Suchen

Typprüfung Serie, Teil 2 Bevor der TÜV kommt!

Autor / Redakteur: Thorsten Gantevoort, Thomas Steffens* / Reinhard Kluger

Die derzeitige Norm und Grundlage für funktionale Sicherheit, die EN 954-1, gilt als technisch überholt. In der letzen Zeit haben die verantwortlichen Gremien verschiedene komplexe Normen entworfen und überarbeitet. Die wichtigsten im Bereich der Maschinensicherheit sind die IEC 61508, IEC 62061 und die prEN ISO 13849-1. Noch weiß man nicht, welche Norm sich in welchem Anwendungsgebiet wohl durchsetzen wird. Heute jedoch schon wichten, lassen sich die Argumente für Pro und Contra.

Firmen zum Thema

( Archiv: Vogel Business Media )

Noch ist sie als harmonisierte Norm gültig: die EN 954-1, die zum Sicherheitsnachweis bei Anwendungen gilt, die unter die Maschinenrichtlinie (MRL) fallen. Änderungen stehen jedoch bevor: Die prEN ISO 13849-1 wird voraussichtlich in diesem Jahr die EN 954-1 ersetzen. Der Teil 2 der EN 954 ist bereits durch die EN ISO 13849-2 ersetzt.

Die IEC 61508 ist keine harmonisierte Norm im Sinne einer Europäischen Richtlinie und kann daher allein nicht zum Nachweis der CE-Konformität verwendet werden. Jedoch ist sie als technische Spezifikation gemäß Abschnitt 2 der MRL gelistet, und lässt sich dann anwenden, wenn keine harmonisierten Normen existieren.

Bildergalerie

Die IEC 62061 ist seit Ende 2005 eine harmonisierte Norm und eignet sich daher zum Nachweis der CE-Konformität. Zur Zeit sind Sicherheitsnachweise nach IEC 61508 und IEC 62061 für Sicherheitsintegritätslevel (SIL) nicht kompatibel mit einem Sicherheitsnachweis nach EN 954-1 für die Sicherheitskategorien. Eine alleinige Verwendung der EN 945-1 ist nicht empfehlenswert, weil diese Norm nicht alle Gesichtspunkte der Funktionalen Sicherheit betrachtet. Daher sollte der Konstrukteur bis zur Harmonisierung der EN ISO 13849-1 auch die EN 62061 oder die IEC 61508 berücksichtigen, um allen Anforderungen zur Funktionalen Sicherheit zu genügen und die zukünftig notwendigen sicherheitstechnischen Kenngrößen zur Verfügung stellen zu können.

Die IEC 61508 als (neue) Basisnorm

Die international akzeptierte IEC 61508 richtet sich als Basisnorm gleichermaßen an Systemintegratoren und Entwickler. Sie ist ein sehr umfangreicher – anwendungsneutraler aber technologieabhängiger – Standard, der aus sieben Teilen besteht. Die ersten drei Teile sind normativ, die verbleibenden informativ. Die IEC 61508 beschreibt den Stand der Technik von sicherheitstechnischen Systemen, die elektrische, elektronische oder programmierbare elektronische Systeme (E/E/PES) enthalten. Sie kann für die Entwicklung aller sicherheitstechnischen Systeme, Anlagen und Komponenten angewendet werden, für die kein anwendungsspezifischer Standard existiert, sofern die verwendete Technologie der in der IEC 61508 beschriebenen entspricht. Gelistet als technische Spezifikation gemäß Artikel 2 der MRL ist sie daher anzuwenden, wenn keine entsprechende harmonisierte Norm existiert.

Die IEC 61508 fordert die Anwendung eines Managements zur Funktionalen Sicherheit über den gesamten Lebenszyklus eines Sicherheitssystems. Daraus ergibt sich die Forderung einer lückenlosen Dokumentation, um die einzelnen Lebenszyklen jederzeit reproduzieren zu können. Dabei wird sowohl der Lebenszyklus einer gesamten Anlage als auch der einer Produktentwicklung betrachtet. Diese Forderungen dienen schwerpunktmäßig, systematische Fehler bei der Produktentwicklung und bei der Konzeption von Sicherheitssystemen zu vermeiden. Dabei wird sowohl die Hard- als auch die Software betrachtet. Die erforderliche Effektivität dieser Maßnahmen orientiert sich an dem festgelegten SIL also an das erforderliche Maß zur Risikoreduzierung.

