Funktionale Sicherheit von Maschinensteuerungen
Contents
1. 5 1 Anforderungen der EG Maschinenrichtlinie cccccccccccccccccccsseceneeeesssssssseseeeeeecccceceeeesssseeaeeeeessssseeeeseeeeeseeeeeseeees 5 2 Strategie zur Risikominderung ria 5 2 1 BISIKOEINSCHA ZUNG EEE EEE 5 2 2 Risikobewertung enter D de eier 5 3 Identifizierung der notwendigen Sicherheitsfunktionen und ihrer Eigenschaften ccccccccccccnnnnnnnnnnnnonnnnnnnnnnnnnnnnnnos 5 3 1 Festlegung von Sicherheitstunktionen merca nettes en near 5 3 2 Beispiele bei denen die Definition der Sicherheitsfunktion Einfluss auf die sp tere Berechnung des PL hat ne ee aasas 5 4 Bestimmung des erforderlichen Performance Level PL cccassossadenasraynrsdereatursedaseaveradessnanstedsennategnessosasennbiedebedeinnsaden Did RSR OS TA ee een ee ee 5 4 2 bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem PL 55 Erg nzende SchutzmaBnahMeN sssrin E ns ine 56 Behandiune yon AMS CUI A nee een 5 7 Risikominderung am Beispiel einer Planschneidemaschine mit diversitarer Redundanz in der Logiksteuerung Kategorie 4 PL e 5 2 1 Festlegung der Grenzen der Maschine rear ee 5 7 2 Identifizierung der Gef hrdungen scada 5 7 3 Notwendige Sicherheitsfunktionen sertie dd 5 1 Bestimmung des erforderlichen P riormance Level PL a tienne 5 7 5 Erg nzende Schutzma nahmen cccccscsssssssssssssssssseesesccccceceeeesseseeeeeeessssssseeeseeeeecccceceeeesses2. O Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 4 mit hoher MTTF pro Kanal 31 4 Jahre und DE ee 98 6 im Toleranzbereich von hoch Damit ergibt sich eine durch schnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls von 9 7 10 Stunde Dies entspricht PL e Um die MTTF Ermittlung zu erl utern sei zun chst der Block K1 vorgestellt Obwohl das Prinzipschaltbild Abbildung 6 15 nur den Mikrocontroller zeigt umfasst dieser Block weitere Elemente die f r die praktische Funktion notwendig sind z B Schwingquarz Alle Elemente deren gefahrbringender Ausfall die Ausf hrung der Sicherheitsfunktion im betroffenen Kanal verhindern k nnte sind zu ber cksichtigen Dies sind in der Regel alle Elemente im sicherheitskritischen Signalpfad z B zur Entkopplung R cklesung zum EMV Schutz oder Schutz vor ber spannungen Diese Elemente sind meist im Sinne der grund legenden und bew hrten Sicherheitsprinzipien oder zum Erreichen des DC notwendig Abbildung B 2 siehe Seite 207 zeigt diese Herangehensweise anhand eines weiteren einfachen Beispiels Als einfaches tabellarisches Verfahren zur Ermittlung der Block MTTF auf der Basis der Element MTTF bietet sich das Parts Count Verfahren an das in Tabelle 6 7 gezeigt wird Abbild
3. zu Verifikation und Validierung Abb 7 1 Abbildung 6 1 Ermittlung des erreichten PL in der Realisierungs phase der SRP CS als Ausschnitt aus R cksprung wenn V amp V nicht erfolgreich Abb 7 1 dem iterativen Gestaltungsprozess siehe Abbildung 4 1 37 Das Verfahren zum Nachweis der Ausfallwahrscheinlichkeit steht grundsatzlich frei z B Markov Berechnungen Petri Netz Verfahren es sollen aber immer folgende Kriterien ber ck sichtigt werden quantifizierbare Aspekte Struktur Bauteilzuverlassigkeit Diagnose in Form von Selbsttests Ausfalle infolge gemein samer Ursache und nicht quantifizierbare qualitative Aspekte die das Verhalten der SRP CS beeinflussen Verhalten der Sicherheitsfunktion unter Fehlerbedingungen sicherheitsbezogene Software systematische Ausf lle und Umgebungsbedingungen F r beide Gruppen schl gt DIN EN ISO 13849 1 praxisorien tierte Verfahren vor die wissenschaftlich fundiert zu einer guten Absch tzung des erreichten PL f hren F r jeden Teilaspekt kann der Nachweis nach Bedarf vergr bert oder verfeinert werden sodass neben einem schnellen berschlag auch ein detaillierter Nachweis m glich ist Zun chst wird unter Abschnitt 6 1 1 der Entwicklungsablauf beschrieben Dazu geh ren z B Anforderungen an Spezifi kation und Dokumentation innerhalb des SRP CS Lebenszyklus Anschlie end folgen notwendige Ma nahmen zur Beherrschung systematischer Ausf lle Abs
