

ch

se

Energietechnik(elektrische Versorgung)

Kerntechnik

SchwerindustrieVerfahrenstechnik

Produktionstechnik(Allgemein)

Verfahrenstechnik(Allgemein)

Transport- und Verkehrstechnik (Allgemein)

Verkehrstechnik(Marine, Heer)

Bautechnik(Allgemein)

Kommunaltechnik(Ver-/Entsorgung)

Nachrichtentechnik(Post & Allgemein)

Computertechnik

Sicherheitstechnik(Allgemein)

Fahrzeug- und Transporttechnik(Landverkehr)

Verkehrstechnik(Bahn)

Computertechnik

130

131

Auszug aus einer früheren Broschüre

„Neuer Ansatz für die Sicherheit von Maschinen:EN ISO 13 849-1:2006 – Sicherheitsbezogene Teile von Steuerungen“

131

132

Normbeispiel gemäß Anhang I von EN ISO 13 849-1:2006

Die im Schaltungsbeispiel enthaltenen verschleißbehafteten Geräte wären noch einer B10d-Wert-Betrachtung zu unterziehen. Wir unterstellen, dass die dafür genannten Hersteller-angaben bereits entsprechend umgerechnet sind.

133

HohesRisiko

NiedrigesRisiko

Ausgangspunktzur Einschätzung

der Risikominderung


Erforderlicher

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

Abbildung 32: Iterativer Entwurfs- und Entwicklungsprozess gemäß EN 13 849-1

von Risikoanalyse(EN ISO 12100-1)

zur Risikoanalyse

ja

ja

ja

nein

nein

nein

Auswahl der SF

Festlegung: Anforderungen an SF

Bestimmung PLr

Entwurf, Identifikation SRP/CS

Bestimmung PL

PL PLr

Kategorie MTTFd DC CCF

Validierung

Alle SF?

1

2

3

7654

8

➊

Beispiel:

Abbildung 33: Auswahl und Festlegung der Anforderungenan die Sicherheitsfunktion

134

EN ISO 13 849-1 – Sicherheitsbezogene Teile von Steuerungen

HohesRisiko

NiedrigesRisiko


der Risikominderung


Erforderlicher

PLr = c

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

Abbildung 34: Bestimmung des PLr

➋

SW1B

K1BSW2

CC:PLC:M:RS:

:

Current ConverterProgrammable Logic ControllerMotorRotation SensorSwitch shown in actuated position

Close

Open

Control signalCC

L+++

MRS n

API PLC SPS

SW1B K1B

SW2 PLC CC

RS

Abbildung 35: Entwurf und Identifi kation der SPS/CS

➌

135

HohesRisiko

NiedrigesRisiko


der Risikominderung


Erforderlicher

S1

S2

F1

F2

F1

F2

P1a

b

c

d

e

P2

P1

P2

P1

P2

P1

P2

➍

✔

✔

✔

✔

–> Kategorie 3 ist erreichbar

Abbildung 36: Bestimmung des PL: Kategorie

➎

SW1B: Zwangsöffnender Kontakt:

K1B: MTTFd = 30 y (Herstellerangabe)

= =

Kanal 1: MTTFd = 30 y

Abbildung 37: Bestimmung des PL: MTTFd für Kanal A

➎

MTTFd = je 20 y (Herstellerangaben)

= + + =

Kanal 2: MTTFd

+

MTTFd

Abbildung 38: Bestimmung des PL: MTTFd für Kanal B und Gesamt-MTTFd

Abbildung 39: Bestimmung des PL: DCavg

➏

+

+

avg = 67% (niedrig)

136

EN ISO 13 849-1 – Sicherheitsbezogene Teile von Steuerungen

Abbildung 40: Bestimmung des PL: CCF

➐

Σ

Pe

rfo

rma

nc

e le

vel


Kategorie B

DCavg =0

Kategorie 1

DCavg =0

Kategorie 2

DCavg =niedrig

Kategorie 2

DCavg =mittel

Kategorie 3

DCavg =niedrig

Kategorie 3

DCavg =mittel

Kategorie 4

DCavg =hoch

a

b

c

d

e

Abbildung 41: Verifi kation, ob erreichter PL ≥ PLr

➑

r = c ✔

137

Schmersal-/Elan-Merkblätter:

• Verzicht auf einen zusätzlichen Überwachungsschalter beiVerriegelungs einrichtungen (physische Redundanz vs. elektrische Redundanz)

• Man sollte das Kind nicht gleich mit dem Bade ausschütten!EN ISO 13 849-1:2006: Zur Frage des Diagnosedeckungsgrads bei einfachen Reihenschaltungen von elektromechanischen Sicherheitssensoren und Sicherheitsschaltern

137

138

2ter Schalter

Ja/Nein?