Weitere Schwerpunkte sind die Anforderungen zum Beherrschen von zufälligen und systematischen Fehlern während des Betriebs. Die Bewertung der Maßnahmen zur Fehlerbeherrschung erfolgt durch einen probabilistischen Ansatz. Sie fordert für jede definierte Sicherheitsfunktion die Bestimmung der sicherheitstechnischen Verfügbarkeit, die durch die gefährliche Versagenswahrscheinlichkeit PFD und die gefährliche Versagensrate PFH ausgedrückt wird. Weitere zu bestimmende Kenngrößen in diesem Kontext sind die Hardware-Fehler-Toleranz (HFT) und der Anteil der ungefährlichen Fehler (Safe Failure Fraction – SFF).

Die für ein System zu erfüllenden Grenzwerte der PFD und PFH werden durch den Sicherheitsintegritätslevel definiert. Er legt das erforderliche Maß zur Risikoreduzierung fest. In der IEC 61508 sind vier abgestufte Level SIL 1 bis SIL 4 definiert, die die Grenzwerte für die PFD und PFH festlegen. Diese müssen von allen an der Sicherheitsfunktion beteiligten Systemen und Komponenten über den gesamten Lebenszyklus eingehalten werden. Die sicherheitstechnischen Kenngrößen PFD und PFH beschreiben letztendlich die Effektivität der realisierten Maßnahmen zur Fehlerbeherrschung (Safety Integrity).

Als zusätzliche Anforderung an die Hardware und deren Diagnose müssen die Grenzen des Anteils der ungefährlichen Fehler (SFF) in Abhängigkeit von der Architektur (Hardware Fehler Toleranz) und der Komplexität der Hardware (Ausfälle eindeutig bestimmbar?) eingehalten werden. Alle zuvor beschriebenen Schwerpunkte der IEC 61508 beschreiben den Stand der Technik bezüglich der Fehlervermeidung, der Fehlerbeherrschung, der Qualitätssicherung und der Dokumentation für ein Sicherheitssystem oder eine zu entwickelnde Sicherheitskomponente. Ausgehend von den neuen Ansätzen der IEC 61508 entstehen zunehmend Sektoranwendungsnormen, welche die Anforderungen der Funktionalen Sicherheit folgerichtig in den verschiedenen Anwendungsfeldern umsetzen.

Die IEC 62061 als Sektoranwendungsnorm

Die Norm IEC 62061 „Funktionale Sicherheit von elektrischen, elektronischen und programmierbaren Steuerungen von Maschinen“ wurde als Sektoranwendungsnorm für den Bereich „Sicherheit von Maschinen“ entwickelt und richtet sich schwerpunktmäßig an Maschinenkonstrukteure, Hersteller von Steuerungssystemen und Systemintegratoren von Anlagen. Sie beschreibt dort die Aspekte der Funktionalen Sicherheit bei Verwendung von elektrischen, elektronischen oder programmierbaren elektronischen Systemen. Die Anwendung dieser Norm in Übereinstimmung mit den dort beschriebenen Anwendungsbereichen kann die Erfüllung der relevanten grundsätzlichen Sicherheitsanforderungen vermuten lassen. Sie ist als EN 62061 eine harmonisierte Norm und kann somit für den Nachweis der Übereinstimmung zur MRL angewendet werden. Im Gegensatz zur IEC 61508 behandelt die IEC 62061 nur diejenigen Aspekte des Sicherheitslebenszyklus, die in Bezug zur Zuweisung der Sicherheitsanforderungen bis hin zur Validierung der Sicherheit stehen. Für die Konstruktion von Maschinen setzt diese Norm voraus, dass verwendete programmierbare elektronische Teilsysteme mit den relevanten Anforderungen der IEC 61508 übereinstimmen. Anforderungen für niedrig komplexe Teilsystemsysteme definiert vollständig die IEC 62061. Hinsichtlich der Forderung nach einem Management zur Funktionalen Sicherheit sind die daraus resultierenden Anforderungen mit denen der IEC 61508 vergleichbar. Es wird großen Wert auf eine strukturierte und geplante Entwicklung gelegt, um so den Anforderungen der Fehlervermeidung zu genügen.