4. Verifikation PL gt PL Ist die Analyse aus reichend Pr fung Abschnitt 7 1 6 Validierung Anforderungen erreicht Sicherheitsfunktione Performance Level PL Kategorie MTTF DC oP systematische Fehler Software Kombination Abschnitt 7 1 7 Integration Gestaltung sicherer Steuerungen Abschnitt 6 Validierung Abschnitt 7 Alle SF analysiert 39 Da SRP CS Teile einer Maschine sind konnen Anforderungen in fast jeder Phase des Lebenszyklus der Maschine auch Einfluss auf ein SRP CS haben Alle Phasen im Lebenszyklus der Maschine m ssen daher bei der Identifikation und Festlegung der Eigen schaften von Sicherheitsfunktionen ber cksichtigt werden Um dies m glichst umfassend und nachpr fbar zu gestalten werden Sicherheitsfunktionen zun chst spezifiziert SRP CS die nicht speziell f r eine Maschinensteuerung entwickelt werden z B ein Lichtgitter oder eine Sicherheits SPS bed rfen daher einer besonders genauen Beschreibung ihrer Kenndaten und ihrer Schnittstellen um eine korrekte Verwendung sicherzustellen Mit der Spezifikation der Sicherheitsfunktionen beginnt der Lebenszyklus der SRP CS DIN EN ISO 13849 1 listet neben speziellen Aspekten verschiedener Sicherheitsfunktionen auch allgemeine Aspekte auf die in einer solchen Spezifikation mindestens enthalten sein m ssen Mit einer solchen Spezifikation werden f r alle Beteiligten am Anfang des Entwicklungsprozesses di
5. 102 8 2 7 Unterspannungsauslosung ber Not Halt Ger t Kategorie 1 PL c Beispiel 7 104 8 2 8 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 8 106 8 2 9 Getestete Lichtschranken Kategorie 2 PLc mit nachgeschaltetem Kategorie 1 Ausgangsschaltelement Beispiel 9 cccccccccnnnccnonnonancnoncncnnncnnnnncnnncnnnnnnnnno 108 8 2 10 Sicheres Stillsetzen eines SPS gesteuerten Antriebs mit Not Halt Kategorie 3 PL c Beispiel 10 112 8 2 11 Getestetes pneumatisches Ventil Subsystem Kategorie 2 PL d f r PL C Sicherheitstunktionen Beispiel 11 au 116 8 2 12 Getestetes hydraulisches Ventil Subsystem Kategorie 2 PL d f r PL c Sicherheitsfunktionen Beispiel Rn en 120 8 2 13 Unterlast Erkennung f r Leuchtenh nger Kategorie 2 PL d Beispiel 13 ooooooononononcnnnnncnnnnnnnnnnnnnnnnnnnnnnnnnns 122 8 2 14 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL d Beispiel 14 126 8 2 15 Schutzeinrichtung und SPS gesteuerte Hydraulik Kategorie 3 PL d Beispiel 15 128 8 2 16 Erdbaumaschinensteuerung mit Bussystem Kategorie 3 PL d Beispiel 16 130 8 2 17 Kaskadierung von Schutzeinrichtungen mittels Sicherheitsbausteinen Kategorie 3 PL d Beispiel 17 134 8 2 18 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 3 PL d Beispiel 18 138 8 2 19 Verriegelungse
6. Die grundlegenden Anforderungen der Maschinenrichtlinie an Maschinen und Sicherheitsbauteile finden sich im Anhang der Richtlinie Neben den allgemeinen Grunds tzen f r die Integration der Sicherheit gibt es in diesem Anhang eigene Abschnitte zu Steuerungen und Befehlseinrichtungen von Maschinen und den Anforderungen an Schutzeinrichtungen Die grundlegenden Sicherheitsanforderungen bei der Gestal tung von Maschinen und Sicherheitsbauteilen verpflichten den Hersteller eine Gefahrenanalyse vorzunehmen um alle mit der Maschine verbundenen Gefahren zu ermitteln Drei Grunds tze werden genannt um die mit den einzelnen Gef hrdungen verbundenen Unfallrisiken auf ein akzeptables Ma zu redu zieren O Beseitigung oder Minimierung der Gefahren durch die Konstruktion selbst Ergreifen der notwendigen Schutzma nahmen gegen nicht zu beseitigende Gefahren und Unterrichtung der Benutzer ber Restgefahren Nach Artikel 5 l sst die Einhaltung harmonisierter europ ischer Normen die bereinstimmung mit den grundlegenden Sicher heitsanforderungen der Maschinenrichtlinie vermuten Mehrere europ ische Normentw rfe und inzwischen harmonisierte euro p ische Normen vertiefen bzw konkretisieren die im Anhang der Maschinenrichtlinie zugrunde gelegte Philosophie zur Errei chung der Arbeitssicherheit an Maschinen Die Normenreihe DIN EN ISO 12100 2 3 behandelt z B Grundbegriffe und all gemeine Gestaltungsleits tze f r die Sicherhei
