United States
Land auswählen
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

IEC 62061 SIL - Schlussfolgerungen

nenSicurezza del macchinario
 

ANMERKUNG

Sicherheit PLC, Sicherheits-Bus, Stellantriebe, Sicherheits-Lichtschranken und alle komplexen Sicherheitsvorrichtungen die eine programmierbare Logik integrieren und die software embedded benutzen, wenn sie für die Ausführing des SRP/CS verwendet werden, müssen den entsprechenden Produktnormen, wenn gegeben, und der IEC 61508 für die funktionale Sicherheit, unterliegen.

Maschinensicherheit – Funktionssicherheit von sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen Steuersystemen.

Die IEC 62061 ist abgeleitet von der IEC 61508 – Funktionssicherheit von elektrischen, elektronischen und programmierbaren elektronischen Steuersystemen.


Die IEC 61508 ist die internationale Bezugsnorm für funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen Systemen. Die Norm besteht aus sieben Abschnitten. Die ersten drei Abschnitte spezifizieren die Sicherheitsvoraussetzungen für Hardware und Software, die übrigen Abschnitte sind rein informativ und helfen bei der korrekten Anwendung der ersten drei.

 

IEC 62061 behält die Eigenschaften der IEC 61508 bei, vereinfacht jedoch die Sicherheitsvoraussetzungen (sowohl für die Hardware als auch für die Software), indem diese an die besonderen Bedürfnisse von Industriemaschinen angepasst werden. Sicherheitsvoraussetzungen werden nur für den “high demand mode” berücksichtigt, d. h. Anforderung der Sicherheitsfunktion mehr als einmal pro Jahr.

Die Norm basiert auf zwei Grundkonzepten: 

  • Management der funktionalen Sicherheit
  • Safety Integrity Level (Sicherheitsintegritätsstufe)

 

Management der Betriebssicherheit

Es werden alle Planungsaspekte spezifiziert, die zur Erlangung der erforderlichen Stufe der funktionalen Sicherheit benötigt werden, und zwar von der Zuordnung der Sicherheitsvoraussetzungen über die Dokumentation, bis hin zum Planungsmanagement und der Validierung.

Für jede Planung muss ein eigener funktionaler Sicherheitsplan verfasst, dokumentiert und nach Bedarf aktualisiert werden.

Im funktionalen Sicherheitsplan sind die Personen, Funktionen und Ressourcen zu bestimmen, die für die Planung und Realisierung des Sicherheitssystems benötigt werden.

 

Sicherheitsintegritätsstufe (Safety Integrity Level: SIL)

Methodologie und Voraussetzungen werden genannt, um:

  • die funktionalen Voraussetzungen jeder zu implementierenden sicherheitsbezogenen Funktion zu spezifizieren
  • die Sicherheitsintegritätsstufe (SIL) für jede vorgesehene sicherheitsbezogene Funktion zuzuordnen
  • die Planung eines Sicherheitskontrollsystems (SRECS) zu ermöglichen, das sich für die zu implementierende sicherheitsbezogene Funktion eignet
  • das SRECS zu validieren


SIL Zuordnung

Für die Zuordnung der SIL wird die Methode aus Anhang A verwendet (die Norm gestattet allerdings auch die Anwendung der Techniken aus IEC 61508-5). Für jedes ermittelte Risiko muss Folgendes bewertet werden:

  • Schweregrad (Se) des möglichen Schadens
  • Häufigkeit und Dauer (Fr) der Gefährdung
  • Wahrscheinlichkeit eines gefährlichen Ereignisses (Pr) in Verbindung mit der Betriebsart der Maschine
  • Vermeidbarkeit (Av) der Gefahr. Je schwieriger es ist, die Gefahr zu vermeiden, desto höher ist die Zahl, die die Vermeidbarkeit repräsentiert


Die folgende Tabelle ist ein Auszug aus dem Formular aus Abbildung A.3. der Norm IEC 62061 und hilft, den der sicherheitsbezogenen Funktion zuzuordnenden SIL zu erhalten.



fig9 OM (andere Messgrößen) = Die Verwendung von anderen Parametern wird befürwortet.