Ebenso wie die IEC 61508 fordert die IEC 62061 Maßnahmen zur Fehlerbeherrschung von zufälligen und systematischen Fehlern und Maßnahmen zur Fehlervermeidung. Unterschiedlich ist, dass sie ihren Schwerpunkt mehr auf die Anwendung legt. So sind in der IEC 62061 beispielsweise erhöhte EMV Anforderungen für Sicherheitssysteme zu finden und ein Verweis auf die EN 60204-1 für die Festlegung der Umgebungsanforderungen.

Für den Entwurf und die Entwicklung von Anwendungssoftware referenziert die IEC 62061 die IEC 61508-3 als Basis für die Anforderungen bei Verwendung von Programmiersprachen mit uneingeschränktem Sprachumfang (FVL). Bei Verwendung von Programmiersprachen mit eingeschränktem Sprachumfang (LVL) legt sie definierte Anforderungen fest mit dem Ziel, systematische Fehler zu vermeiden. Es wird darüber hinaus der Entwurf und die Entwicklung von Software zur Parametrisierung und Konfiguration von Sicherheitssystemen betrachtet. Die IEC 62061 geht hierbei sowohl auf proprietäre Werkzeuge als auch auf die Möglichkeit der Verwendung eines PC als Werkzeug zur Parametrisierung ein.

Die IEC 62061 kann als eine weitere hilfreiche Ergänzung für die Beurteilung von Sicherheitssystemen in der Maschinensicherheit betrachtet werden. Abgeleitet von der IEC 61508 konzentriert sie sich hierbei auf die Anwendung und kann nicht eigenständig für die Entwicklung von komplexen Sicherheitsbauteilen angewendet werden. Sie klärt prinzipiell die Frage: Wie kann man aus einzelnen Geräten ein Steuerungssystem aufbauen, das die Sicherheitsanforderungen für die vorgesehene Anwendung erfüllt?

Bald harmonisiert: prEN ISO 13849-1

Die prEN ISO 13849-1 wird zukünftig die derzeitige Basis für funktionale Sicherheit im Maschinenwesen - die EN 954-1 – ersetzen. Sie muss dann als harmonisierte Norm im Sinne der Maschinenrichtlinie für den Bereich „Sicherheit von Maschinen“ angewendet werden. Die Anwendung dieser Norm in Übereinstimmung mit den dort beschriebenen Anwendungsbereichen kann die Erfüllung der relevanten grundsätzlichen Sicherheitsanforderungen vermuten lassen. Sie richtet sich sowohl an Konstrukteure von Maschinen, als auch an Entwickler sicherheitsrelevanter Komponenten.

Die prEN ISO 13849-1 versucht den komplexen probabilistischen Ansatz der IEC 61508 mit dem deterministischen Konzept der Kategorien aus der EN 954-1 auf Basis der Risikoanalyse zu vereinen. Sie ist auf SRP/CSs (Safety relevant part of control systems) aller Arten von Maschinen anzuwenden, ungeachtet der verwendeten Technologie und Energie (z. B. elektrisch, hydraulisch, pneumatisch, mechanisch).

