United States
Land auswählen
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1 PL

ISO 13849-1 PL
 

ANMERKUNG

Mit Bezug auf die Kategorien sind entgegen der Norm EN954-1 die PLr hier gänzlich "hierarchisch".
PLr(e) liefert den größten und PLr(a) den kleinsten Beitrag zur Risikoverringerung.

Sicherheitsrelevante Teile des Steuerungssystems, Teil 1: Allgemeine Gestaltungsleitsätze

ISO 13849-1 ist eine überarbeitete Version der EN 954-1.

Die enthält die komplexen mathematischen Formeln der Systemzuverlässigkeitstheorie mit ihren Vorkalkulationstabellen.

Einige Konzepte der EN 954 wie beispielweise die Einteilung in Kategorien, Redundanz und Steuerung wurden beibehalten.

Einige Dinge wurden geändert wie beispielsweise der Gefahrengraph und die Kategorienauswahl.

Die Rolle der Kategorien ist nicht mehr so zentral wie in der EN 954-1.

Um die Widerstandsfähigkeit bei gefährlichen Störungen einzuschätzen, wurde das Kategorienkonzept durch den Leistungsgrad "Performance Level (PL)" als Leistungsfähigkeit der sicherheitsrelavanten Maschinensteuerungssystem (hier dann SRP/CS gennannt) ersetzt, um den Schutz unter bestimmten Betriebsbedingungen zu gewährleisten.

Die Parameter zur Einschätzung des PL einer Sicherheitsfunktion ist die Durchschnittswahrscheinlichkeit einer gefährlichen Störung/Stunde. Eine Störung wird als gefährliche eingestuft, wenn sie die Systemschutzfunktion verhindert, wenn sie nicht erfasst wird.

Es sind 5 Grade vorgesehen, und zwar von PLa bis PLe.
 
 
 
 


fig3

Abbildung 3 - Tabelle 3 der Norm ISO 13849-1

 

Je größer der Beitrag zur Verringerung des Risikos ist, desto niedriger ist die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde.

PL ist abhängig von der Architektur des Steuerungssystems, der Zuverlässigkeit der Komponenten, der Wahrscheinlichkeit umgehend eine interne Störung zu ermitteln, die möglicherweise die Sicherheitsfunktion beeinträchtigt, und der Qualität des Entwurfs.

In der folgenden Übersicht sind die obligatorischen qualitativen und quantitativen Voraussetzungen zusammengefasst, die bei der Planung eines Sicherheitssteuersystems gemäß ISO 13849-1 eingehalten werden müssen.


Siehe auch im Glossar

fig4

Abbildung 4 - quantitative und qualitative Anforderungen

 

Um einen bestimmten PL zu beanspruchen, muss zusätzlich zur Berechnung der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde für das betreffende Steuerungssystem auch die Übereinstimmung mit den durch die Norm spezifizierten Qualitätsanforderungen nachgewiesen werden.

Der beanspruchte PL muss validiert werden, und zwar unter Anwendung der Norm ISO 13849-2 Sicherheitsbezogene Teile von Steuerungssystemen - Validierung, Definitionsverfahren, Tests und Analysen zur Bewertung:

  • der bereitgestellten Sicherheitsfunktion
  • der erreichten Kategorie
  • des erreichten Leistungsgrads

 

WICHTIG!

Die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde ist nur einer der Parameter, die zur Zuweisung des PL beitragen.
Um einen PL-Wert zu erhalten, muss auch nachgewiesen und belegt werden, dass alle Voraussetzungen berücksichtigt und erfüllt worden sind, darin eingeschlossen sind:

  • Überwachung von systematischen Ausfällen
  • Verwendung von robusten und zuverlässigen Komponenten (im Einklang mit Produktnormen, wenn vorhanden)
  • Arbeit gemäß guter Ingenieurspraxis
  • Berücksichtigung der Umgebungsbedingungen, unter denen das sicherheitsbezogene System betrieben werden soll
  • Bei neuer Software Übernahme aller organisatorischen Aspekte nach dem V-Modell aus Abb. 6 in Norm ISO 13849-1 und Erfüllung der Entwicklungsvoraussetzungen für Anwendungen und installierte Software

 

 

Die Planung eines SRP/CS gemäß ISO 13849-1 kann in den folgenden acht Schritten zusammengefasst werden:

1 - Bestimmung der sicherheitsbezogenen Funktion durch Risikoanalyse
2 - Zuordnung des geforderten Leistungsgrads (PLr) durch den Risikographen
3 - Auswahl von Systemstruktur (Architekturen) und Selbstdiagnosetechniken
4 - Technische Entwicklung des Steuersystems
5 - Berechnung von MTTFd (Mittlere Zeit bis zu einem gefährlichen Ausfall), DCavg (durchschnittlicher Diagnosedeckungsgrad) und Überprüfung von CCF (Ausfall aufgrund gemeinsamer Ursache)
6 - Berechnung des PL anhand Tabelle 5
7 - Überprüfung des PL (wenn errechneter PL unter PLr liegt, dann zurück zu Schritt 3)
8 - Validierung


 

Bestimmung des sicherheitsbezogenen Elements und Zuteilung des geforderten Leistungsgrads – PLr

Der Planer des SRP/CS legt für jede bestimmte sicherheitsbezogene Funktion (siehe ISO 14121 – Risikobewertung) den Betrag zur Verringerung des Risikos fest, den es bereit stellen muss, d. h. den PLr.