 

Die Summe der Punktzahlen für Häufigkeit, Wahrscheinlichkeit und Vermeidbarkeit ergeben die Wahrscheinlichkeitsklasse der Gefahr:

Cl = Fr + Pr + Av

Durch Abgleich der Klasse (Cl) mit dem ermittelten Schweregrad (Se) erhält man die SIL.


Dies ist ein iterativer Prozess. Abhängig von der angewendeten Schutzmaßnahme können sich einige Parameter ändern, z. B. Fr oder Pr; in diesem Fall muss der Prozess der SIL-Zuordnung wiederholt werden, wobei neue Werte für die geänderten Parameter zu verwenden sind.

Es sind drei Stufen vorgesehen: SIL 1, SIL 2, SIL 3.
 


Durchschnittliche Wahrscheinlichkeit eines schwerwiegenden Ausfalls pro Stunde (PFHd)


 

fig10

Tabelle 3 aus IEC 62061

 

Die SIL repräsentiert also die einem SRECS zuzuordnende Sicherheitsstufe, damit dieses seine Sicherheitsfunktion zu den vorgesehenen Betriebsbe-dingungen und während des gesamten spezifizierten Zeitraums ausüben kann.

Der zur Definition der SIL (Sicherheitsintegritätsstufe) verwendete Parameter ist die Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde (PFHd).

Je höher die SIL ist, desto niedriger ist die Wahrscheinlichkeit, dass das SRECS die Sicherheitsfunktion nicht so wie erwartet erfüllt.

Die SIL muss für jede sicherheitsbezogene Funktion definiert werden, die durch die Risikoanalyse bestimmt wird.

 


Entwicklungs- und Planungsprozess


Jede durch die Risikoanalyse ermittelte sicherheitsbezogene Funktion muss folgendermaßen beschrieben werden:

  • Betriebliche Anforderungen (Betriebsart, Zykluszeit, Umgebungsbedingungen, Reaktionszeit, Art der Schnittstelle mit anderen Komponenten oder Funktionseinheiten, Grad der EMV usw.)
  • Sicherheitsanforderungen (SIL)

Jede sicherheitsbezogene Funktion wird dann in Funktionsblöcke zerlegt, z. B. Funktionsblock der Eingabedaten, Funktionsblock der logischen Datenverarbeitungen, Funktionsblock der Ausgangsdaten.

Jeder Funktionsblock steht in Zusammenhang mit einem Untersystem.

Die Untersysteme bestehen wiederum aus miteinander verbundenen elektrischen Komponenten. Die elektrischen Komponenten werden als Elemente des Untersystems bezeichnet.

Die technische Realisierung des SRECS führt zu einer typischen Architektur wie in der Abbildung (in diesem Fall Zugangskontrolle mittels Lichtvorhänge).

fig11 Damit das SRECS den ermittelten Betriebs- und Sicherheitsanforderungen entspricht, müssen folgende Voraussetzungen erfüllt sein:


fig12

 

Jedes Untersystem muss aus elektrischen Stromkreisen bestehen, mit denen die geforderte SIL erreicht werden kann.

Die von einem Untersystem maximal erreichbare SIL wird als SILCL (SIL claim) bezeichnet.

SILCLs des Untersystems hängen ab von PFHd, architektonischen Einschränkungen, Leistungsverhalten unter Ausfallbedingungen und von der Fähigkeit, einen systematischen Ausfall zu kontrollieren und zu verhindern.


Sicherheitsbezogene Software

Bei der Softwareplanung muss der Code gemäß den Bezugsnormen abhängig von der Art der betreffenden Software entwickelt werden, und zwar wie folgt:

fig13

 

 

WICHTIG!

Der Wahrscheinlichkeitsaspekt ist nur eines der Elemente, die an der Zuweisung der SIL beteiligt sind.

