142 O+P 3/2006
Sicherheitsnorm mit neuem KonzeptRevision der EN 954-1 (ISO 13849-1) vereinigt Kategorien mit Ausfallwahrscheinlichkeiten
Michael Hauke, Michael Schaefer
Seit 1996 werden sicherheitsrelevan-te Steuerungen von Maschinen, ob mechanisch, pneumatisch, hydrau-lisch oder elektrisch, nach EN 954-1 erfolgreich in fnf Kategorien einge-teilt. Mit dem Vormarsch program-mierbar elektronischer Systeme er-gab sich aber die Notwendigkeit einer grundlegenden Revision als prEN ISO 13849-1 mit gleichzeitiger Integration des in der elektrischen Sicherheits-Grundnorm IEC 61508 verankerten Bezugs auf Ausfallwahr-scheinlichkeiten. Mit dem Anspruch, weiterhin alle Technologien ange-messen und vor allem praktikabel zu klassifi zieren, wurden die Kategorien in das grere Konzept des Per- formance Levels eingebettet.
Das Beste aus zwei WeltenWenn Sie die vier Grundrechenarten be-herrschen lesen Sie bitte weiter!
Auch wenn sie lngst noch nicht jeder kennt und anwenden kann, ist die EN 954-1 mit ihren Kategorien seit 1996 einer der meistgenutzten Standards, wenn es um Maschinensteuerungen mit Sicherheits-funktionen geht. Mehr als 1 000 Produkt-normen, z.B. fr Bearbeitungszentren, Pres-sen, Spritzguss- und Rotationsdruckma-schinen geben eine Kategorie vor und ent-scheiden damit darber, ob eine Steuerung
mit zustzlichen internen berwachungs-manahmen oder gar einem kompletten zweiten Kanal realisiert werden muss, abhngig vom zu erwartenden Risiko an der Maschine. Dies soll den Bediener schtzen, auch wenn Teile der Hard- oder Software ausfallen. Die Kategorien beschreiben die Struktur einer Sicherheitssteuerung durch die Gte der verwendeten Bauteile, die Wirksamkeit von Tests und die Fehler-toleranz.
Alternative, aber relevante Normen im Bereich der funktionalen Sicherheit sind die IEC 61508 und ihre Sektornorm IEC 62061 fr die Maschinen-Industrie, welche einen Sicherheits-Integitts-Level (SIL) defi nieren. Beide gelten zunchst nur fr elektrische, elektronische und program-mierbar elektronische Systeme, auch wenn der grundlegende Ansatz, Ausfallwahr-scheinlichkeiten und nicht Strukturen als charakteristische Kenngre zu defi nieren, universeller ist. Sie sind seit kurzen auch inhaltsgleich als DIN EN 61508 (VDE 0803) bzw. EN 62061 (DIN IEC 62061/
NORMUNG
Autoren: Dipl.-Phys. Michael Hauke ist wissenschaftlicher Mitarbeiter des Fachbereichs 5 Unfallverhtung und Produktsicherheit im BGIA Berufsgenossenschaftliches Institut fr ArbeitsschutzDr. rer. nat. Michael Schaefer ist Leiter des Fachbereichs 5 Unfallverhtung und Produktsi-cherheit im BGIA Berufsgenossenschaftliches Institut fr Arbeitsschutz
deckt alle Technologien ab (Mechanik, Pneumatik, Hydraulik, Elektrik),nur gltig fr Maschinen-Industrie
nur gltig fr elektrische, elektronische und programmier-bar elektronische Systeme;nur gltig fr Maschinen-Industrie
nur gltig fr elektrische, elektronische und program-mierbar elektronische Systeme;gltig fr Maschinen- und Prozess-Industrie
