Suchen

Typprüfung Serie, Teil 4 Bevor der TÜV kommt!

Autor / Redakteur: Thorsten Gantevoort, Thomas Steffens* / Reinhard Kluger

Die Einführung der Normen EN 61508, EN 62061 und bevorstehend der EN ISO 13849-1 bringt nicht nur Neuerungen für den Entwickler von Geräten und Komponenten im Bereich „Sicherheit von Maschinen“, sondern auch für den Konstrukteur, der diese „sicherheitsbezogenen Teile von Steuerungen“ für seine Maschine auswählt und einsetzt. Bevor der TÜV kommt, ist zu klären: Welche Informationen benötigt der Anwender? Welche Angaben muss der Hersteller bereitstellen? Checklisten erleichtern die Arbeit.

Firmen zum Thema

Tafel 5: Sicherheitskette als Reihenschaltung sicherheitsrelevanter Teile nach EN ISO 13849.
Tafel 5: Sicherheitskette als Reihenschaltung sicherheitsrelevanter Teile nach EN ISO 13849.
( Archiv: Vogel Business Media )

Bisher musste der Maschinenkonstrukteur und Systemintegrator die Vorschrift nach EN 954-1 zu Grunde legen, um die Erfüllung der allgemeinen Gesundheits- und Sicherheitsanforderungen entsprechend der europäischen Maschinenrichtlinie nachzuweisen. Sie diente dem Maschinenkonstrukteur und Systemintegrator als wichtige Grundlage zur Durchführung einer Risikoanalyse. Eine entsprechend dem Ergebnis der Risikoanalyse erforderliche Risikominderung konnte durch die Wahl der Schutzeinrichtungen mit der entsprechenden Sicherheitskategorie (B, 1 bis 4) erreicht werden. Hierbei war es unerheblich wie viele Komponenten und Geräte für die Sicherheitsfunktion kombiniert wurden, sie mussten lediglich alle der erforderlichen Kategorie entsprechen.

Wesentliche Änderungen werden kommen

Durch die Veröffentlichung der Vorschrift EN 62061 im Amtsblatt der EU als harmonisierte Norm sowie der EN 61508 als technische Spezifikation im Sinne der Maschinenrichtlinie ergeben sich wesentliche Änderungen: Es besteht nun die Verpflichtung zusätzlich zur EN 954-1 auch die neuen Normen EN 62061 und EN 61508 bei der Konformitätserklärung zu Grunde zu legen. Ausnahmen bilden einfache niedrig komplexe Systeme.

Bildergalerie
Bildergalerie mit 6 Bildern

Ausgehend von einer Risiko- und Gefährdungsanalyse, die gemäß der Maschinenrichtlinie verpflichtend für den Maschinenkonstrukteur oder Systemintegrator ist, erhält man je nach abzusicherndem Risiko bei Anwendung der EN 954-1 eine erforderliche Sicherheitskategorie (SK) und bei Anwendung der neuen Normen zur Funktionalen Sicherheit einen Safety Integrity Level (SIL). Sollte die EN ISO 13849-1 harmonisiert werden, erhielte man bei der Anwendung dieser Norm zusätzlich einen Performance Level (PL). Die grundlegende Vorgehensweise der Risikoabschätzung anhand eines Risikographen hat sich wenig geändert. Legt man die gleichen Parameter für die Risikoabschätzung zugrunde und wendet diese auf die oben genannten Normen an, zeigen sich die Zusammenhänge zwischen den Sicherheitskategorien, den Safety Integrity Level und den Performance Level. In der Maschinensicherheit kann das Maß der Risikoreduzierung maximal SIL 3 betragen. Die Basisnorm EN 61508 betrachtet Safety Integrity Level bis SIL 4 und somit auch Gefahren und Risiken mit katastrophalen Auswirkungen, die zu zahlreichen Toten führen können. Mit den neuen Normen wurde der Aspekt der Wahrscheinlichkeit eines gefährlichen Versagens eingeführt. Dies hat eine differenzierte und erweiterte Betrachtung der Sicherheitsfunktion und deren Komponenten der Sicherheitskette zur Folge. Die Zusammenschaltung mehrerer Sicherheitsbauteile zu einer Sicherheitskette, kann je nach Verschaltung zu einer Erhöhung der Wahrscheinlichkeit eines Versagens der Sicherheitsfunktion führen.