Sicherheitsschalter

mit getrennten Betätigern

Sicherheitszuhaltungen

mit getrennten Betätigern

Scharnier-

Über wachungsschalter

BNS-Magnetschalter Elektronische Geräte

CSS-basiert

Baureihe AZ u. Ä.Wirkprinzip: elektromechanisch

Baureihe AZM u. Ä.Wirkprinzip: elektromechanisch

Baureihe TESF u. Ä.Wirkprinzip: elektromechanisch

Baureihe BNSWirkprinzip: berührungslos

Baureihe CSS, AZ/AZM 200, MZMWirkprinzip: Puls-Echo-Verfahren

Max. SK/PL Ohne 2ten Schalter: max. SK 3, PL „d“ Ohne 2ten Schalter: max. SK 3, PL „d“ Stand alone: max. SK 4, PL „e“ Stand alone: max. SK 4, PL „e“ Stand alone: max. SK 4, PL „e“

Bezug zur SRP/CS(1)-Normung EN 13 849-1/ -2 (ABER: C-Norm hat Vorrang!) Zusätz-lich (siehe ebenfalls Rückseite) bitte GEP(2) beachten!

Fehlerausschluss erforderlich (siehe Rückseite)

Unsere Geräte entsprechen im Rahmen ihrer konstruktiven Merkmale und ihrer technischen Daten den entsprechenden Anforderungen.

Kein 2ter Schalter erforderlich Kein 2ter Schalter erforderlich – siehe auch Produktnorm IEC EN 60 947-5-3: Klassifika tion als PDF-M

Kein 2ter Schalter erforderlich – siehe auch Produktnorm IEC EN 60 947-5-3: Klassifika tion als PDF-M

Zusätzliche Schmersal-/Elan-Empfehlungen, wenn vom „Fehleraus-schluss“ Gebrauch gemacht wird

Gefahr muss sichtbar sein (keine Strahlung etc.)Stressfreies Zusammenspiel von Betätiger und GerätInstallationsort frei vom Risiko des Eindringens von Schmutz-/FremdpartikelnFormschlüssige Wirkung des Betätigers (ein Stück gestanztes Metall bzw. bei flexiblen Betätigern zusätzlich formschlüssige Verbindung der Teile)Betätiger-Befestigung in einem stabilen MaterialAnlauftestung (Empfehlung)

Zusätzlich bei Geräten mit Zuhaltung zu beachten:

Geräte mit FehlschließsicherungBeachtung der max. zulässigen Ausziehkräfte

Anmerkungen Besonders sorgfältige Abwägung empfohlen!

Spezielle Fehleraus-schluss-Dokumentation erforderlich

Ja! Ja! Nein! Nein! Nein!

Zu beachtende Anforde-rungen anderer Normen:

AMD 1(3) zu EN 1088:1996 (zusätz-liche Maßnahmen vs. Manipulation)EN ISO 13 849-1:2006EN 1088:2007

Ja (siehe umseitige Vorschläge), ausgenommen „i“-Ausführungen = individuell codierte Ausführungen (AZ „i“ etc.), jedoch min. unlösbare Betätigerbefestigung!2-kanalige Signalverarbeitungkein mechanischer Anschlag

Ja (siehe umseitige Vorschläge), ausgenommen „i“-Ausführungen = individuell codierte Ausführungen (AZ „i“ etc.) , jedoch min. unlösbare Betätigerbefestigung!2-kanalige Signalverarbeitungkein mechanischer Anschlag

Unlösbare Befestigung

2-kanalige Signalverarbeitungkein mechanischer Anschlag

Ja (siehe umseitige Vorschläge)

2-kanalige Signalverarbeitungkein mechanischer Anschlag

Ja (siehe umseitige Vorschläge), ausgenommen AZM 200 mit B30-Betätiger

2-kanalige Signalverarbeitungkein mechanischer Anschlag, ausgenommen MZM 100

1 SRP/CS: Safety-Related Parts of Control Systems (Sicherheitsbezogene Teile von Steuerungen; 2 GEP: Good Engineering Practices; 3 Integriert in EN 1088:2007