7. IEC 61784 3 erster Entwurf 29 zu diesem Thema gibt Bussysteme die den in die sen Publikationen beschriebenen Anforderungen gen gen lassen sich ohne Weiteres auch unter dem Dach der DIN EN ISO 13849 1 einsetzen Auf dem Markt gibt es bereits mehrere Bussysteme die f r den sicherheitstechnischen Einsatz geeignet sind In den oben erw hnten Publikationen wird ein spezielles Fehler modell verwendet um dem Einsatz eines Black Box Kanals f r die sicherheitsrelevante Daten bertragung Rechnung zu tragen d h an diesen bertragungskanal selbst werden z B keine speziellen Anforderungen zur Fehleraufdeckung gestellt Das Modell nimmt als Fehlerm glichkeiten die Wiederholung den Verlust die Einf gung falsche Abfolge Verf lschung und die Verz gerung sicherheitsrelevanter Nachrichten sowie die Kopplung von sicherheitsrelevanten und nicht sicherheits relevanten Nachrichten an Weitere Aspekte k nnen Fehler sein die Nachrichten systematisch verf lschen z B vollst ndig invertieren Durch Ma nahmen in sogenannten Sicherungs schichten die dann in sicherheitsbezogenen Teilen von Steue rungen realisiert werden lassen sich bertragungsfehler mit hinreichender Wahrscheinlichkeit ausschlie en Geeignete Ma nahmen sind z B laufende Nummer Zeitmarke Zeiterwar tung Empfangsbest tigung Kennung f r Sender und Empf nger und Datensicherung Gerade die Betrachtung der Datensicherung ist oft mit komplexen Berechnungen verbunden
8. Methoden sind von der konkreten Anwendung oder Technologie unabh ngig formuliert und k nnen deshalb von nahezu allen Produktnormen C Normen in Bezug genommen sowie in den maschinenspezifischen Normen erw hnt werden Die Norm erh lt als harmonisierte Norm nach Inkrafttreten der neuen Maschinenrichtlinie 8 am 29 Dezember 2009 ein st rkeres Gewicht Wesentliche Neuerung ist beispielsweise die Aufnahme von sicherheitsrelevanten Logiken auch sicherheits bezogene Teile von Steuerungen genannt in den Anhang IV der neuen Richtlinie Solche Anhang IV Produkte erfahren nach der Richtlinie eine besondere Behandlung Anhang IV Produkte sind dann zwar nicht mehr EG baumusterpr fpflichtig sie k nnen u a auch durch ein erweitertes von einer notifizierten Pr fstelle gepr ftes Qualit tsmanagement QM System des Herstellers in den Markt eingef hrt werden jedoch r cken Steuerungen mit der neuen Richtlinie verst rkt in den Mittelpunkt der Sicherheits betrachtung 9 10 1 Neben der EG Baumusterpr fung kann der Hersteller nach heute g ltiger Maschinenrichtlinie bei Vorliegen einer harmonisierten Norm auch erkl ren dass er nach dieser harmonisierten C Norm gebaut hat oder er muss die Unterlagen entweder bei einer notifizierten Pr fstelle hinterlegen oder dort pr fen lassen und hinterlegen 13 DIN EN ISO 13849 1 2007 6 tritt mit dem bereits vorher har monisierten zweiten Teil DIN EN ISO 13849 2 2003 7 die Nachfolge der
9. ander redundant sind auch wenn dies auf den ersten Blick so erscheinen mag denn jeder Taster sch tzt unabh ngig eine Hand des Bedieners Die Redundanz beginnt vielmehr in jedem Taster durch Verwendung von elektrischen ffner Schlie er Kombinationen Jeder Steuerungskanal berwacht beide H nde bzw Stellteile durch Auswertung mindestens je eines elek trischen Schaltkontakts Im sicherheitsbezogenen Blockschaltbild ist daher in jedem Kanal ein Schlie erkontakt z B S1 13 14 und ein ffnerkontakt z B S2 21 22 enthalten Das sicherheits gerichtete Blockdiagramm unterscheidet sich hier deutlich vom funktionalen Schaltplan Aus der konkreten Realisierung der Sicherheitsfunktion ergeben sich unter Umst nden Einschr nkungen oder Empfehlungen f r die Anwendung Zum Beispiel ist die Wirksamkeit einer Fehler erkennung durch den Arbeitsprozess naturgem sehr eng mit der Anwendung verbunden Bemerkungen Anwendung z B an Planschneidemaschinen DIN EN 1010 3 Abbildung 6 16 Sicherheitsbezogenes Blockdiagramm zum SRP CS f r die ausgew hlte Sicherheitsfunktion SF2 an der Planschneide maschine 69 6 5 5 Eingangsgr en zur quantitativen Bewertung des erreichten PL An dieser Stelle sind alle Basisinformationen f r die Bewertung des erreichten PL vorhanden Mit Kenntnis der Kategorie und des sicherheitsbezogenen Blockdiagramms k nnen f r die einzelnen Bl cke zun chst MTTF und DC bestimmt und au erdem
10. berwachung Schutzt r x x 1 2 5 einschlie lich mechanischer Komponenten Logik Antrieb Abbildung 5 7 zeigt das funktionale Schaltbild und die Bl cke der Sicherheitsfunktion SF3 Abbildung 5 7 Stillsetzen beim ffnen der Schutzt r 3 Stellungs berwachung Schutzt r 1 Stellungs berwachung Schutzt r 2 Stellungs berwachung Schutzt r 3 Aid Stellungs berwachung Schutzt r 4 Stellungs berwachung Schutzt r 5 Beispiel 3 Sicherheitsfunktion Not Halt einer Gesamtmaschine siehe Abschnitt 5 5 An einer gr eren Maschine sind 20 Not Halt Gerate installiert deren Bet tigung alle 50 Antriebe schnellstm glich stillsetzt Welche Komponenten sind in diesem Fall bei der Realisierung der Sicherheitsfunktion