Diese Wahrscheinlichkeit lässt sich durch verschiedene sicherheitstechnische Kenngrößen angeben, die dem Anwender zur Verfügung gestellt werden müssen. Damit kann dieser die gefährliche Ausfallwahrscheinlichkeit der gesamten Sicherheitskette berechnen (siehe Beispiele). Es reicht also nicht mehr, aus Komponenten einer Sicherheitskategorie auszuwählen, um eine Schutzeinrichtung zur Absicherung eines Risikos zusammenzustellen!

Was muss nun der Hersteller einer sicherheitstechnischen Komponente dem Maschinenkonstrukteur oder Systemintegrator zur Verfügung stellen? Je nach anzuwendender Norm sind unterschiedliche Werte anzugeben. Die Normen IEC 61508 und IEC 62061 kategorisieren in Safety Integrity Level (SIL) und beschreiben unter anderem die Kenngrößen PFDAV (mittlere Wahrscheinlichkeit eines gefährlichen Fehlers bei Anforderung der Sicherheitsfunktion) und PFH (Ausfallrate pro Stunde) bzw. PFHD. Die EN ISO 13849 unterteilt Geräte in Performance Level (PL) und gibt MTTFd-Werte (mittlere Zeit bis zu einem gefährlichen Ausfall) an. Zusätzlich zu diesen Kenngrößen sind meist noch weitere Angaben zur Berechnung der Sicherheitskette notwendig und somit vom Hersteller anzugeben.

Folgende Kenngrößen müssen gemäß IEC 61508, IEC 62061 und EN ISO 13849-1 im Rahmen des Sicherheitsnachweises ermittelt werden (siehe Werte in Tafel 1 und 2) und gegebenenfalls die Restfehlerwahrscheinlichkeit eines gefahrbringenden Übertragungsfehlers beim Einsatz sicherheitsrelevanter Bussysteme.

Mit Hilfe dieser Werte muss der Hersteller nachweisen, dass die Grenzwerte der gesamten Sicherheitskette für einen bestimmten SIL bzw. PL nicht überschritten werden. Maßgeblich für den Maschinenhersteller sind zur Zeit die Kennwerte entsprechend EN 62061.

Beispiel: Berechnung der sicherheitstechnischen ...

Zusätzlich zu einigen der genannten Kenngrößen müssen dem Anwender zusätzlich weitere wichtige Angaben, wie beispielsweise Installationshinweise, zur Verfügung gestellt werden. Im Folgenden sind die notwendigen Angaben normübergreifend zusammengefasst. Hierbei sind hauptsächlich die Neuerungen genannt:

Hersteller:

• Sicherheitsnachweis für die Komponenten (zum Beispiel TÜV Rheinland Group -Zertifikat).

• Nachweis der Eignung für einen Einsatz in Anwendungen bis zu einem bestimmten SIL, PL bzw. SK.

Dies bestätigt, dass die Komponente unter Anwendung eines Qualitätsmanagementssystems, welches die Anforderungen der Normen für den angegebenen SIL bzw. PL erfüllt, spezifiziert, entwickelt und produziert wurde.

• Installations- und Betriebsanleitung mit Angabe der Umweltbedingungen und der Restrisiken.

• Instandhaltungs- und Wartungsmaßnahmen, insbesondere Prozeduren zur Fehlererkennung (Proof Test) und Reparatur.

• Sicherheitstechnische Kenngrößen, wie IEC 61508, IEC 62061 (SIL): SIL, PFH bzw. PFH D, PFD, T1, GammaD, und DC oder GammaDU. Oder bei EN ISO 13849 (PL): PL, MTTFd, TM, DC.

• Informationen über notwendige externe Diagnosen, wodurch GammaDU der Komponente erreicht wird (siehe Beispiele).

• Reaktionszeit.

• Lebensdauer z. B. bei elektromechanischen Bauteilen.

Maschinenkonstrukteur, Betreiber:

• Risikoanalyse, Identifizierung aller Gefährdungen.

• erforderliche Risikominderung durch Schutzeinrichtungen und organisatorische Maßnahmen.

• Sicherheitsnachweis für alle Sicherheitsfunktionen: wie geforderte Fehlersicherheit durch Verwendung geeigneter Komponenten und: die Berechnung der gefährlichen Versagenswahrscheinlichkeit bzw. sicherheitstechnische Verfügbarkeit der gesamten Kette.

Wie geht der Konstrukteur mit den Kenngrößen um? Er wäre überfordert, wenn er beispielsweise die PFH einer komplexen Steuerung ermitteln sollte. Das ist die Aufgabe der Hersteller. Sie müssen die Größen, die man zur Berechnung der Sicherheitskette benötigt, angeben und dabei die Anforderungen der Normen berücksichtigen.