Verzicht auf einen zusätzlichen Überwachungsschalter bei Verriegelungseinrichtungen

(physische Redundanz vs. elektrische Redundanz für SK ≥ 3 bzw. PL ≥ „d“)

GEP (Good Engineering Practices)

Beachtung der grundlegenden und bewährten Sicherheitsprinzipien gemäß Anhängen A und D von EN ISO 13 849-2:2003Beachtung der technischen Daten und Installationshinweise gemäß Betriebs-anleitung der GeräteValidierung des SRP/CS gemäß EN ISO 13 849-2:2003

Zusätzliche Vorkehrungen gegen

Manipulation (wahlweise, aber

mindestens 1 davon)

Unlösbare Betätiger-/ggf. Gerätebe-festigung (vernieten, verschweißen, Einwegschrauben)Verdeckter GeräteeinbauDrehpunkt-InstallationIndividuell codierte BetätigerZusätzlicher ÜberwachungsschalterSteuerungstechnische Maßnahmen (Anlauftestung, Plausibilitätstests u. Ä.)

Grundlage/weitere Infos: AMD 1 zu EN 1088:1996 (integriert in EN 1088:2007)

Fehlerausschluss-Betrachtung

Grundlage: EN ISO 13 849-1:2006 Ziffer 7.3 in Ver-bindung mit EN ISO 13 849-2:2003 Ziffer 3.2Nichtöffnen bei zwangsöffnenden Kontakten (zu-lässiger Fehlerausschluss gemäß Tabelle D.8 von EN ISO 13 849-2:2003)Mechanische Fehler (zulässige Fehlerausschlüsse gemäß Tabelle A.4 von EN ISO 13 849-2:2003)

Fehlerannahme Fehlerausschluss

Verschleiß/Korrosion Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebensdauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

nicht Festziehen/Lösen Ja, wenn Werkstoff, Herstellungsverfahren, Sicherungselemente und Behand-lungsverfahren entsprechend der festgelegten Lebensdauer sorgfältig ausge-wählt sind (siehe auch Tabelle A.2).

Bruch Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebensdauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Verformung durch Über-beanspruchung

Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren und Behand-lungsverfahren entsprechend der festgelegten Lebensdauer sorgfältig ausge-wählt sind (siehe auch Tabelle A.2).

Steifheit/Hängenbleiben Ja, wenn Werkstoff, (Über-)Dimensionierung, Herstellungsverfahren, Behand-lungsverfahren und geeignete Schmierung entsprechend der festgelegten Lebensdauer sorgfältig ausgewählt sind (siehe auch Tabelle A.2).

Revision von EN ISO 13 849-2 (in Vorbereitung): Fehlerausschluss mechanischer Fehler nicht mehr zulässig für PL „e“!

139

Man sollte das Kind nicht gleich

mit dem Bade ausschütten!*

Betrifft: In einer einfachen Reihenschaltung 2-kanalig angeordnete elektromechani-sche Sicherheitsschalter und Zuhaltungen, Sicherheits-Magnetschalter, Not-Halt-Be-fehlsgeräte u. Ä., d. h. einfache Einzelgeräte mit Sicherheitsfunktion, deren Überwachung auf Ausfälle, Fehler und Inkonsistenzen durch Sicherheits-Relais-Bausteine, Sicherheits-SPSen u. Ä. erfolgt .

Bitte beachten Sie bei Sicherheits-Magnet-schaltern zusätzlich, dass deren Anschluss an die Auswertung eines anderen Fabrikats in Eigenverantwortung erfolgt und dabei eine – für Geräte dieser Art immer notwendige – sichere Strom- und Spannungsbegrenzung entsprechend den technischen Daten der Geräte zu gewährleisten ist.

Im Rahmen der Anwendung von EN ISO 13 849-1:2006 empfehlen wir unseren Kunden bei Schaltungen dieser Art, einen Diagnosedeckungsgrad (DC) von 60 % zugrunde zu legen, sofern im Übrigen die Anforderungen der Steuerungskategorie 3 erfüllt werden.

