DIN EN ISO 13849

Sicherheitsbezogene Teile von Steuerungen

Inhaltsverzeichnis 1 Beschreibung 1.1 Risikoparameter 1.2 Kategorien 1.2.1 Kategorie B 1.2.2 Kategorie 1 1.2.3 Kategorie 2 1.2.4 Kategorie 3 1.2.5 Kategorie 4 1.3 Risikobewertung 1.4 Berechnung 1.4.1 MTTF 1.4.2 DC 2 Inhalt 2.1 Teil 1 Allgemeine Gestaltungsleitsätze 2.2 Teil 2 Validierung 3 Siehe auch 4 Weblinks

Beschreibung

Risikoparameter

S Schwere der Verletzung S1 leichte (üblicherweise reversible) Verletzung) S2 schwer (üblicherweise irreversible Verletzung, einschließlich Tod F Häufigkeit und/oder Dauer der Gefährdungsexposition F1 selten bis öfter und/oder kurze Dauer der Exposition F2 häufig bis dauernd und/oder lange Dauer der Exposition P Möglichkeit zur Vermeidung der Gefährdung P1 möglich unter betimmten Bedingungen P2 kaum möglich

Kategorien

Kategorie B

Die SRP/CS müssen in Übereinstimmung mit den zutreffenden Normen mindestens so gestaltet, gebaut, ausgewählt, zusammengestellt und kombiniert sein und bei Anwendung grundlegender Sicherheitsprinzipien für die bestimmte Anwendung Folgendem standhalten:

• den zu erwartenden Betriebsbeanspruchungen, z. B. der Zuverlässigkeit bezüglich des Schaltvermögens und Schalthäufigkeit,
• dem Einfluss des bearbeiteten Materials, z. B. dem Reinigungsmittel in einer Waschmaschine, und
• anderen relevanten äußeren Einflüssen, z. B. mechanische Schwingungen, elektromagnetischen

Störungen, Unterbrechungen oder Störungen der Energieversorgung. In Systemen der Kategorie B gibt es keinen Diagnosedeckungsgrad (DCavg = kein), und die MTTFd jedes Kanals kann niedrig bis mittel sein. In solchen Strukturen (üblicherweise einkanalige Systeme) ist die Betrachtung von CCF nicht relevant. Der maximale PL, der mit Kategorie B erreicht werden kann, ist PL = b.

Kategorie 1

Für Kategorie 1 müssen die gleichen Anforderungen erfüllt sein wie für Kategorie B. Zusätzlich gilt Folgendes. SRP/CS der Kategorie 1 müssen unter Verwendung bewährter Bauteile und bewährter Sicherheitsprinzipien gestaltet und gebaut werden (siehe ISO 13849-2). Ein bewährtes Bauteil für eine sicherheitsbezogene Anwendung ist ein Bauteil, das entweder:

• in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen in ähnlichen Anwendungen verwendet worden ist, oder
• unter Anwendung von Prinzipien hergestellt und verifiziert wurde, die seine Eignung und Zuverlässigkeit für sicherheitsbezogene Anwendungen zeigen.

Neu entwickelte Bauteile und Sicherheitsprinzipien können als gleichwertig bewährt betrachtet werden, wenn sie die in b) genannten Bedingungen erfüllen. Die Entscheidung, ein bestimmtes Bauteil als bewährt zu akzeptieren, hängt von der Anwendung ab. Die MTTFd jedes Kanals muss hoch sein. Der maximale PL, der mit Kategorie 1 erreicht werden kann, ist PL = c.

Kategorie 2

Für Kategorie 2 müssen die gleichen Anforderungen erfüllt sein wie für Kategorie B. Bewährten Sicherheitsprinzipien nach 6.2.4 muss ebenfalls gefolgt werden. Zusätzlich gilt Folgendes. SRP/CS der Kategorie 2 müssen so gestaltet werden, dass ihre Funktionen in angemessenen Zeitabständen durch die Maschinensteuerung getestet werden. Der Test der Sicherheitsfunktion(en) muss durchgeführt werden:

• beim Anlauf der Maschine, und
• vor dem Einleiten einer Gefährdungssituation, z. B. Start eines neuen Zyklus, Start anderer Bewegungen und/oder periodisch während des Betriebs, wenn die Risikobeurteilung und die Betriebsart zeigen, dass dies notwendig ist.