zu ber cksichtigen Es ist nicht vorher sehbar welches Not Halt Ger t zum Ausl sen der Sicherheits funktion bet tigt wird Da der Bediener immer nur ein Not Halt Ger t bet tigt werden die Sicherheitsfunktionen SF1 bis SF20 definiert Der jeweilige Standort einer gef hrdeten Person beim Ausl sen des Not Halts ist nicht bekannt aber wo auch immer sich diese Person befindet stellen nicht alle 50 Antriebe eine Gef hrdung dar Daher sollte stellvertretend f r alle denkbaren Situationen der ung nstigste Fall betrachtet werden Dieser ist bestimmt durch den schlechtesten PL ist also u a abh n gig von der Anzahl der Antriebe in der Sicherheitskette die am ung nstigsten Standor
11. bestimmten Bedingungen und in bestimmten Situationen auf die Funktion auswirken Wie keine zweite Technologie bernimmt Software eine h here Verantwortung als je zuvor und damit also auch ihr Programmierer Als eine der wesentlichen Neuerungen in der Revision der DIN EN ISO 13849 1 wurden die schon im Anwendungsbereich der DIN EN 954 1 einbezogenen programmierbaren SRP CS erst mals mit Anforderungen an die Software und deren Entwicklung ausgestattet Um es vorweg deutlich herauszustellen Die Anfor derungen in Abschnitt 4 6 der Norm erm glichen es sicherheits bezogene Software f r alle SRP CS im Maschinensektor und f r alle erforderlichen Performance Level von a bis e zu entwickeln Dieser Abschnitt richtet sich in erster Linie an Anwendungs programmierer die Sicherheitsfunktionen f r eine Maschine z B in einer applikationsorientierten Sprache auf einer speicher programmierbaren Steuerung SPS entwickeln F r Entwickler von SRESW Safety Related Embedded Software sicherheits bezogene eingebettete Software also Firmware oder Soft warewerkzeuge f r elektronische Sicherheitskomponenten ist dagegen der Neuigkeitswert dieser Anforderungen in DIN EN ISO 13849 1 nicht so hoch Solche Embedded Software Entwick lungen f r die meist zertifizierten Komponenten unterliegen oft auch den sehr komplexen Anforderungen der unter IEC geltenden Sicherheitsgrundnorm DIN EN bzw IEC 61508 3 32 und aller weiteren sieben Teile D
12. gem ASIC Entwicklungs Lebenszyklus des Normentwurfs DIN IEC 61508 2 2006 In diesem Normentwurf ist f r die Entwicklung eines ASICs ein V Modell in Anlehnung an das aus der Softwareentwicklung bekannte V Modell vorgesehen 6 5 8 Ergonomische Aspekte In diesem Beispiel gibt es eine sicherheitsrelevante Schnittstelle zwischen dem Benutzer und der Steuerung die Zweihand schaltung ZHS mit den Stellteilen S1 und S2 Hier sind einige ergonomische Aspekte zu ber cksichtigen damit keine Person wahrend der geplanten Verwendung und vernunftigerweise vorhersehbaren Fehlanwendung unmittelbar oder auf Dauer durch Fehlbelastungen gefahrdet wird Diese Benutzerschnittstel len k nnen f r die meisten Maschinen mit den BG Informationen 5048 Ergonomische Maschinengestaltung Teile 1 und 2 23 berpr ft werden Folgende Aspekte sind dabei u a zu betrach ten O Hohe und Orientierung der Stellteile in Bezug auf den Bediener Greif und Beinraum bei der blicherweise stehenden Bedienung O mit der Bedienaufgabe abgestimmte Anordnung und gute Erreichbarkeit au erhalb des Gefahrenraums O Beobachtbarkeit des Schneidevorgangs vom Ort der ZHS aus Mindestabmessungen und Form der Stellteile ergonomische Gestaltung unter Beachtung der Vorgaben nach DIN EN 574 leichte Bet tigung mit geringen Kr ften aber unbeabsich tigtes Bet tigen durch konstruktive Ma nahmen verhindern widerstandsf hige Gestaltung sowie geeignete
13. grund legende Sicherheitsprinzipien bew hrte Sicherheitsprin zipien bew hrte Bauteile und Fehlerlisten das auch unter dem neuen Teil 1 g ltig ist Details hierzu sind im Anhang C dieses Reports dargestellt Prozess industrie Abbildung 3 1 Anwendungsbereiche verschiedener Basis normen zur funktionalen Sicherheit SRP CS sicherheits bezogene Teile einer Steuerung SRECS sicherheitsbezogenes elektrisches Steuerungs E E PES als Elektrik Elektronik programmierbare Elektronik system SIS sicherheits technisches System E E PES elektrisch elek tronisch programmierbar elektronisches System 1 Funktionale Sicherheit bedeutet in diesem Zusammenhang dass m gliche Gef hrdungen behandelt werden die durch Ausf lle eines Steuerungssystems bedingt sind also von einer Fehlfunktion herr hren 2 Daneben gibt es noch sogenannte deterministische Anforderungen die im jeweiligen Level erf llt werden m ssen 15 Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde 10 DIN EN ISO 13849 1 a PL d keine SIL Entsprechung DIN EN 62061 DIN EN 61508 Abbildung 3 2 Performance Level PL und Sicherheits Integrit tslevel SIL als Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde Die augenscheinliche berlappung des Regelungsanspruchs beider Normenwelten kann f r Steuerungshersteller und andere Normennutzer auf den ersten Blick nur unb