Der (eher konservative) Ansatz von 60 % DC ermöglicht, dass einfache Reihen-schaltungen (eine 2-kanalige Architektur, die Steuerungskategorie 3 entspricht, und eine hohe Hardware-Zuverlässigkeit MTTFd vorausgesetzt) einen Performance Level (PL) „d“ erreichen können.

Mit dieser Empfehlung ist zugleich eine Abwärtskompatibilität zu EN 954-1:1996 gegeben, die die Einordnung solcher langjährig bewährten Schaltungen in eine Steuerungskategorie 3 ermöglichte. An-dererseits blockiert ein DC von 60 % eine

Bewertung mit PL „e“, weil ein Restrisiko einer Gefahr bringenden Fehlerakkumula-tion nicht vollständig ausgeschlossen werden kann.

Während für SK 3 eine 1-Fehler-Sicherheit mit einer angemessenen Fehlererkennung (einige, aber nicht alle Fehler werden er-kannt) gefordert wird, heißt es für SK 4, dass ein Fehler nicht zum Verlust der Sicherheits-funktion führen darf (1-Fehler-Sicherheit wie für SK 3) und dass (bedingt) alle Fehler rechtzeitig erkannt werden müssen.

Die angesprochene Empfehlung der Beschränkung auf einen PL „d“ bezieht sich dabei nicht nur auf das Subsystem I (Eingangsebene), sondern auch auf den Gesamt-PL (selbst wenn sich rein rechne-risch ein PL „e“ ergibt).

Unbestritten ist, dass im Hinblick darauf bei einfachen Reihenschaltungen für einen PL „e“ zusätz liche Maßnahmen zur Fehler-erkennung erforderlich sind, z. B.:

Die Fragestellung betrifft nicht Reihen schaltungen von elektronischen Sicher heitssensoren mit und ohne Zuhaltung (CSS-„Familie“) mit eigenen (implemen-tierten) Fähigkeiten zur Fehleraufdeckung (immer PL „e“, DC 99 %) sowie einfache Einzelgeräte (wie oben genannt), wenn sie in ein Sicherheits-bussystem eingebunden werden. Z. B. kann mit ASi-SaW im Regelfall ebenfalls mit 99 % DC gerechnet werden.

➋ DC = Wahrscheinlich-keits-basierter Wert der Wirksamkeit von Diagnosefunktionalitäten (fehleraufdeckender Maßnahmen), die das Verhältnis zwischen bemerkten gefährlichen Fehlern (dangerous detected) und der Gesamtzahl gefährli-cher Fehler (dangerous total) bezogen auf die Gesamtausfallrate eines Bauteils (λ bzw. 1/MTTFd) ausdrückt.

– der Einbezug der betriebsmäßigen SPS als Testeinrichtung (siehe BGIA-Schal-tungsbeispiel auf der Rückseite),

– wahlweise der Einsatz unserer Eingangs-erweiterungsbausteine PROTECT-IE-... mit einer entsprechenden Signalweiter-verarbeitung (siehe Dokumentation),

– eine Einzelauswertung unter Verzicht auf eine Reihenschaltung.

– Alternativ kommt der Einsatz von Ge-räten mit elektronischer Arbeitsweise infrage (z. B. Geräte der Schmersal’schen CSS-„Familie“, siehe auch ).

Sie können sich anhand der Ausführun-gen auf der Rückseite davon überzeu-gen, welche Überlegungen dem von uns vorgeschlagenen DC-Wert von 60 % Pate gestanden haben und dass selbst eine Fehlerakkumulation in einfachen Reihen-schaltungen – bis auf eine Ausnahme – nicht zu Gefahr bringenden Zuständen führt, legt man eine ausgewogene gesamt-hafte Betrachtung unter Berücksichtigung aller infrage kommenden potenziellen Fehlermöglichkeiten und Applikationsbe-dingungen zugrunde.

* Redensart (die schon bei Luther und Thomas Murner belegt ist)! Mit der bildlichen Wendung wird ausgedrückt, dass jemand im Übereifer übereilt mit dem Schlechten auch das Gute verwirft!