Um eine spezifische SIL zu beanspruchen, muss Folgendes nachgewiesen und dokumentiert werden:

  • Anwendung geeigneter verwaltungstechnischer Maßnahmen und Techniken, um die geforderte Stufe der betrieblichen Sicherheit zu erreichen
  • Dokumentierte und aktuelle Fassung des betrieblichen Sicherheitsplans
  • Vermeidung von systematischen Fehlern so weit wie möglich
  • Auswertung des Leistungsverhaltens des Sicherheitssystems bei aktuellen Umgebungsbedingungen (durch Inspektionen und Prüfungen)
  • Entwicklung der Software nach Anwendung aller erforderlichen organisatorischen Aspekte.

 


Berechnung der PFHd des Untersystems

Um die PFHd des Untersystems zu berechnen, muss zuerst die Art der Architektur ausgewählt werden (Struktur). Die Norm schlägt vier vordefinierte Architekturen vor und bietet für jede eine unterschiedliche vereinfachte Formel zur Berechnung der PFHd an.

Diese Berechnung erfordert die Verwendung folgender Parameter:

λd = Rate der gefährlichen Ausfälle von jedem Element des Untersystems. Erhält man über die bekannte Ausfallrate λ, prozentuale Verteilung der Ausfallrate für alle Ausfallarten und Analyse des Leistungsverhaltens des Untersystems nach einem Ausfall (Gefährlicher Ausfall = λd oder nicht gefährlicher Ausfall = λs).

T1 = Prüftest. Das Prüftestintervall (externe Inspektion und Reparatur, wodurch das System in den Neuzustand versetzt wird) für Industriemaschinen deckt sich gewöhnlich mit der Lebensdauer (20 Jahre).

T2 = Testintervall der Diagnosefunktionen. Abhängig von der Planung oder den verwendeten Geräten können die Diagnosefunktionen durch interne Stromkreise desselben SRECS oder von anderen SRECS ausgeführt werden.

 

DC = Diagnosedeckungsgrad (Diagnostic Coverage):
Dieser Parameter stellt den Prozentsatz der gefährlichen Ausfälle dar, die in Bezug auf alle möglichen gefährlichen Ausfälle ermittelt werden.
DC hängt von den implementierten Selbstdiagnosefunktionen ab.
In der Annahme, dass ein Ausfall immer möglich ist (ansonsten gäbe es keinen Grund zur Definition von λ), dass Mechanismen zur Ermittlung von Betriebsstörungen bzw. Ausfällen nicht notwendigerweise alle wirksam und reaktionsfähig sind (abhängig von der Art des Ausfalls kann es bei einigen Ausfällen länger dauern), dass es unmöglich ist, alle Ausfälle zu ermitteln und dass geeignete Stromkreisarchitekturen und erfolgreiches Prüfen die Ermittlung der meisten gefährlichen Ausfälle ermöglichen können, kann ein DC-Parameter zur Einschätzung der Wirksamkeit implementierter Selbstdiagnosetechniken bestimmt werden.
IEC 62061 liefert keine Daten für den Erhalt des DC in Bezug auf implementierte Diagnosetechniken. Jedoch können die Daten aus IEC 61508-2 Anhang A verwendet werden.

 

β = Faktor der Ausfälle infolge gemeinsamer Ursachen. Liefert einen Bemessungsgrad der Unabhängigkeit des Betriebs von Kanälen redundanter Systeme.

 

Nach Berechnung der PFHd des Untersystems anhand der Formeln aus der Norm gewährleistet, aus Tabelle 3 erhält man die zugehörige SILCL die mit den durch die Architektur auferlegten Einschränkungen kompatibel ist.
Die von einem SILCL maximal erreichbaren bestimmten Untersystem ist durch die Hardwarefehlertoleranz und durch den SFF gemäß folgender Tabelle eingeschränkt:

 

Anteil ungefährlicher Ausfälle    (SFF) Hardwarefehlertoleranz
0 1 2
SFF < 60% Non permesso SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3
(Tabelle 5 aus IEC 62061)

 

Der Anteil ungefährlicher Ausfälle (SFF) des Untersystems ist per Definition der Anteil der gesamten Ausfallrate, der nicht zu einem gefährlichen Ausfall führt

SFF = (Σλs + Σλdd) / (Σλs + Σλdd + Σλdu).