Die Einleitung dieses Tests kann automatisch erfolgen. Jeder Test der Sicherheitsfunktion(en) muss entweder

• den Betrieb zulassen, wenn keine Fehler erkannt wurden, oder
• einen Ausgang für die Einleitung geeigneter Steuerungsmaßnahmen erzeugen, wenn ein Fehler erkannt wurde.

Wenn immer möglich, muss dieser Ausgang einen sicheren Zustand einleiten. Dieser sichere Zustand muss aufrechterhalten bleiben bis der Fehler behoben ist. Wenn die Einleitung eines sicheren Zustands nicht möglich ist (z. B. durch Verschweißen des Kontakts eines Schaltglieds), muss der Ausgang die Warnung vor der Gefährdung bereitstellen. Für die in Bild 10 gezeigte vorgesehene Architektur der Kategorie 2 berücksichtigt die Berechnung der MTTFd und des DCavg nur die Blöcke des Funktionskanals und nicht die Blöcke des Testkanals. Der Diagnosedeckungsgrad (DCavg) der gesamten SRP/CS einschließlich der Fehlererkennung muss niedrig sein. Die MTTFd jedes Kanals muss, abhängig vom erforderlichen Performance Level (PLr), niedrig bis hoch sein. Maßnahmen gegen CCF müssen angewendet werden (siehe Anhang F). Der Test darf selbst nicht zu einer Gefährdungssituation führen (z. B. aufgrund einer Erhöhung der Ansprechzeit). Die Testeinrichtung darf als Bestandteil des die Sicherheitsfunktion ausführenden sicherheitsbezogenen Teile(s) oder getrennt davon vorgesehen sein. Der maximale PL, der mit Kategorie 2 erreicht werden kann, ist PL = d.

Kategorie 3

Für Kategorie 3 müssen die gleichen Anforderungen erfüllt sein wie für Kategorie B. Bewährten Sicherheitsprinzipien nach 6.2.4 muss ebenfalls gefolgt werden. Zusätzlich gilt Folgendes. SRP/CS der Kategorie 3 müssen so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Wenn immer in angemessener Weise durchführbar, muss ein einzelner Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden. Der Diagnosedeckungsgrad (DCavg) der gesamten SRP/CS einschließlich der Fehlererkennung muss niedrig sein. Die MTTFd jedes redundanten Kanals muss, abhängig vom PLr, niedrig bis hoch sein. Maßnahmen gegen CCF müssen angewendet werden (siehe Anhang F).

Kategorie 4

Für Kategorie 4 müssen die gleichen Anforderungen erfüllt sein wie für Kategorie B. Bewährten Sicherheitsprinzipien nach 6.2.4 muss ebenfalls gefolgt werden. Zusätzlich gilt Folgendes. SRP/CS der Kategorie 4 müssen so gestaltet werden, dass

• ein einzelner Fehler in jedem dieser sicherheitsbezogenen Teile nicht zum Verlust der Sicherheitsfunktion führt, und
• der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z. B.

unmittelbar, beim Einschalten oder am Ende eines Maschinenzyklus, aber wenn diese Erkennung nicht möglich ist, dann darf die Anhäufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Der Diagnosedeckungsgrad (DCavg) der gesamten SRP/CS muss einschließlich der Anhäufung von Fehlern hoch sein. Die MTTFd jedes redundanten Kanals muss hoch sein. Maßnahmen gegen CCF müssen angewendet werden (siehe Anhang F).