DC➋ =Σ λdd = 60 %Σ λd

EN ISO 13 849-1:2006: Zur Frage des Diagnose deckungsgrads bei einfachen Reihen-

schaltungen von elektromechanischen Sicherheitssensoren und Sicherheitsschaltern

Lieber Leser! Bitte beachten Sie, dass die Auffassung, die wir sorgfältig analysiert und hier zu Papier gebracht haben, in der Branche nicht durchgängig geteilt wird. Wir respektieren diese Bedenken, ohne sie zu teilen; vielmehr verweisen wir die Ein-wände in den Bereich der Risikobeurteilung: Wenn ein Bediener nach dem Öffnen einer Schutzeinrichtung regelmäßig (F2*) an stillstehenden gefährlichen Werkzeugen oder Maschinenteilen zu hantieren hat, z. B. an Messern, an Quetschwalzen u. Ä., und ein plötzlicher Maschinenanlauf (P2*) zu schweren Verletzungen führen kann (S2*), empfehlen wir eine Einordnung der Sicher-heitsfunktion „Verhinderung eines unerwarteten Anlaufs“ in einen Performance Level(r)equired „e“.

* Siehe Riskograf gemäß EN ISO 13 849-1

BGIA-Schaltungsbeispiel für PL „e“ durch zusätz-

liche Einbindung einer betriebsmäßigen SPS für die

Fehlerdiagnose in einer Reihenschaltung

A Darstellung in betätigter Stellung

Betrachtung 2: Schaltungsbeispiele bezogen auf Kurzschlüsse an Sicherheitskontakten

Ausgangspunkt der Betrachtung Fehlerakkumulation – Variante 1 Fehlerakkumulation – Variante 2 Fehlerakkumulation – Variante 3

Erster Fehler:Kurzschluss über Kontakt S1.1 (Schutztür 1)Schutztür 1 wird geöffnetBaustein schaltet 1- kanalig abBetriebshemmung (99 % DC)

Fehlerlöschung:Schutztür 2 wird geöff-netBaustein schaltet 2-kanalig abErneuter Start möglich

Zweiter Fehler bei Schutztür 2Kurzschluss über S2.1



Bewertung:Schutztür (beliebige) wird geöffnetBaustein schaltet 1-kanalig abBetriebshemmung (korrekte sicherheitstechni-sche Reaktion, kein Wiedereinschalten möglich)

Bewertung:Schutztür (beliebige) wird geöffnetBaustein schaltet 1-kanalig abBetriebshemmung (korrekte sicherheitstechni-sche Reaktion, kein Wiedereinschalten möglich

Bewertung:Schutztür 1 wird geöffnetBaustein schaltet nicht abGefährlicher Zustand!Schutztür 2 wird geöffnetBaustein schaltet 2-kanalig abErneuter Start möglich

PS: Bei Anwendungen, worin ein etwaiger Erstfehler betriebs-bedingt immer überschrieben wird, z. B. bei Doppeltüren o. Ä., empfehlen wir beim Einsatz von Sicherheits-Magnetschaltern zusätzliche fehleraufdeckende Maßnahmen (siehe a.a.O.). Bei elektromechanischen Geräten mit zwangsöffnenden Kontakten kann dieser Hinweis vernachlässigt werden.

PS: Um den Fehler zu überschreiben, müsste eine weitere Schutztür geöffnet werden. Ein gefährlicher Zustand erfordert einen 3ten (bei mehr Schutz türen ggf. weitere) Fehler!

PS: Gefährlicher Zustand bei Eintritt eines 3ten Fehlers (bei mehr Schutztüren ggf. weitere Fehler erforderlich)!

K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2 K1

S2.1

+ – –+

S1.1

S2.2

S1.2

Schutztür 2

Schutztür 1

K2

Auf

Zu


Auf

B3

B1A

P

A

P

P P

P

B2

B4

Q1

L

Q2

K3

K1

K3

Hilfs-schütz K2

K2

Q1

Q2Q1

Sicherheits-baustein

SPS

I1.0 I1.1

O1.1

M3~

I1.2Eingänge

Ausgänge

I1.3 I1.4

K1Zu


Q2

Betrachtung 1: Anforderungen zur Fehleraufdeckung gemäß EN ISO 13 849-1:2006

Fehlermöglichkeiten Sicherer Zustand/Fehlererkennung (SK 3)

(einfache Reihenschaltung)

Sicherer Zustand/Fehlererkennung (SK 4)

(Einzelauswertung)

1. Fehler DC in % Bemerkung 1. Fehler DC in % Bemerkung

Erdschluss Ja! 99 Ja! 99

Querschluss (bei geschützter Leitungs-verlegung oder QS-Erkennung)

Ja! 99 Ja! 99

Kurzschluss über einen Sicherheitskontakt Ja! ≥ 49,5 … 99

Diagnoseüberschreibung möglich!