Als praxisgerechter Ansatz, zugeschnitten auf den Bereich „Sicherheit von Maschinen“ soll sie als Leitfaden zum Gestalten und Beurteilen von Sicherheitssystemen dienen. Um dies zu ermöglichen und die Beurteilung des erreichten Performance Level (PL a bis PL e) zu erleichtern, definiert die Norm ein Verfahren auf Basis der Klassifizierung von Strukturen, die vorberechneten Markov-Modellen entsprechen. Diese weisen unterschiedliche Eigenschaften auf und spezifizieren Reaktionen im Fall eines Fehlers. Der PL ergibt sich aus der Sicherheitskategorie (wie in der EN 954-1), ergänzt um die weiteren relevanten Aspekte der Funktionalen Sicherheit im Maschinenschutz:

• Maßnahmen zur Vermeidung von systematischen (Design-)Fehlern (Qualitätsmanagement)

• Verfügbarkeit der Hardware: MTTFd (Mean time to dangerous failure) muss ausreichend groß sein (PL abhängig).

• Maßnahmen zur Erkennung und Beherrschung von Fehlern und Ausfällen (DC)

• Maßnahmen gegen Ausfälle gemeinsamer Ursache (CCF).

Die Normen IEC 61508, IEC 62061 und prEN ISO 13849-1 sind teilweise ineinander überführbar oder sie ergänzen sich. So sind die Anforderungen der prEN ISO 13849-1 für programmierbare elektronische Systeme mit der Methode der IEC 62061 für den Entwurf und die Entwicklung von E/E/PES kompatibel. Dabei wird auch die Entwicklung von Software, wie Embedded Software, Applikationssoftware und Software zur Parametrisierung betrachtet. Die prEN ISO 13849-1 setzt dabei voraus, dass verwendete programmierbare elektronische Teilsysteme für PL = e mit den relevanten Anforderungen der IEC 61508 –3 übereinstimmen. Um die Klassifizierung der drei Normen vergleichbar und miteinander kombinierbar zu machen, existiert eine direkte Beziehung zwischen den SIL der IEC 61508 bzw. IEC 62061 und den PL der prEN ISO 13849-1.

Weil die Normen IEC 62061 und prEN ISO 13849 überlappende Anwendungsbereiche haben, hat man mit Hilfe einer Tabelle im Vorwort beider Normen versucht, mögliche Unklarheiten für Prüfstellen und Hersteller zu beseitigen. Diese soll als gemeinsame Erklärung einen Überblick über die Anwendbarkeit und deren Grenzen für die jeweiligen Normen aus dem Bereich Maschinensicherheit geben. Beide Normen können als Subset der Anforderungen der IEC 61508 angesehen werden, wobei die prEN ISO 13849-1 zusätzliche Design-Einschränkungen besitzt.

Kritische Betrachtung der Normen

All diese Normen stellen dem Hersteller von Sicherheitskomponenten und dem Konstrukteur von Maschinen neue Verfahren zur Beurteilung der Sicherheitsintegrität von Komponenten und Systemen zur Verfügung, ohne ihre Anwendungsbereiche eindeutig gegeneinander abzugrenzen. Die Frage, welche Norm sich in welchem Anwendungsgebiet zukünftig durchsetzen wird, lässt sich derzeit noch nicht beantworten. Eine große Rolle spielen dabei aber sicherlich die hinter den Normen stehenden Interessensverbände. Darüber hinaus können die im folgenden genannten Vor- und Nachteile der Normen eine wichtige Rolle für ihre Akzeptanz spielen:

Service & Support

Normen im Vergleich: Pro und Contra

Gemeinsamkeiten der drei Standards:

+ Probabilistische Sichtweise (Aspekte Zuverlässigkeit und Ausfallwahrscheinlichkeit)

+ Ganzheitliche Betrachtung der vollständigen Sicherheitskette

– Bereitstellung der sicherheitstechnischen Kenngrößen vom Hersteller

IEC 61508

+ Betrachtung des gesamten Lebenszyklus

+ Behandelt sowohl Software als auch Hardware für einfache bis komplexe Systeme

– Ist keine harmonisierte Norm im Sinne der MRL

– „Überdimensioniert“ für Maschinenbau; sehr umfangreich und kompliziert

IEC 62061

+ Teilweise vereinfachte Methoden im Vergleich zur IEC 61508

+ Greifbarere Anforderungen zu QM Maßnahmen (im Vergleich zur IEC 61508)