14. nnen ob die Anforde rungen erf llt wurden sollten folgende typische Teilpr fungen durchgef hrt werden Tests zum Verhalten der SRP CS im Fehlerfall mit Ausfall effektpr fung bzw Test durch Fehlereinbau Tests zum Verhalten der SRP CS bei fehlerhaften Zust nden von Eingangssignalen und fehlerhaften Abl ufen Eingaben bei der Bedienung mit sogenannten erweiterten Funktions tests Diese Teilpr fungen sollten durch folgende Analysen erg nzt werden Struktur Signalpfadanalyse Inspektion zur Einhaltung grundlegender Sicherheits prinzipien Inspektion zur Umsetzung bew hrter Sicherheitsprinzipien ab Kategorie 1 Inspektion zum Einsatz bew hrter Bauteile nur Kategorie 1 Bewertung der in Fehlerlisten individuell erg nzten zu betrachtenden Fehler und zul ssiger Fehlerausschl sse ein schlie lich deren hinreichender Begr ndung Die Anh nge im Teil 2 der Norm siehe auch Anhang C dieses Reports geben detaillierte Hilfe bei den vier letztgenannten Analysen 7 3 2 Validieren der MTTF Werte Die zur Bestimmung des PL herangezogenen MTTF Werte sollten mindestens auf ihre Plausibilit t berpr ft werden Dazu z hlt typischerweise die Beurteilung ob geeignete Quellenangaben zur Herkunft der Werte benannt werden Bei den dominanten Bauteilen und stichprobenartig bei allen anderen Bauteilen ist es ratsam auch die genaue Begr ndung der Werte nachzuvoll ziehen Dazu k nnen u a die in Abs
15. sicherheitsbezogene Software O Verwendung von Standard SPS Die Schaltungsbeispiele in diesem BGIA Report siehe Kapitel 8 Seite 85 ff demonstrieren dass sicherheitsbezogene Steuerungen prinzipiell auch mit Standard SPS aufgebaut werden konnen Es durfte nur bei PL e sehr schwer sein fur die Hardware der SPS den erforderlichen hohen Diagnosedeckungsgrad DC mindestens 99 zu erreichen sofern diese Diagnose durch die SRASW realisiert werden muss F r PLa bis d werden die Anforderungen an die Standard SPS im Abschnitt 6 3 10 beschrieben Zus tzlich muss der Anwen dungsprogrammierer die Anforderungen zur Fehlerver meidung bei SRASW Abschnitte 4 6 1 und 4 6 3 der Norm entsprechend des PL erf llen Bonus bei diversit rer SRESW Bei zweikanaligen SRP CS f r Sicherheitsfunktion en mit PL e kann die SRESW beider Kan le verschieden realisiert werden Geht der Grad dieser Diversit t so weit dass der Code die Gestaltung und sogar die Spezifikation unterschiedlich erstellt wurden kann diese Software auch entsprechend den Anforderungen f r PL d der DIN EN ISO 13849 1 entwickelt werden Dabei ist es unerheb lich ob die SRP CS nun verschiedene oder zwei identische Hardwarekan le haben 6 3 7 Passende Softwarewerkzeuge Keine Software ohne Werkzeuge Dies gilt besonders f r sicher heitsbezogene Software Daher sind Auswahl und G te dieser Werkzeuge f r die Fehlervermeidung und somit die Qualit t der Sicherheitsfu
16. und Pr faktivit ten geh rt jeweils auch ein Review aller f r den Abschnitt relevanten Unterlagen Falls negative Pr fergebnisse festgestellt wurden sind Verfahren und Ma nahmen erforderlich um diese Ergebnisse in der Entwick lung der SRP CS entsprechend zu behandeln 79 7 1 7 Dokumentation der V amp V Aktivit ten Alle Analyse und Pr faktivit ten m ssen inklusive ihrer Ergeb nisse erfolgreich oder nicht bestanden dokumentiert werden In den folgenden Abschnitten werden die Schritte zur Validierung der Sicherheitsfunktionen der SRP CS sowie f r Teilaspekte wie u a PL Kategorie MTTF DC und CCF beschrieben Wurden nicht alle in der Spezifikation der SRP CS festgelegten Anforderungen erfullt muss man auch an dieser Stelle in den Gestaltungs und Realisierungsprozess zuruckkehren Ansonsten ist als Abschluss der V amp V Aktivitaten in der dritten Raute Block 8 von Abbildung 7 1 zu bewerten ob alle Sicher heitsfunktionen analysiert wurden Ist dies der Fall so ist die Bewertung der SRP CS nach DIN EN ISO 13849 1 abgeschlossen ansonsten muss die Pr fung mit den noch offenen Sicherheits funktionen fortgesetzt werden 7 2 Validieren der Sicherheitsfunktion Ein wichtiger Schritt ist die Validierung der realisierten Sicher heitsfunktion auf vollstandige Ubereinstimmung mit den in der Spezifikation geforderten Eigenschaften und Leistungskriterien Folgende Fragen sollen dem Pr fer helfen zu beurteilen ob die Si