Ja! 99

ERGO: Min. DC im Durchschnitt aller Fehlermöglichkeiten

> 60

Auch im Worst-case!

99

Fehlerakkumulation Fehler 2 ff. DC in % Bemerkung Fehler 2 ff. DC in % Bemerkung

Weitere Kurzschlüsse Bedingt! 0 … 99 Je nach Fehlersequenz! Ja! 99 Max. 3-Fehler-Betrachtung

Wie wird Diagnosedeckungsgrad definiert? Der Diagnosedeckungsgrad beschreibt die Fähigkeit der Fehleraufdeckung und wird in % ange-geben (0 % → keine Fehleraufdeckung … ≥ 99 % → Fehler werden rechtzeitig erkannt, Anhäufun-gen unerkannter Fehler werden in Betracht gezogen).

Welche Fehler sind im vorliegenden Fall möglich?

Erdschluss → wird über die nachgeschaltete Logik erkannt → 99 %Querschluss → wird über die nachgeschaltete Logik erkannt (bzw. kann bei geschützter Leitungsverlegung ausgeschlossen werden) → 99 %Kurzschluss über einen Sicherheitskontakt (worst case): 49,5 % bei 2 Geräten in Reihe, ab 3 Geräten in Reihe: ≥ 66 %

140

141

Exkurs:

Umgang mit der PFHd-Begrenzung auf 100 y MTTF

d

im Anhang K von EN ISO 13 849-1:2006

141

142

Exkurs: Umgang mit der PFHd-Begrenzung auf 100 y MTTF

d

im Anhang K von EN ISO 13 849-1:2006

Bei komplexeren Sicherheitsfunktionen kann die PFHd-Begrenzung auf 100 y MTTFd im An-hang K von EN ISO 13 849-1:2006 zu einer Stolperstelle werden. Gleiches ist möglich, wenn verschiedene Subsysteme in einer Sicherheitsfunktion teils selbst (über SK, MTTFd und DC) ermittelt wurden, teils – mit Sub-PL-Angabe und PFHd-Wert – auf Angaben von Sicherheits-bauteile-Herstellern basieren.

Gesetzt den Fall, Sie haben 5 Subsysteme mit• Steuerungskategorie 4 (SK 4),• einem MTTFd-Wert (bei homogenen Kanälen) von je 200 y und• einem Diagnosedeckungsgrad von 99 % („hoch“)

und bedienen sich – mangels weiterer Angaben – im Anhang K von EN ISO 13 849-1:2006 des auf 100 y abgerundeten MTTFd-Werts, ergäbe sich pro Subsystem ein Wert von 2,47 × 10–8, d. h. bei 5 Subsystemen in der Summe 1,2 × 10–7. Mit diesem PFHd-Wert würden Sie – aber ausschließlich aufgrund der 5-maligen Abrundung – nur noch einen PL „d“ (1 × 10–6 … 1 × 10–7) erreichen, obwohl Ihre Sicherheitsfunktion in Wirklichkeit „besser“ ist (nämlich einem PFHd-Wert von 6 × 10–8 entspricht). Selbst bei 4 Subsystemen kommen Sie schon in den Grenzbe-reich zwischen PL „e“ und PL „d“. Kritisch sind auch mehr als 2 Subsysteme für einen PL „c“ (wenngleich hier die 100 y-Abrundung nicht hineinspielt).

SuSy 1 + SuSy 2 + SuSy 3 + SuSy 4 + SuSy 5 = Σ

2,47 × 10–8 2,47 × 10–8 2,47 × 10–8 2,47 × 10–8 2,47 × 10–8 12,35 × 10–8

(1,235 × 10–7)

In diesen Fällen lassen sich die Subsysteme unter Zuhilfenahme der Rechenformeln von EN ISO 13 849-1:2006 (siehe ff.) wie folgt zusammenfassen:

Die Steuerungskategorie des Gesamtsystems entspricht SK 4, da alle Subsysteme SK 4 entsprechen (ansonsten entspräche die SK dem schwächsten Glied in der Kette); die MTTFd-Werte der einzelnen Subsysteme wurden per Parts-Count-Methode addiert (zuvor ggf. symmetrisiert), d. h. die Summe entspricht 40 y MTTFd je Kanal; als DCavg ergäbe sich 99 % (siehe Formel a.a.O.).