+ Beschreibung von Konfigurations- und Parametriersoftware sowie Embedded Software

+ Zugeschnitten auf den Anwender von sicherheitsgerichteter Steuerungstechnik

+ Anwendbar für alle elektrischen und elektronischen Systeme beliebiger Architekturen (SIL1 bis SIL3)

– Weiterhin Verweise auf IEC 61508 (nicht eigenständig, nicht einfach)

– Programmierbare Steuerungen (SPS usw.) müssen IEC 61508 erfüllen

prEN ISO13849-1

+ Verwendung von Architekturen mit unterschiedlichen Eigenschaften und spezifizierten Fehlerreaktionen (vorberechnete Markov-Modelle)

+ Vereinfachte Methoden im Vergleich zur IEC 61508

+ Greifbarere Anforderungen zu QM Maßnahmen (im Vergleich zur IEC 61508)

+ Kontinuität auf Basis der DIN EN 954-1 (viele Ähnlichkeiten)

+ Zugeschnitten auf sicherheitsgerichtete Steuerungstechnik im Maschinenbau

+ Anwendbar für hydraulische, pneumatische und elektromechanische Systeme ohne Einschränkungen

+ Konfigurations- und Parametriersoftware sowie Embedded Software beschrieben

– Liefert sehr konservative sicherheitstechnische Kenngrößen

– Ist bei komplexen programmierbaren elektronischen Systemen nur unter Einschränkungen anwendbar (bestimmte Architektur, bis PL d)

– Nicht für alle sicherheitsgerichteten Steuerungen anwendbar

Derzeitige Situation und Ausblick

Die EN 954-1 ist derzeit als harmonisierte Norm noch gültig. Daher muss sie zum Sicherheitsnachweis bei Anwendungen, die unter die MRL fallen, angewendet werden. Die prEN ISO 13849 wird voraussichtlich in diesem Jahr die EN 954-1 ersetzen. Der Teil 2 der EN 954 ist bereits durch die EN ISO 13849-2 ersetzt.

Die IEC 61508 ist keine harmonisierte Norm im Sinne einer Europäischen Richtlinie und lässt sich deshalb allein nicht zum Nachweis der CE-Konformität verwenden. Jedoch ist sie als technische Spezifikation gemäß Abschnitt 2 der MRL gelistet und kann angewendet werden, wenn keine harmonisierten Normen existieren.

Die IEC 62061 ist noch keine harmonisierte Norm und kann daher nicht zum Nachweis der CE-Konformität verwendet werden. Durch die Referenzzierung in der prEN ISO 13849-1 ist eine Verwendung der IEC 62061 im Maschinenschutzbereich zulässig und sinnvoll und sollte bis auf weiteres in Verbindung mit der EN 954-1 verwendet werden. Man kann aber davon ausgehen, dass die Harmonisierung dieser Norm parallel mit prEN ISO 13849-1 erfolgen wird.

Zur Zeit sind Sicherheitsnachweise nach IEC 61508 und IEC 62061 für SIL Level nicht kompatibel mit einem Sicherheitsnachweis nach EN 954-1 für die Sicherheitskategorien. Eine alleinige Verwendung der EN 945-1 ist nicht empfehlenswert, weil diese Norm nicht alle Gesichtspunkte der Funktionalen Sicherheit betrachtet. Daher sollte bis zur Harmonisierung der EN ISO 13849-1 auch die IEC 61508 berücksichtigt werden um allen Anforderungen zur Funktionalen Sicherheit zu genügen und die zukünftig notwendigen sicherheitstechnischen Kenngrößen zur Verfügung stellen zu können.

TÜV Industrie Service, Tel. +49(0)221 8062981

*Dr.-Ing. Thorsten Gantevoort und Dipl.-Ing. Thomas Steffens sind Fachreferenten TÜV Functional Safety Program bei der TÜV Industrie Service GmbH der TÜV Rheinland Group, Köln.

Artikelfiles und Artikellinks

(ID:198012)