17. 8 2 33 Elektrohydraulische Pressensteuerung Kategorie 4 PL e Beispiel 33 180 8 2 34 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 4 PL e Beispiel 34 184 8 2 35 Zweihandschaltung Kategorie 4 PL e Beispiel 35 nun ia 186 8 2 36 Verarbeitung von Signalen einer Lichtschranke Kategorie 4 PL e Beispiel 36 190 8 2 37 Planschneidemaschine mit programmierbar elektronischer Logiksteuerung Kategorie AE AAA o y e e E 194 9 A errang 199 Seite Anhang Anhang A Beispiele Ur ISI E MMLC LL LE EaEaEZEZEZEEZZEZE 201 Anhang B Sicherheitsbezogenes Blockdiagramm und FMEA ss 205 Anhang C Fehlerlisten Fehlerausschl sse und Sicherheitsprinzipien cccccccccccccccccssecsssssssssseesesccccceceeeesseesaueeeessssseseeeeeeesceceeeeeeeeas 213 Anhang D Mean Time to Dangerous Failure MIT nn irn 221 Anhang E Bestimmung des Diagnosedeckungsgrades DC 231 Anhang F Ausf lle infolge gemeinsamer Ursache CCF cccccccccccsssssssssssssssssesesceceeccccesecceeaeseeessassssssseeseeceeeeeceesessesesaeeeeassasssseeeeeeecs 239 Anhang G Was steckt hinter dem S ulendiagramm in Bild 5 der DIN EN ISO 13849 1 eeeeeeeeeeessssssssssnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnennnnn 241 Anhang H SISTEMA Der S ftwareassistent zur Bewertung von SRP CS esse a tiens 247 Anhang Positionspapier des VDMA eeeeeesssssssssnnnsnsnssssnsssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
18. Anderungsvermerke 1 6 Fur die Entwicklung relevante Richtlinien Normen und technische Regeln 2 Funktionale Angaben zur Maschine soweit sicherheitstechnisch von Bedeutung 2 1 Bestimmungsgemalse Verwendung und vern nftigerweise vorhersehbare Fehlanwendung bedienung 2 2 Prozessbeschreibung Betriebsfunktionen 2 3 Betriebsarten z B Einrichtbetrieb Automatikbetrieb Betrieb mit lokalem Bezug oder von Teilen der Maschine 2 4 Kenndaten z B Zykluszeiten Reaktionszeiten Nachlaufwege 2 5 Sonstige Eigenschaften der Maschine 2 6 Sicherer Zustand der Maschine 2 7 Wechselwirkung zwischen Prozessen siehe auch 2 2 und manuellen Aktionen Reparatur Einrichten Reinigen Fehlersuche usw 2 8 Handlungen im Notfall 3 Erforderliche r Performance Level PL 3 1 Referenz auf vorhandene Dokumentation zur Gef hrdungsanalyse und Risikobeurteilung der Maschine 3 2 Ergebnisse der Risikobeurteilung f r jede ermittelte Gef hrdung oder Gefahrdungssituation und Festlegung der zur Risikominderung jeweils erforderlichen Sicherheitsfunktion en 4 Sicherheitsfunktionen Angaben gelten f r jede Sicherheitsfunktion Funktionsbeschreibung Erfassen Verarbeiten Ausgeben einschlie lich aller funktionaler Eigenschaften siehe auch Tabellen 5 1 und 5 2 Aktivierungs Deaktivierungsbedingungen oder ereignisse z B Betriebsarten der Maschine Verhalten der Maschine beim Ausl sen der Sicherheitsfunktion zu ber cksichtigende Wiederanla
19. Eintreten eines Gef hrdungs ereignisses berholt und bietet damit nur tr gerische Sicherheit Als Faustregel gilt Die Testh ufigkeit konkur riert immer mit anderen H ufigkeiten daher kann eine ausreichende H ufigkeit nicht generell genannt werden In zweikanaligen Systemen der Kategorien 3 und 4 steht die Testh ufigkeit in Konkurrenz zur H ufigkeit des Auftretens eines zweiten gefahrbringenden Ausfalls Denn erst wenn der zweite Kanal ausf llt bevor ein Test den Ausfall des ersten bemerkt hat besteht die Gefahr der Nichtausf hrung der Sicherheitsfunktion Kategorie 4 Systeme tolerieren gem Definition sogar die Anh ufung unerkannter Fehler In zweikanaligen Systemen hat sich ein Test einmal pro Schicht in der Praxis bew hrt Anders ist es beim einkanalig getesteten System der Kategorie 2 Hier muss der Test erfolg reich sein bevor die n chste Anforderung der Sicherheits funktion also eine potenzielle Gef hrdung erfolgt Hier steht die Testh ufigkeit also in Konkurrenz zur H ufigkeit der Anforderung der Sicherheitsfunktion In beiden F llen wird ein Faktor von 100 als ausreichend angesehen also eine mindestens 100 mal h here Testrate als die gefahrbringende Ausfallrate A 1 MTTF bzw als die mittlere Anforderungs rate der Sicherheitsfunktion Bis hinunter zu einem Faktor von 25 ergibt sich demgegen ber eine maximale Erh hung der Ausfallwahrscheinlichkeit von ca 10 Darunter ist es wesentlich von der Sync