N1=Σ 1

MTTFd MTTFd i

i = 1►

Kat. 4DC: 99 %

MTTFd: 200 y+

Kat. 4DC: 99 %

MTTFd: 200 y+

Kat. 4DC: 99 %

MTTFd: 200 y+

Kat. 4DC: 99 %

MTTFd: 200 y+

Kat. 4DC: 99 %

MTTFd: 200 y

ggf.▼

MTTFd =2

MTTFd C1 + MTTFd C2 –1

3 1 + 1MTTFd C1 MTTFd C2

≜Kat. 4

DC: 99 % (hoch)MTTFd-Σ: 40 y

►PFHd gemäß Anhang K:

7,11 × 10–8

D. h. gemäß Anhang K von EN ISO 13 849-1:2006 ergäbe sich für die Gesamtbetrachtung der Subsysteme ein PFHd-Wert von 7,11 × 10–8. Auf diesen Wert könnten dann noch PFHd-Werte anderer Subsysteme mit Herstellerangaben hinzu addiert werden.

143

Beispiel 2

Diese Herangehensweise ist auch bei unterschiedlichen Strukturen von Subsystemen mög-lich. Nachfolgend sei ein Mixtum Compositum aus Subsystemen mit SK 3 und SK 4 und unterschiedlichen Diagnosedeckungsgraden unterstellt (der Einfachheit halber lassen wir es aber bei gleichen MTTFd-Werten von 200 y je Kanal).

Unter Berücksichtigung der Theorie des schwächsten Glieds, einem DCavg gemäß Formel und einer mittels Parts-Count-Methode addierten MTTFd von 40 y ergäbe sich ein PFHd-Wert von 4,53 × 10–7 (→ PL „d“).

Schwächstes Glied

DCavg =

DC1 +DC2 + ... +

DCS

MTTFd1 MTTFd2 MTTFdN

1 + 1 + ... + 1MTTFd1 MTTFd2 MTTFdN

Kat. 3DC: 90 %MTTFd: 200 y

+


+


+


+


►

►

►

Siehe Seite 142

≜Kat. 3

DC: 88 % (niedrig)MTTFd-Σ: 40 y

►

PFHd gemäß Anhang K:4,53 × 10–7

→ PL „d“

Beim Einsatz des SISTEMA-Tools kommen Sie zu gleichen Ergebnissen, wenn Sie unter einem Subsystem mehrere Blöcke (BL’s) und Elemente (EL’s) zusammenfassen.

144

145

Herausgeber

K.A. Schmersal GmbH

Industrielle SicherheitsschaltsystemeMöddinghofe 30D-42279 WuppertalPostfach 240263D-42232 Wuppertal

Telefon: +49 (0)202 6474-0Telefax: +49 (0)202 6474-100E-Mail: [email protected]: www.schmersal.com

Elan Schaltelemente GmbH & Co. KG

Im Ostpark 2D-35435 WettenbergPostfach 1109D-35429 Wettenberg

Telefon: +49 (0)641 9848-0Telefax: +49 (0)641 9848-420E-Mail: [email protected]: www.elan.de

Redaktion

Friedrich AdamsK.A. Schmersal Holding GmbH & Co. KGLeiter Schmersal tec.nicum

Telefon (mobil): +49 (0)178 6474-051Telefon (Wuppertal): +49 (0)202 6474-700 Telefon (Homeoffi ce): +49 (0)6406 8362-37Telefax (Wuppertal): +49 (0)202 6474-700719 Telefax (Homeoffi ce): +49 (0)6406 8362-38E-Mail: [email protected]

Gesamtherstellung

fl ick-werk – Werbe-Grafi k Heinz Flick, D-35075 GladenbachDruckhaus Waitkewitsch, D-36304 Alsfeld

146

SicherheitstechnikSicherheit im System – Schutz für Mensch und Maschine

Oft ist es unumgänglich, dass Menschen in den Arbeits ablauf einer Maschine eingreifen – zum Beispiel beim Bestücken, Entnehmen, Reinigen, Instandsetzen …. In diesen Fällen muss die Sicherheit für den Bedie-ner gewährleistet sein. Das gebietet die Verantwortung des Maschinenbetreibers, so fordern es auch weltweit die Normen und Richtlinien zur Maschinensicherheit.