Die Werte für λdd (Ausfallrate der ermittelbaren gefährlichen Ausfälle) und λdu (Ausfallrate der nicht ermittelbaren gefährlichen Ausfälle) erhält man durch die Kenntnis der Wirksamkeit der implementierten Diagnosetechniken.

Wenn PFHd und SILCL von jedem Untersystem bekannt sind, kann die gesamte SIL des SRECS berechnet werden.

Die gesamte Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde des SRECS ist gleich der Summe der Wahrscheinlichkeiten eines gefährlichen Ausfalls/ Stunde aller beteiligten Untersysteme und sollte gegebenenfalls auch die Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde (PTE) von eventuellen sicherheitsbezogenen Kommunikationsleitungen umfassen:


PFHd = PFHd1 + ... + PFHDN +PTE

Ist die PFHd bekannt, erhält man die entsprechende SIL des SRECS aus Tabelle 3.
Die SIL muss dann mit der SILCL von jedem Untersystem verglichen werden, da die SIL, die für das SRECS beansprucht werden kann, kleiner oder gleich dem niedrigsten Wert der SILCL von jedem der Untersysteme sein muss.

Beispiel:

fig14

 

Wenn ein Untersystem zwei oder mehr sicherheitsbezogene Funktionen umfasst, die unterschiedliche SIL erfordern, muss die höchste SIL angewendet werden.

 

SCHLUSSFOLGERUNGEN

Die in ISO 13849-1 spezifizierten Verfahren vereinfachen die Einschätzung der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde im Vergleich zur IEC 61508, da sie einen pragmatischen Ansatz anbieten, der eher an den Bedarf der Maschinenbaus angepasst ist.

Durch Beibehaltung der Kategorien und anderer Grundkonzepte, wie die sicherheitsbezogene Funktion und den Risikographen, wird die Kontinuität mit EN 954: 1996 sichergestellt.


Durch Beibehaltung eines streng linearen Ansatzes bei der EN 954-1:1996 zeigt sich allerdings, dass ISO 13849-1 / EN 954-1 ihre Grenzen haben. Wenn die Anwendung von komplexen Technologien vorgesehen ist, z. B. programmierbare Elektronik, Sicherheits-Bus, unterschiedliche Architekturen usw., sollte besser gemäß der IEC 62061 geplant werden.

Wenn Geräte und/oder Untersysteme gemäß ISO EN 13849-1:1999 verwendet werden, zeigt die Norm IEC 62061, wie sie in das SRECS zu integrieren sind.


 

Eine genaue und eineindeutige Gleichwertigkeit zwischen PL und SIL kann nicht festgelegt werden.

Die wahrscheinlichkeitstheoretische Seite von PL und SIL kann verglichen werden, da sie dasselbe Konzept verwenden, um den Grad der Widerstandsfähigkeit festzulegen, nämlich die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde.

 

Obwohl in beiden Normen das verwendete Konzept dasselbe ist, ist es wichtig zu hinweisen das die Ergebnisse unterschiedlich sein können, da die Berechnungsmethoden nicht gleichermaßen streng sind.

 

Zur Bewertung der PFHd, spezifiziert die IEC 62061 ein Verfahren auf Basis von Formeln, die von der Theorie der Systemzuverlässigkeit abgeleitet sind. In einigen Fällen, z.B. verringerte Anzahl der Komponenten, hoher Leistungsgrad der implementierten Selbstdiagnosesysteme, können die Ergebnisse sehr niedrig, (d.h. sehr gut sein).

 

Um die Berechnung der Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde zu vereinfachen und zu beschleunigen, benutzt die ISO 13849-1 Näherungstabellen, die zwangsläufig Szenarien des "ungünstigsten Falls" berücksichtigen müssen, was mit daraus folgenden höheren Ergebnissen, d.h. weniger guten Ergebnissen verbunden ist, als denen, die mit der IEC 62061 berechnet worden sind.

 

Nächster ... Neuheit der EN ISO 14119