20. Fehler in der Software ent stehen nicht wie bei der Hardware durch zuf llige Bauteilaus f lle sondern haben systematische Ursachen Umso mehr muss bei der Entwicklung von sicherheitsbezogener Software die ja zur Risikominimierung beitragen soll alles Angemessene getan werden um Fehler zu vermeiden Was angemessen ist orientiert sich einerseits am erforderlichen Performance Level PL Ande rerseits ist bekannt in welchen Phasen der Softwareentwicklung sich sicherheitskritische Fehler bevorzugt und mit besonders gravierender Wirkung einschleichen und solange unentdeckt bleiben bis sie beim Betrieb zum Ausfall f hren Gemeint sind die Phasen Spezifikation Gestaltung und Modifikation Daher zielen die Anforderungen der DIN EN ISO 13849 1 und die Erl uterungen in diesem Abschnitt besonders auf die Fehler vermeidung in diesen Phasen Leider werden in der Praxis diese Phasen der Anwendungsprogrammierung oft mit eher weniger Aufmerksamkeit bedacht Um eine gute Qualit t sicherheitsbezogener Software zu errei chen ist es nahe liegend entsprechende aktuelle und bew hrte Entwicklungsmodelle des Software Engineering aufzugreifen F r sicherheitsbezogene Systeme wird dabei meist auf das sogenannte V Modell referenziert 32 Da das aus der Lite ratur bekannte V Modell eher f r sehr komplexe Software zum Einsatz kommt wird dieses Entwicklungsmodell in DIN EN ISO 13849 1 Abschnitt 4 6 1 nur in einer vereinfachten Form A
21. Informaciones de tras fondo sobre la implementaci n de los requisitos en la pr ctica de la ingenier a de control completan la oferta Numerosos ejem plos de circuitos que abarcan hasta el nivel de los componentes muestran c mo se puede implementar t cnicamente el Perfor mance Level a a e con las categor as B a 4 en las diversas tecnolog as Estos ejemplos dan indicaciones sobre los principios de seguridad aplicados y los componentes comprobados desde el punto de vista de la t cnica de seguridad Numerosas referencias bibliogr ficas ayudan a comprender mejor los diversos ejemplos El informe demuestra que los requisitos de la norma DIN EN ISO 13849 pueden implementarse en la pr ctica t cnica y contribu ye de esta forma a la aplicaci n e interpretaci n unitaria de la norma a nivel nacional e internacional Inhaltsverzeichnis 1 VOOR de oi de 2 A o ee ee 3 Basisnormen zur funktionalen Sicherheit von Maschinensteuerungen cccccccccsscceessssssssssseseceeeeeceeceseeeeeeeeeeaeeees 4 Report und Norm im berblick 4 1 Identifikation von Sicherheitsfunktionen und ihren Eigenschaften ss 4 2 Gestaltung und technische Realisierung der Sicherheitsfunktionen ss 4 3 Verifikation und Validierung der Steuerung f r jede Sicherheitsfunktion sssssssssseececceeccccccsceeeeseeeesssssesseeseeees 4 4 K nftige Entwicklung von DIN EN ISO 138691 iaa 5 Sicherheitsfunktionen und ihr Beitrag zur Risikominderung
22. Kapitel stellt f r den Leser die Querbez ge zwischen der Prozess zur Gestaltung der sicherheitsbezogenen Teile von Steue Norm und den weiteren Kapiteln und Anhangen dieses Reports rungen und orientiert sich dabei an Abbildung 4 1 die Bild 3 der her Gleichzeitig gibt es einen Uberblick ber den iterativen Norm entspricht Von Risikoanalyse DIN EN ISO 12100 Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF Bestimmen des erforderlichen PL PL Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DC CCF Software und systematische Fehler Abbildung 4 1 Iterativer Prozess Verifikation zur Gestaltung der PL gt PL sicherheitsbezogenen Teile von Steuerungen SF Sicherheitsfunktion PL Performance Level PL erforderlicher Performance Level ee SRP CS Safety Related Va lidi erung Parts of Control Systems Anforderungen erreicht sicherheitsbezogene Teile der Steuerung MTTF Mean Time to Dangerous Failure Erwartungswert der mitt leren Zeit bis zum gefahr bringenden Ausfall Alle SF DC ug average analysiert Diagnostic Coverage mittlerer Diagnose u deckungsgrad Zur Risikoanalyse CCF Common Cause DIN EN ISO 12100 Failure Ausf lle infolge gemeinsamer Ursache 19 4 1 Identifikation von Sicherheitsfunktionen und ihren Eigenschaften Als bew hrtes Konzept steht die Definition einer oder meh