Die Schmersal-Gruppe setzt sich seit vielen Jahren mit ihren Produkten für die Sicherheit am Arbeitsplatz ein und bietet der Industrie heute das weltweit größte Pro-gramm von Sicherheits-Schaltgeräten und -systemen zum Schutz von Mensch und Maschine.

Unter dem Leitgedanken „Sicherheit im System – Schutz für Mensch und Maschine“ entwickeln und fertigen die Unternehmen der Schmersal-Gruppe Sicherheits-Schaltgeräte, die dem Systemgedanken Rechnung tragen und sich optimal in die Arbeitsabläufe integrieren lassen. Denn Sicherheit, das ist unsere Überzeugung, steht nicht im Gegensatz zu hoher Pro-duktivität.

Das außerordentlich umfangreiche Produktspektrum erklärt sich vor allem aus der Kundenorientierung von Entwicklung und Produktmanagement: Viele Produkte wurden auf der Basis von Kundenwünschen entwickelt bzw. an die spezifi schen Einsatzbedingungen ange-passt. Aber auch durch die Entwicklung vom Einzel-unternehmen zur leistungsfähigen Gruppe hat sich unser Produkt-Portfolio wesentlich erweitert.

Heute präsentiert sich die Schmersal-Gruppe als ein weltweit agierender Verbund von Unternehmen, die sich als Kompetenz-Center jeweils auf bestimmte Bereiche der Sicherheits-Schaltgeräte und -Systeme konzentrieren.

So bietet die Schmersal-Gruppe ihren Kunden Sicher-heit im System und Schutz für Mensch und Maschine.

1471147

More Details

Ausführliche Informationen über unser

Produktangebot erhalten Sie im Internet unter

www.schmersal.com, technische Detail-

informationen fi nden Sie unter www.schmersal.net

Online-Dokumentation in sechs Sprachen

Das Online-Angebot für unsere Kunden wird beständig erweitert. Der Gesamtkatalog steht komplett im Netz – in sechs Sprachen. Aber nicht nur die technischen Daten des gesamten Produktprogramms sind so rund um die Uhr stets aktuell verfügbar. Auch die Konfor-mitätserklärungen, die Prüfzertifi kate sowie die Montageanleitungen lassen sich einsehen bzw. herunterladen.

Service für den Konstrukteur

Auch die technischen Zeichnungen der Produkte sind im Online-Katalog hinterlegt – ein besonderer Service für den Konstrukteur. Denn er kann die Zeichnungen herunterladen und direkt in sein CAD-System über-nehmen. Darüber hinaus fi ndet er auf der Schmersal-Homepage auch aktuelle Informationen zu übergrei-fenden Themen – zum Beispiel Fachaufsätze zur Maschinensicherheit sowie Hinweise zu Schulungen und Veranstaltungen. Unser Tipp: Einfach mal rein-schauen!

Der direkte Draht

Selbstverständlich können Sie auch einfach anrufen, wenn Sie weitere Informationen oder ein Gespräch wünschen:

Tel.: +49 (0)202 6474-0

Wir beraten Sie gern persönlich!

148

1.50

0 /

W /

02.

2011

/ 1

2082

93 /

Aus

gab

e 03

Ä

© fl

ick-

wer

k

K.A. Schmersal GmbH

Industrielle SicherheitsschaltsystemeMöddinghofe 30D-42279 WuppertalPostfach 24 02 63 09D-42232 Wuppertal

Telefon: +49 (0)202 6464-0Telefax: +49 (0)202 6474-100E-Mail: [email protected]: www.schmersal.com

Elan Schaltelemente GmbH & Co. KG

Im Ostpark 2D-35435 WettenbergPostfach 11 09D-35429 Wettenberg

Telefon: +49 (0)641 9848-0Telefax: +49 (0)641 9848-420E-Mail: [email protected]: www.elan.de

Documents

Einige spezifische Hintergrundinformationen zu EN ISO 13 ... · PDF filePerformance Level (3) ..... Seite 92 Teil 7: Lexikonteil/ Weitere Infos zu einigen Stichwörtern und Begriffen