Im Folgenden sind zwei Beispiele angegeben, die anhand einer einfachen Berechnung einer Sicherheitskette nach EN 62061 und nach EN ISO 13849 das prinzipielle Vorgehen erläutern sollen.

Zur EN 61508/EN 62061: Der einzuhaltende PFD oder PFH Wert bezieht sich immer auf die komplette Sicherheitsfunktion!

Der Sicherheits-lntegritätslevel (SIL) nach EN 61508 ist definiert für die Betriebsart mit niedriger Anforderungsrate und für die Betriebsart mit hoher/kontinuierlicher Anforderung, der SIL nach EN 62061 ist nur für die Betriebsart hohe/kontinuierliche Anforderung bis zum Level 3 definiert.

Verfügbarkeit von einfachen Systemen

Eine niedrige Anforderungsrate PFDAV ist dann gegeben, wenn die Anforderungsrate an das sicherheitsbezogene System nicht mehr als einmal pro Jahr erfolgt und nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist. Eine hohe bis kontinuierliche Anforderungsrate (PFH bzw. PFHD)liegt vor, wenn die Anforderung an das System mehr als einmal pro Jahr erfolgt oder größer als die doppelte Frequenz der Wiederholungsprüfung ist.Die Bestimmung der gefährlichen Versagenswahrscheinlichkeit geht von der gesamten Sicherheitskette aus. Durch Reihenschaltung der Sicherheitskomponenten addieren sich die Ausfallwahrscheinlichkeiten. Dies führt zu einer Erhöhung der Wahrscheinlichkeit eines gefährlichen Versagens der Sicherheitskette (siehe Tafel 4).

Fehler: die mittlere Wahrscheinlichkeit

Die mittlere Wahrscheinlichkeit eines gefährlichen Fehlers der Sicherheitskette innerhalb einer Stunde ergibt sich zu:

PFHD = PFHD_Sensor + PFHD_Steuerung + PFHD_Aktor

Die Berechnung des gesamten PFD gestaltet sich etwas komplizierter. Nur wenn alle Komponenten das gleiche Proof Test Intervall (T1) haben, kann nach folgender Formel das gesamte PFD berechnet werden:

PFDAV = PFDAV_Sensor + PFDAV_Steuerung + PFDAV_Aktor

Ist dies nicht der Fall, müssen die PFD(t)-Werte addiert werden. Über dem resultierenden PFD(t) wird dann anschließend der Mittelwert gebildet.

Niedrigster Performance Level PLLow

Zur prEN ISO 13849-1: Der Bestimmungsvorgang geht von einem Gesamtsystem (Sicherheitskette) mit einer Reihenschaltung von N Elementen, deren PL bereits bekannt ist, aus. Dieses System ist eine Kombination von verschiedenen sicherheitsrelevanten Teilen in einem Steuersystem (SRP/CS) (siehe Tafel 6).

Bei der Reihenschaltung sicherheitsrelevanter Teiler (Sicherheitskette) gelten drei Kriterien: Identifizieren der Komponente mit dem niedrigsten PL (PLlow), Bestimmen der Anzahl Nlow ? N der Teilsysteme mit PL = PLlow und: Ermitteln des resultierenden PL anhand der Tafel 6. Der PL des Gesamtsystems berechnet sich dann wie folgt: PLlow = c und Nlow = 1.

TÜV Rheinland Industrie Service, Tel. +49(0)221 8062981

Safety: Die Serie und ihre Folgen

Teil 1: Normen als Stand der Technik – die Entwicklungen der Maschinensicherheit und die Auswirkungen, Heft 1-2006, S. 32–35

Teil 2: Die drei Standards der Maschinensicherheit: EN ISO 13849, IEC 61508 und IEC 62061 – Ausblick und Entwicklungstendenzen, Heft 5-2006, S. 26–31

Teil 3: Erfahrungen und Hilfestellungen bei der entwicklungsbegleitenden Typprüfung – Sicherheit im Spannungsfeld zwischen prEN ISO 13849 (EN 954-1), IEC 61508 und IEC 62061, Heft 9-2006, Seite 20-23

Teil 4: prEN ISO 13849-1, IEC 61508 und IEC 62061 – Was brauche ich, was bekomme ich? Welche Informationen benötigt der Anwender? Welche Angaben muss der Hersteller bereitstellen?

*Dr.-Ing. Thorsten Gantevoort und Dipl.-Ing Thomas Steffens sind Fachreferenten des TÜV Functional Safety Program bei der TÜV Rheinland Industrie Service GmbH der TÜV Rheinland Group, Köln.

(ID:190647)