Risikobewertung

Performance level	Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde

Berechnung

MTTF

Lebensdauerkennwerte

• Zykluszeit der Maschine
• Betriebsstunden pro Tag
• Betriebstage pro Jahr
• Lebensdauerkennwert des Bauteils

Lebensdauerkennwerte Kanal

Symetrisierung der Labensdauerwerte beider Kanäle

DC

• Anzahl aller erkannter gefährlichen Ausfälle
• Anzahl aller gefährlichen Ausfälle

Ermittlung des durchschnittlichen des Systems

Inhalt

Teil 1 Allgemeine Gestaltungsleitsätze

• Anwendungsbereich
• Normative Verweisungen
• Begriffe, Formelzeichen und Abkürzungen
  • Begriffe
  • Formelzeichen und Abkürzungen
• Gestaltungsaspekte
  • Sicherheitsziele in der Gestaltung
  • Strategie der Risikominderung
    • Allgemeines
    • Beitrag der Risikominderung durch das Steuerungssystem
  • Bestimmung des erforderlichen Performance Levels (PLr)
  • Entwicklung des SRP/CS
  • Bewertung des erreichten Performance Levels PL und die Beziehung zum SIL
    • Performance Level PL
    • Mittlere Zeit bis zum gefahrbringenden Ausfall jedes Kanals (MTTFd)
    • Diagnosedeckungsgrad (DC)
    • Vereinfachtes Verfahren zur Abschätzung eines PL
  • Software-Sicherheitsanforderungen
    • Allgemeines
    • Sicherheitsbezogene Embedded-Software (SRESW)
    • Sicherheitsbezogene Anwendungssoftware (SRASW)
    • Softwarebasierende Parametrisierung
  • Verifikation, dass der erreichte PL den PLr erfüllt
  • Ergonomische Aspekte der Gestaltung
• Sicherheitsfunktionen
  • Spezifikation der Sicherheitsfunktionen
  • Nähere Angaben über die Sicherheitsfunktionen
    • Sicherheitsbezogene Stoppfunktion
    • Manuelle Rückstellungsfunktion
    • Start-/Wiederaufnahmefunktion
    • Lokale Steuerungsfunktion
    • Mutingfunktion
    • Ansprechzeit
    • Sicherheitsbezogene Parameter
    • Schwankungen, Verlust und Wiederkehr der Energiequellen
• Die Kategorien und deren Beziehung zur MTTFd jedes Kanals, DCavg und CCF
  • Allgemeines
  • Spezifikation der Kategorien
    • Allgemeines
    • Vorgesehene Architekturen
    • Kategorie B
    • Kategorie 1
    • Kategorie 2
    • Kategorie 3
    • Kategorie 4
  • Kombination von SRP/CS, um einen Gesamt-PL zu erreichen
• Berücksichtigung von Fehlern, Fehlerausschluss
  • Allgemeines
  • Fehlerbetrachtung
  • Fehlerausschluss
• Validierung
• Instandhaltung
• Technische Dokumentation
• Benutzerinformation
• Anhang
  • Anhang A (informativ) Bestimmung des erforderlichen Performance Levels (PLr)
  • Anhang B (informativ) Blockmethode und sicherheitsbezogenes Blockdiagramm
  • Anhang C (informativ) Berechnung oder Abschätzung von MTTFd-Werten für einzelne Bauteile
  • Anhang D (informativ) Vereinfachtes Verfahren zur Bestimmung der MTTFd für jeden Kanal
  • Anhang E (informativ) Abschätzungen des Diagnosedeckungsgrades (DC) für Funktionen und Module
  • Anhang F (informativ) Abschätzungen der Ausfälle aufgrund gemeinsamer Ursache (CCF)
  • Anhang G (informativ) Systematischer Ausfall
  • Anhang H (informativ) Beispiel der Kombination von verschiedenen sicherheitsbezogenen Teilen einer Steuerung
  • Anhang I (informativ) Beispiele
  • Anhang J (informativ) Software
  • Anhang K (informativ) Numerische Darstellung von Bild 5
  • Anhang ZA (informativ) Zusammenhang zwischen dieser Europäischen Norm und den grundlegenden Anforderungen der EG-Richtlinie 98/37/EG geändert durch Richtlinie 98/79/EG
  • Anhang ZB (informativ) Zusammenhang zwischen dieser Europäischen Norm und den grundlegenden Anforderungen der EG-Richtlinie 2006/42/EG
• Literaturhinweise