beschftigt sich nur mit dem technischen Design von Sicherheits-Steuerungen,keine organisatorischen Anforderungen
beschftigt sich mit allen Aspekten der funktionalen Sicherheit whrend des gesamten Lebenszyklus einer Maschine
beschftigt sich mit allen Aspekten der funktionalen Sicherheit whrend des gesamten Lebenszyklus einer Maschine oder Anlage
harmonisiert bzw. harmonisierbar, d.h. Vermutungswirkung zur Maschinenrichtlinie
harmonisiert, d.h. Vermutungs-wirkung zur Maschinenrichtlinie
nicht harmonisierbar, d.h. keine Vermutungswirkung zur Maschinenrichtlinie
zwei Teile, ca. 100 und 60 Seiten ein Teil, ca. 100 Seiten, praktisch nicht ohne IEC 61508 verwendbar
acht Teile, ca. 440 Seiten
Anwendungsnorm (Typ B1) Sektornorm Sicherheits-Grundnorm
praktikable, vereinfachte Methoden, basierend auf typischen Architekturen (Kategorien)
vereinfachte Methoden fr die Zu-sammenschaltung von Subsyste-men, sonst Verweis auf IEC 61508
Methoden werden meist offengelassen, um die Flexibilitt bei der Metho-denwahl nicht einzuschrn-ken
EN seit 1997, Abschluss der Revision ca. 2006
EN seit 2005 EN seit 2001, laufende berarbeitung
prEN ISO 13849-1 IEC 62061 IEC 61508
Tabelle 1
1: Die berarbeitung der EN ISO 13849-1 versucht den Balance-Akt zwischen bewhr-ten Prinzipien der EN 954-1 und neuen Anstzen der IEC 61508
O+P 3/2006 143
VDE 0113-50) verff entlicht. Durch die Zu-rckziehung der deutschen DIN V VDE 0801 fr Rechner mit Sicherheitsaufgaben gibt es seit 2004 bei elektronischen Syste-men keine echte Alternative zur IEC 61508. Daher war die anstehende Revision der EN 954-1, welche seit 1999 auch EN ISO 13849-1 heit, ein willkommener Anlass, Software-Anforderungen zu integrieren, um weiterhin alle Technologien innerhalb eines Konzeptes bewerten zu knnen.
Die berlappung des Regelungsan-spruchs beider Normenwelten ist fr Steu-erungshersteller natrlich unbefriedigend und mit Mehraufwand verbunden. Zwar braucht sich die Fluidtechnik streng ge-nommen nicht um SILs zu kmmern, aber einerseits wird auch dort zunehmend elekt-ronische Technologie integriert und ande-rerseits wird es im internationalen Geschft blich, auch fr Ventile nach einem SIL zu fragen. Um die langfristige Zusammen-legung beider Normenwelten vorzuberei-ten und die Vorteile des Wahrscheinlich-keitsansatzes zu nutzen, ohne die bewhr-ten Kategorien ber Bord zu werfen, hat die Revision der EN ISO 13849-1 einen Balan-ceakt gewagt, siehe auch Bild 1 und Tabelle 1. Dieser verlangt dem vom neu-en Konzept der Performance Level (PL) berraschten Anwender zwar wie immer eine Einarbeitung ab (ein Tag bung), bietet aber gleichzeitig ein lngerfristig tragfhiges Konzept an, welches letztlich Doppelarbeit vermeidet. Mit der Vergleich-barkeit von PL und SIL und dem prakti-kablen, gut beschriebenen Ansatz der prEN ISO 13849-1 erff net sich nicht nur der Fluidtechnik die Chance eines sanften bergangs auch in Anwendungsbereiche der Zuverlssigkeitsberechnungen. Die vier Grundrechenarten reichen!