Dieser Beitrag deckt nicht das gesamte Risiko der Maschine, sondern nur den Teil des Risikos in Bezug auf die Anwendung der betreffenden Sicherheitsfunktion.

Der Parameter PLr repräsentiert den geforderten Leistungsgrad für die betreffende sicherheitsbezogene Funktion. Der Parameter PL repräsentiert den Leistungsgrad der Hardware, in der die Funktion implementiert ist.

Der PL der Hardware muss gleich oder höher als der spezifizierte PLr sein.

Zur Ermittlung des Beitrags zur Risikoverringerung, den die sicherheitsbezogene Funktion liefern muss, wird eine baumartige graphische Darstellung der Entscheidungen verwendet, die zur eindeutigen Feststellung des PLr führt.

Wenn mehr als eine sicherheitsbezogene Funktion ermittelt wird, muss für jede dieser Funktionen der PLr festgestellt werden.
fig3

Abbildung 5 - Diagramm der Entscheidungen

 

Planung des sicherheitsbezogenen Steuersystems und Berechnung des PL

Nach Festlegung des erforderlichen PLr wird ein geeignetes SRP/CS festgelegt, der sich ergebende PL berechnet und sichergestellt, dass dieser gleich oder höher als PLr ist.

In Abb. 3 ist dargestellt, dass die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde des geplanten SRP/CS berechnet werden muss, um den PL zu erhalten.

Es gibt verschiedene Methoden, die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls/Stunde für ein sicherheitsbezogenes Steuersystem zu berechnen.

Die Anwendung dieser Methoden setzt voraus, dass für jede Komponente folgendes bekannt ist:

  • Ausfallrate (λ)
  • Prozentuale Verteilung der Ausfallrate für alle Ausfallarten der Komponente (z. B. sind die Ausfallarten für einen direkt betätigten Schalter: Der Kontakt öffnet nicht, wenn erforderlich = 20% der Fälle und Kontakt schließt nicht, wenn erforderlich = 80% der Fälle. Ergibt: Öffnet nicht = λ x 0,2 schließt nicht =λ x 0,8)
  • Die Auswirkung jedes Ausfalls auf das Leistungsverhalten des sicherheitsbezogenen Systems, (z. B gefährlicher Ausfall = λd, oder nicht gefährlicher Ausfall = λs)
  • Prozentsatz der ermittelten gefährlichen Ausfälle (durch eingebaute automatische Selbstdiagnosetechniken) aus der Summe der gefährlichen Ausfälle: λdd = λd x DC
  • Prozentsatz der nicht ermittelten gefährlichen Ausfälle (durch eingebaute automatische Selbstdiagnosetechniken) aus der Summe der gefährlichen Ausfälle: λdu = λd x (1-DC)

 

Die ISO 13849-1 vereinfacht die Berechnung durch eine Tabelle nach dem Markov-Modell, in der die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde für verschiedene Kategoriekombinationen vorausberechnet sind, sowie durch Messbereichswerte von MTTFd und DCavg, die ebenfalls über Tabellen bestimmt werden.

 

Angabe der
MTTFd
Wertebereich der Jahre   Bezeichnung von
DCavg
Wertebereich von DC
DCavg
Niedrig 3 ≤ MTTFd < 10   Keiner DC < 60%
Mittel 10 ≤ MTTFd < 30   Niedrig 60% ≤ DC < 90%
Hoch 30 ≤ MTTFd < 100   Mittel 90% ≤ DC < 99%
      Hoch Hoch 99% ≤ DC


 

Das Problem wird dadurch reduziert auf: Auswahl der Architektur, Berechnung von DCavg in Bezug auf implementierte Selbstdiagnosetechniken, vereinfachte Berechnung der MTTFd des geplanten Stromkreises und Überprüfung der Übereinstimung mit den Voraussetzungen für unabhängigen Betrieb der Kanäle (CCF) bei redundanten Architekturen (Kategorien 2, 3 und 4).

Die Kombination aus Kategorie plus eingesetztem DCavg wird in den sieben Spalten in Abb. 5 der Norm ISO 13849-1 dargestellt. Durch die berechnete MTTFd wird bestimmt, welcher Teil der Spalte in Betracht kommt. Der entsprechende PL wird links in der Tabelle genannt.

