Gefahr erkannt, Gefahr gebannt

Anlagenplanung - Ein wesentliches Element der Anlagenplanung ist der Aufbau geeigneter Schutzmaßnahmen. Eine überarbeitete Norm erleichtert die Risikobeurteilung für die Auswahl der passenden Sicherheitslichtgitter.

20. Juli 2006

Die Planung der optimalen Schutzmaßnahmen für Mensch und Maschine erfordert eine realistische Einschätzung des Risikos. Geregelt wird diese Risikobeurteilung von einer Vielzahl von Normen und Vorschriften, etwa EN 954, IEC 61508, IEC 62061 oder IEC 61511. Im Bereich der Fabrikautomation geschieht die Beurteilung von Maschinen und Anlagen hinsichtlich ihrer Widerstandsfähigkeit gegen Fehler und Verhalten im Fehlerfall seit Jahren auf Basis der Norm für »Sicherheitsbezogene Teile von Steuerungen« (EN 954-1). Diese Norm unterteilt die sicherheitsrelevanten, vorwiegend elektromechanischen Teile einer Maschine oder Anlage in die Steuerungskategorien B, 1, 2, 3 oder 4. Elektronische Bau--teile wurden dabei bislang unzureichend berücksichtigt. In einzelnen Bereichen wie etwa der Prozessindustrie erfolgt die Bewertung zudem nach IEC 61508.

Eine Brücke zwischen den beiden Vorschriften schlägt die künftige EU-weite Norm EN ISO 138491, die die EN 9541 spätestens im Jahr 2009 ablöst. Die wesentlichste Neuerung der neuen Norm ist der so genannte Risikograph zur Ermittlung des Performance Levels einer Anlage (PL a bis PL e), welcher die Qualität der risikomindernden Maßnahmen beziehungsweise die Sicherheitsfunktionen definiert, mit denen sich eine Risikominderung erzielen lässt.

Zusätzlich integriert wurden neue Konzepte, etwa die Beschreibung der Zuverlässigkeit von Bauelementen durch MTTFd-Werte (Mean Time To Dangerous Failure), die Beschreibung von Fehleraufdeckungsgraden mittels der DC-Werte (Diagnostic Coverage) und die Beschreibung der Kanal-Unabhängigkeit durch Maßnahmen gegen Ausfälle aufgrund gemeinsamer Ursache (CCF, Common Cause Failure). Für eine einfache Handhabung sind MTTFd und DC in verschiedene Klassen unterteilt (beispielsweise niedrig, mittel und hoch). Die Kategorien selbst bleiben in fünf Stufen unterteilt.

Neue Konzepte für die Risikoanalyse

Der Risikograph dient zur Einschätzung des Risikos und ermöglicht die Auswahl der benötigten Sicherheitsfunktionen. Auf der Grundlage der bekannten Steuerungskategorien B bis 4 der bisherigen Norm EN 9541 werden dabei weitere Kenngrößen eingeführt. Diese definieren die Versagensgrenzwerte, die einzuhalten sind, um die Performance Level zu erreichen.

Die Ermittlung des geforderten Performance Levels (PLr) geschieht rein qualitativ und verlangt deshalb ein gewisses Maß an Einschätzungsvermögen. Zum Einsatz kommen dazu Randbedingungen wie die Schwere der möglichen Verletzung (S1 = leichte, gewöhnlich reversible Verletzung, S2 = irreversible Verletzung, Tod), die Häufigkeit und die Aufenthaltsdauer im Gefahrenbereich (F1 = seltene und/oder kurze Exposition , F2 = häufige und/oder lange Dauer der Exposition) und die Möglichkeit der Gefahrenabwehr (P1 = möglich unter bestimmten Bedingungen, P2 = kaum möglich).

Um die Norm zu erfüllen, muss der von der Steuerung erreichte Performance Level der Maschine oder Anlage höher sein als der durch die Risikoanalyse bestimmte geforderte PLr. Bei allen Neuerungen bleibt die künftige Norm jedoch kompatibel zu den bisherigen Normen IEC 61508 und IEC 62061, so dass sich den Performance Levels auch die SIL-Level nach IEC 61508 zuordnen lassen.

In vier Schritten zum Performance Level

Die Ermittlung des jeweiligen Performance Levels geschieht in vier Schritten: Zu Beginn gilt es, den geforderten Performance Level der Anlage PLr als Ziel festzulegen. Im folgendem Schritt werden mit Hilfe des Diagramms die grundlegende Kategorie B, 1, 2, 3 oder 4 und damit die vorgegebenen Architekturen ermittelt, die die jeweiligen Sicherheitsprinzipien und Fehlererkennungen der EN 954-1 erfüllen. Eine Rolle bei der Wahl der Kategorien spielen auch die Kenngrößen MTTFd und DCavg, für die eine Betriebszeit von 20 Jahren bei einer konstanten Fehlerrate angenommen wird. Der dritte Schritt ist die Ermittlung der erreichten Kategorie sowie der Werte für MTTFd und DCavg der betreffenden Anlage. Die MTTFd-Werte lassen sich dabei aus den einzelnen Herstellerangaben errechnen. Im Gegensatz zur IEC 61508 werden dabei nur solche Komponenten berücksichtigt, die auch Sicherheitsfunktionen besitzen. Dieser Wert gibt die mittlere Betriebsdauer ohne gefährliche Fehler in einem einzelnen Kanal der Steuerung an. Der Diagnose-Deckungsgrad DCavg wird mit Hilfe des Anhangs E der Norm ISO 13849-1 ermittelt. Dieser Wert ist definiert als das Verhältnis der Rate unerkannter gefährlicher Fehler zu der Rate aller gefährlichen Fehler und wird in vier Stufen eingeteilt.

Der letzte Schritt ist die Beurteilung von Fehlern gemeinsamer Ursache (CCF). Möglich sind solche Fehler nur bei redundanten Systemen, die durch die Kategorien 2, 3

und 4 repräsentiert werden. Wenn alle vier Schritte vollzogen sind, lässt sich der Performance Level mit Hilfe der ermittelten Werte MTTFd und DCavg bestimmen und mit dem geforderten PLr vergleichen sowie nötigenfalls schrittweise angleichen.

Jens Lerner, Panasonic Electric Works

FAKTEN

- Die Überarbeitung der Norm EN 954-1 zur ISO 13849-1 bedeutet zwar einen höheren Arbeitsaufwand, benötigt jedoch nicht das starre Konstrukt der Kategorien der alten Norm EN 954-1.

- Hauptelement der neuen Norm ist der Risikograph zur Ermittlung der sicherheitstechnischen Voraussetzungen und Notwendigkeiten einer Maschine oder Anlage.

- Für die Norm EN 954-1 gilt noch eine Übergangszeit bis 2009.

Erschienen in Ausgabe: DIGEST/2006