Einheit der Normen

Sicherheitsnormen - Die Europäische Union vereinheitlicht mit Normen, die unter der EU-Maschinenrichtlinie gelistet werden, die Sicherheitsbewertungen von Maschinen. Die IEC 62061 zählt hierbei zu den wichtigsten dieser Normen. Sie umfasst sowohl die Hardware- als auch die Softwareperspektive von E/E/PES-Systemen.

08. November 2005

Seit Jahren werden Steuerungen mit Hilfe der EN 954 entwickelt. Die immer komplexer werdenden Technologien sind jedoch in dieser Norm nicht vorgesehen, wie zum Beispiel elektronische Systeme, die Sicherheitsverantwortung tragen. Aus diesem Grund wurde die internationale Norm IEC 62061 entwickelt. Sie wird unter der EU-Maschinenrichtlinie gelistet und europaweit harmonisiert, ist allerdings noch nicht im EU-Amtsblatt erschienen.

Die IEC 62061 ist eine Sektornorm der IEC 61508, und widmet sich vollkommen dem Bereich Maschinen. Das besondere hierbei ist, dass die Norm nicht nur den heutigen Stand der Technik widerspiegelt, sondern auch die zukünftigen Entwicklungen berücksichtigt werden sollen.

Zwei neue Normen unter dem Dach der Maschinenrichtlinie

Zukünftig werden unter der EU-Maschinenrichtlinie gleich zwei neue Normen, zum Thema Funktionale Sicherheit von Steuerungen, gelistet sein. Einerseits die hier behandelte IEC 62061, die sich nur mit elektrischen elektronischen und program-mierbaren Steuerungen beschäftigt, und andererseits die ISO 13849-1, die medienunabhängige Elemente von Steuerungen bewertet, zum Beispiel pneumatische, hydraulische und elektromagnetische Steuerungselemente, allerdings ist sie nicht für komplexe Speicherprogrammierbare Steuerungen (SPS) geeignet. Solche Steuerungen müssen zudem auch die Anforderungen der IEC 61508 erfüllen. Das ist Voraussetzung für die Anwendung gemäß IEC 62061.

Die Intention der Einführung von Sektornormen der IEC 61508, darunter fällt auch die IEC 62061 für Maschinen, ist die Optimierung der Entwicklungsprozesse in Unternehmen. Beispielsweise sei hier erwähnt, dass in der Entwicklung nun mehr auf Innovation durch Zieldefinitionen anstatt auf starre Schemen Wert gelegt wird. Auch wenn die Bewertung des Risikos aufwändiger erscheint, so ist - wenn man den Verlauf des gesamten Entwicklungsprozesses betrachtet - der Aufwand letztendlich geringer.

Die IEC 62061 sieht eine Bewertung in Form eines Safety Integrity Levels (SIL) vor. In der Konzeptphase der Entwicklung sollen, durch eine Gefahren- bzw. Risikoanalyse, bereits zu Beginn alle potenziellen Gefahren einer Maschine dargelegt und bewertet werden, anschließend wird analysiert, welche Sicherheitsintegrität notwendig ist, um das identifizierte Risiko soweit zu reduzieren, dass die notwendige Sicherheit erreicht wird. Hierbei wird die Sicherheitsintegrität in Form von drei Sicherheitsintegritäts-Leveln (SIL) beschrieben. Eine Bewertung mit einem hohen SIL bedeutet, dass eine hohe Risikoreduzierung der Maschine erreicht werden muss.

Die ›Safety Performance‹

Die Norm verweist hierbei auf eine Möglichkeit zur Risikobeurteilung laut der EN ISO 12100 (früher EN 292) und der EN 1050 (zukünftig ISO 14121). Hier werden bestimmte Werte von drei Parametern, Häufigkeit und Dauer der Gefährdungsexposition, Eintrittswahrscheinlichkeit der Gefährdung und Möglichkeit zur Vermeidung des Schadens, jeweils miteinander addiert. Verbunden mit dem Ausmaß eines möglichen Schadens kann man nun aus einer Tabelle den erforderlichen SIL-Wert ablesen.

Die Risikoanalyse zeigt im Ergebnis alle Risiken auf, hinzu werden die notwendigen Sicherheitsfunktionen einer Maschine bestimmt und die daraus erforderliche ›Safety Performance‹ für jede Sicherheitsfunktion gewonnen.

Unter Safety Performance versteht man einen einheitlichen Begriff, sowohl für den geforderten SIL als auch den in der ISO 13849-1 verwendeten geforderten Performance Level (PLr). Diese beiden Werte sind miteinander vergleichbar, so dass bei der Bewertung der Sicherheitsintegrität von einer „Safety Performance“ gesprochen werden kann. Beide Werte werden auch auf eine deterministische Art ermittelt.

Die Risikobewertung der noch aktuellen EN 954-1 basiert auf der gleichen Form von Kategorieeinstufungen, allerdings kommen in den neuen Normen noch weitere Parameter vor, wie z.B. die Berücksichtigung der ›Fehler der gemeinsamen Ursachen‹ (CCF). Die richtige Einschätzung der Kategorien ist und war schwierig, da die Bedingungen, um eine Kategorie zu erreichen, nicht konkret definiert worden sind.

Zudem gibt es in dieser Norm keine Abgrenzung zwischen pneumatischen und elektrischen Bauteilen einer Steuerung. Anders als bei den neuen Normen ist die EN 954-1, lösungsabhängig aber nicht funktionsbezogen. Die Kategorien ergeben außerdem keinen eindeutigen Bezug zur Höhe des Risikos einer kompletten Anlage, sondern beziehen sich jeweils nur auf die Teile des Systems.

Wie kommt man zum SIL?

Das Erreichen eines bestimmten SI-Levels einer Anlage hängt von der Sicherheit der einzelnen Subsysteme und deren Elementen, ab. Für Subsysteme, die von externen Firmen bezogen werden, werden zuerst nützliche Werte aus den Herstellerangaben, wie Kategorie, PFH oder der SIL selbst, herausgelesen.

Für Subelemente aus eigener Fertigung wird nach der Festlegung der Architektur mit Hilfe des Diagnosedeckungsgrades (DC), des Faktors für Fehler gemeinsamer Ursachen, einer Annahme der Testintervalle und der Angaben für die B10- und C-Werte, laut einer Formel der IEC 62061, die Ausfallrate berechnet. Anschließend wird daraus die gefahrbringende Ausfallwahrscheinlichkeit pro Stunde ausgerechnet.

Danach kann für jede gefahrbringende Ausfallwahrscheinlichkeit pro Stunde (PFHD) aus der Tabelle 1 der IEC 62061 der entsprechende SIL abgelesen werden. Durch die Summation der PFHD-Werte der einzelnen Subsysteme erhält man, auf die gleiche Art, den SIL für die gesamte Anlage. Falls die Summe aller Komponenten eine bessere Bewertung erhält als erforderlich (SIL claim), dann gilt laut der qualitativen Bewertung der erforderliche SIL.

Hilfe zur Risikobeurteilung

Der hier beschriebene Prozess zur Errechnung eines SILs einer Anlage ist im Hause Siemens bereits in einer ausgereiften Software implementiert.

Das Center for Quality Engineering als akkreditiertes Prüflabor der Siemens AG in München hat sich der Thematik angenommen. Das Center for Quality Engineering bietet den Kunden Hilfestellungen zur Risikobewertung, Berechnung von Ausfallwahrscheinlichkeiten sowie zum SI-Level.

Werner Varro, Leiter Produktsicherheit,

Siemens Com CTO CQE

Erschienen in Ausgabe: 02/2005