 

 

performance level

Abbildung 6 -Diagramm von ISO 13849-1 

 

Der Teil der ausgewählten Spalte kann zwei oder drei mögliche Werte des PL umfassen, z. B. sind für Kat. 3, DCavg = mittel und MTTFd = niedrig, die folgenden drei Werte möglich: PLb, PLc, PLd. Um den korrekten PL zu erhalten, wird in diesen Fällen Tabelle K.1 aus Anhang K der Norm (hier nicht genannt) benutzt, die detaillierte Werte der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde sowie den PL in Bezug auf den tatsächlichen Wert der MTTFd und der Kombination aus implementierter Kategorie plus DCavg bereitstellt.

Die Norm kann nur angewendet werden, wenn bei der Planung des Steuersystems eine (oder mehrere) der fünf spezifizierten Architekturen benutzt werden. Jede Architektur entspricht einer der in EN 954-1 definierten Kategorien.

Bei Systemen, die nach EN 954-1 geplant sind, ist die Auswahl der Kategorie durch den Risikographen direkt mit dem Risiko verknüpft. Die ISO 13849-1 ist hierbei flexibler, da für jeden spezifizierten Leistungsgrad verschiedene Optionen zur Verfügung stehen. Ein Beispiel ist in Tabelle 5 genannt:

Um ein System mit einem "c"-Leistungsgrad zu erhalten, sind die folgenden fünf Alternativen möglich:

1. Kategorie 3 mit MTTFd = niedrig und DCavg mittel
2. Kategorie 3 mit MTTFd = mittel und DCavg niedrig
3. Kategorie 2 mit MTTFd = mittel und DCavg mittel
4. Kategorie 2 mit MTTFd = hoch und DCavg niedrig
5. Kategorie 1 mit MTTFd = hoch

 

Eine Ausnahme stellt nur der Ausgabeteil von SRP/CS dar.


Für mechanische, hydraulische oder pneumatische Bestandteile (oder Bestandteile, die eine Mischung dieser Technologien sind) sind keine anwendungspezifischen Zuverlässigkeitsdaten vorhanden, hier müssen die Maschinenhersteller die messbaren Aspekte des PL ohne jegliche MTTFd Kalkulation einschätzen.


Dafür wird der sicherheitsrelevante Leistungsgrad (PL) durch die Struktur, Diagnose und Maßnahmen gegen CCF erweitert. In der folgenden Tabelle erscheint die Beziehung zwischen erreichbarem PL und Kategorien.

 

  PFHd 1/h) Kat. B Kat. 1 Kat. 2 Kat. 3 Kat. 4
PL a 2*10-5 * 0 0 0 0
PL b 5*10-6 * 0 0 0 0
PL c 1,7*10-6 - *2 *1 0 0
PL d 2,9*10-7 - - - *1 0
PL e 4,7*10-8 - - - - *1
* Angewandte Kategorie wird empfohlen
0 Angewandte Kategorie ist optional
- Kategory ist nicht zugelassen
*1 Während des Einsatzes erprobte oder bewährte Bestandteile (bestätigt durch den Hersteller des Bestandteils, der sich für diese spezifischen Anwendung als passend erwiesen hat) und bewährte Sicherheitsmaßnahmen müssen angewendet werden
*2     Bewährte Bestandteile und bewährte Maßnahmen müssen angewendet werden. Für sicherheitsrelevante Bestandteile, die nicht mit dem Vorgang gesteuert werden, kann der T10d Wert bestimmt werden, der sich auf Daten stützt, die bei der Erprobung durch Maschinenhersteller beim Gebrauch entstanden sind

Kombination mehrerer SRP/CS, mit denen der gesamte PL ermittelt wird

Die sicherheitsbezogene Funktion kann ein oder mehrere SRP/CS umfassen und mehrere sicherheitsbezogene Funktionen können dasselbe SRP/CS verwenden.

Einzelne SRP/CS können auch mit anderen Architekturen realisiert werden.

Wenn die sicherheitsbezogene Funktion durch eine Reihenschaltung mehrerer SRP/CS realisiert wird, z. B. Sicherheits-Lichtvorhänge, Steuerlogik, Leistungsausgang, und der PL für jedes davon bekannt ist, bietet die Norm eine einfache Methode zur Berechnung des gesamten PL:

Lokalisierung des Teils mit dem niedrigsten PL
Feststellung der Anzahl der Teile mit PL = PL niedrig
Durch Eingabe der Daten in die folgende Tabelle erhält man den gesamten PL

 
fig7

 

Der anhand dieser Tabelle erhaltene PL bezieht sich auf Zuverlässigkeitswerte an mittlerer Stelle für jeden der Intervalle in Tabelle 3 der Norm ISO 13849-1.

 

fig8

 

Ergebnis:    PL niedrig = d              N low = 1 (< 3)
Daher:    PL gesamt = d

und um die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde für das ganze System festzulegen, ist eine Zahl zwischen 1 x 10-6 und 1 x 10-7 (siehe Tabelle 3 in ISO 13849-1) nötig.

 

Nächster ... IEC 62061 SIL - Schlussfolgerungen