Sicherheitsfunktionen und allgemeiner AblaufAls bewhrtes Konzept steht die Defi nition der Sicherheitsfunktion (SF) am Anfang des
Design- und Bewertungsprozesses nach prEN ISO 13849-1. Wie sieht der Beitrag der Sicherheits-Steuerung zur Risikoreduzie-rung an einer Maschine aus? Dies kann zum Beispiel der Schutz gegen unerwarteten An-lauf sein, wenn ein Bediener bei geff neter Schutzeinrichtung einen Gefahrenraum be-tritt. Da es an einer Maschine durchaus mehrere Sicherheitsfunktionen geben kann (z.B. fr Automatik- und Einrichtbetrieb), ist eine sorgfltige Betrachtung jeder Sicher-heitsfunktion fr sich sehr wichtig. Auch wenn durchaus dieselbe Hardware an ver-schiedenen Sicherheitsfunktionen beteiligt sein kann, ist die erforderliche Hhe der Risikoreduzierung u. U. unterschiedlich. Bild 3 zeigt, wie es danach ber die Ermitt-lung des geforderten (PL
r) und von einer
Steuerung erreichten (PL) Performance Levels weitergeht im Ablaufplan der Norm.
Sollwert? Der erforderliche Performance Level PL
r
Das Risiko an einer Maschine kann neben der Steuerung auch z. B. durch trennende Schutzeinrichtungen (z. B. eine Schutztre) oder persnliche Schutzausrstung (z. B. eine Schutzbrille) verringert werden. Ist aber erst einmal festgelegt, was die Steue-rung anteilig leisten muss, dann hilft der Risikograph (siehe Bild 4) bei der schnel-len und direkten Bestimmung des geforder-ten Performance Levels PL
r. Ist die Verlet-
zung irreversibel (z. B. Tod, Verlust von Kr-perteilen) oder reversibel (z. B. Quetschun-gen), hlt sich der Bediener hufi g und
lange im Gefahrenbereich auf (z. B. fter als ein Mal pro Schicht) oder selten und kurz und hat er eine Mglichkeit den Unfall noch zu vermeiden (z. B. wegen langsamer Ma-schinenbewegung)? Diese drei Fragen ent-scheiden ber den PL
r.
Die Norm IEC 62061 bewertet das Risiko mit deutlich mehr Parametern. Beispiels-weise wird die Schwere der Verletzung in vier Stufen eingeteilt (siehe unten stehende Tafel).
Dies sieht zunchst sehr praxisbezogen aus ja scheint sogar Einsparpotenzial fr die Sicherheit zu versprechen , aber mal Hand aufs Herz: wer mchte ber die obi-gen Verletzungen im Vorfeld ernsthaft ver-antwortlich entscheiden. Reicht es nicht aus zwischen schweren und leichten Ver-letzungen zu unterscheiden? Was sagt man spter dem Opfer oder dem Richter, wenn statt dem Finger doch der Arm ab ist?
Istwert? Der erreichte Performance Level PLEine Sicherheitssteuerung ist voraussicht-lich nur so gut wie die verwendeten Bautei-le, ihr Zusammenspiel (Dimensionierung), die Wirksamkeit der Diagnose (z.B. Selbst-tests) und die Fehlertoleranz (Fehlersicher-heit) der Struktur. Dieses Prinzip gilt fr die Kategorien genauso wie fr den neu defi -nierten PL, nur das der PL formell ber Aus-fallwahrscheinlichkeiten defi niert ist. Kein Unterschied also zum SIL nach IEC 61508/62061 (siehe Tabelle 2). Die Revision der EN ISO 13849-1 lsst die zu verwendende Mathematik off en. So darf man durchaus die hoch komplexe Markov-Modellierung unter Bercksichtigung der oben genann-ten Parameter nutzen. Jedoch bricht nicht jeder Entwickler die Autoren sprechen aus eigener Erfahrung gerade in einen Freu-dentaumel aus, sich in das Feld der Zuver-lssigkeitsstatistik einzuarbeiten (das kann schon einmal ein Jahr dauern). Daher musste ein Ansatz geschaff en werden, der die Mathematik nicht verbiegt, aber die
NORMUNG
2 oben: Die Definition der Kategorien hat sich kaum gendert, aber es gibt zustzliche Mindestanforderungen an MTTF
d, DC
avg und Ma-
nahmen gegen CCF
3: An die Ermittlung des erforderlichen Performance Levels (PLr)
schliet sich ein Vergleich mit dem erreichten Performance Level (PL) an unter Umstnden iterativ
Konsequenzen Se