Teil 2 Validierung

• Anwendungsbereich
• Normative Verweisungen
• Validierungsverfahren6
  • Validierungsleitsätze
  • Allgemeine Fehlerlisten
  • Spezielle Fehlerlisten
  • Validierungsplan
  • Hinweise für die Validierung
  • Validierungsaufzeichnung
• Validierung durch Analyse
  • Allgemeines
  • Analysentechniken
• Validierung durch Prüfen
  • Allgemeines
  • Messunsicherheit
  • Höherwertige Festlegungen
  • Anzahl der Prüflinge
• Validierung der Sicherheitsfunktionen
• Validierung der Kategorien
  • Analyse und Prüfung der Kategorien
  • Validierung der Festlegungen für Kategorien
    • Kategorie B
    • Kategorie 1
    • Kategorie 2
    • Kategorie 3
    • Kategorie 4
  • Validierung der Kombination von sicherheitsbezogenen Teilen
• Validierung der Umgebungsanforderungen
• Validierung der Instandhaltungsanforderungen
• Anhang
• Anhang A (informativ) Möglichkeiten zur Validierung mechanischer Systeme.
  • A.1 Einleitung
  • A.2 Liste der grundlegenden Sicherheitsprinzipien
  • A.3 Liste der bewährten Sicherheitsprinzipien
  • A.4 Liste der bewährten Bauteile
  • A.5 Fehlerlisten und Fehlerausschlüsse
  • A.5.1 Einleitung
  • A.5.2 Verschiedene mechanische Geräte, Bauteile, Elemente
  • A.5.3 Schraubendruckfedern
• Anhang B (informativ) Möglichkeiten zur Validierung pneumatischer Systeme
  • B.1 Einleitung
  • B.2 Liste der grundlegenden Sicherheitsprinzipien
  • B.3 Liste der bewährten Sicherheitsprinzipien.
  • B.4 Liste der bewährten Bauteile
  • B.5 Fehlerlisten und Fehlerausschlüsse
  • B.5.1 Einleitung
  • B.5.2 Ventile
  • B.5.3 Rohrleitungen, Schlauchleitungen und Verbindungselemente
  • B.5.4 Druckübersetzer und Druckmittelwandler
  • B.5.5 Druckluftaufbereitung
  • B.5.6 Energiespeicher und Druckbehälter
  • B.5.7 Sensoren
  • B.5.8 Informationsverarbeitung
• Anhang C (informativ) Möglichkeiten zur Validierung hydraulischer Systeme
  • C.1 Einleitung
  • C.2 Liste der grundlegenden Sicherheitsprinzipien
  • C.3 Liste der bewährten Sicherheitsprinzipien
  • C.4 Liste der bewährten Bauteile
  • C.5 Fehlerlisten und Fehlerausschlüsse
  • C.5.1 Einleitung
  • C.5.2 Ventile
  • C.5.3 Rohrleitungen aus Metall, Schlauchleitungen und Verbindungselemente
  • C.5.4 Filter
  • C.5.5 Energiespeicher
  • C.5.6 Sensoren
• Anhang D (informativ) Möglichkeiten zur Validierung elektrischer Systeme
  • D.1 Einleitung
  • D.2 Liste der grundlegenden Sicherheitsprinzipien
  • D.3 Liste der bewährten Sicherheitsprinzipien
  • D.4 Liste der bewährten Bauteile
  • D.5 Fehlerlisten und Fehlerausschlüsse
  • D.5.1 Einleitung
  • D.5.2 Leitungen und Verbindungen
  • D.5.3 Stromschalter
  • D.5.4 Diskrete elektrische Bauteile
  • D.5.5 Elektronische Bauteile
• Anhang ZA (informativ) Zusammenhang zwischen dieser Europäischen Norm und den grundlegenden Anforderungen der EG-Richtlinie 98/37/EG, geändert durch Richtlinie 98/79/EG
• Anhang ZB (informativ) Zusammenhang zwischen dieser Europäischen Norm und den grundlegenden Anforderungen der EG-Richtlinie 2006/42/EG
• Literaturhinweise

Siehe auch

• Normenübersicht
• Risikobeurteilung

Weblinks

Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 (BGIA-Report 2/2008)