23. Kennzeich nung und Farbgebung der Taster Gestaltung der ZHS die eine Manipulation und damit Umgehung der Ortsbindung verhindert 6 5 9 Anforderungen an die Software speziell SRESW Im Folgenden wird die Realisierung der sicherheitsbezogenen Firmware f r den Mikrocontroller K1 beispielhaft dargestellt Es handelt sich um eine Embedded Software SRESW f r die PL e gilt Aufgrund des diversit ren Ansatzes f r die Logik steuerung der zweite Kanal wird als ASIC ausgef hrt k nnen die Anforderungen entsprechend der Anmerkung in Abschnitt 4 6 2 der Norm heruntergestuft werden Wenn Diver sit t in Spezifikation Entwurf und Codierung f r die beiden Kan le des SRP CS in Kategorie 3 oder 4 verwendet wird kann ein PL e mit den oben erw hnten Ma nahmen f r PL von c oder d erreicht werden 74 Der Entwicklungsprozess fur die Firmware orientiert sich am V Modell in Abbildung 6 11 und ist in das zertifizierte Quali tatsmanagement des Herstellers eingebettet Auf der Basis der Spezifikation der gesamten sicherheitsbezogenen Steuerung wird zun chst die Spezifikation der Softwaresicherheitsanforderungen f r die Firmware das Lastenheft geschrieben Dieses Dokument beschreibt den Anteil den die Firmware zu den Sicherheits funktionen der Maschine beitr gt geforderte Reaktionszeiten bezogen auf K1 Reaktionen bei erkannten Fehlern Schnittstellen zu anderen Subsystemen Abh ngigkeiten von Betriebsarten usw Zus t
24. PL Bestimmung lassen sich damit einfach erfassen und alle Rechenschritte inklusive der rechnerischen PL Bestimmung sind automatisiert Als besondere Option ist eine Berechnung mit den genauen DC und MTTF Werten m glich F r DC wird mit dem genauen hier schlechteren Wert 98 6 gerechnet statt die 5 Toleranz zu DC noch auszunutzen und gerun dete 99 anzusetzen f r die Toleranzen bei DC und MTTF vgl Anmerkungen 2 in den Tabellen 5 und 6 der Norm Die noch innerhalb des Toleranzbereichs liegende Unterschreitung der 99 Marke f r Kategorie 4 wird von SISTEMA allerdings mit einem Warnhinweis quittiert Die Rechnung mit dem genauen MTTF Wert von 31 4 Jahren bringt hingegen eine leichte Ver besserung gegen ber dem abgerundeten Wert von 30 Jahren f r MTTF hoch Damit ergibt sich eine durchschnittliche Wahr scheinlichkeit eines gef hrlichen Ausfalls je Stunde von 9 7 10 Stunde siehe Abbildung 6 18 was nur geringf gig von dem oben ermittelten Wert abweicht Es schlie t sich nun die Bewertung der nicht quantifizierbaren qualitativen Aspekte bei der PL Bestimmung an zun chst f r systematische Ausf lle 6 5 7 Systematische Ausf lle Der gew hlte Entwurf der Steuerung verwendet mit einem diversit ren Ansatz f r die Logiksteuerung eine h chst wirksame Ma nahme gegen den Einfluss systematischer Ausf lle Selbst verst ndlich m ssen im Zuge der Realisierung weitere Ma nahmen implementiert we
25. PL ohne erneute Risikoeinsch tzung ermitteln Sowohl die erforderliche Kategorie nach DIN EN 954 1 als auch der PL nach der neuen Norm werden durch eine Risikoeinsch t zung ermittelt Unterstellt man dass die erforderliche Kategorie anhand des Risikographen aus DIN EN 954 1 bestimmt wurde und bertr gt die hierbei verwendeten Parameter S Fund P siehe Abschnitt 5 4 1 auf den Risikographen der neuen Norm so stellt man fest dass es nicht f r alle erforderlichen Kategorien eine eindeutige Zuordnung zum PL gibt Weiterhin ist zu ber cksichtigen dass bei der berf hrung einer erforderlichen Kategorie nach DIN EN 954 1 in einen PL die Anforderung an die zu realisierende Struktur der SRP CS verloren geht Kapitel 6 erl utert mit welchen vorgesehenen Architekturen die Kategorien verbunden sind z B die Testung mit Kate gorie 2 und die Einfehlersicherheit mit Kategorie 3 W rde man einer erforderlichen Kategorie 3 nach DIN EN 954 1 einen PL d zuordnen so k nnte eine Sicherheitsfunktion nun auch in der Kategorie 2 realisiert werden siehe Abbildung 6 10 Die bis herige hochwertige Einfehlersicherheit der Kategorie 3 w rde also bei dieser einfachen Umsetzung durch eine funktional ein kanalige Struktur mit Testeinrichtung realisierbar sein Dies ist ein beabsichtigter Freiheitsgrad der neuen Norm der jedoch bei der Festlegung des PL ber cksichtigt werden muss So ist bei der Auswahl einer erforderlichen Kategorie u a das en
26. Personen 6 3 10 Anforderungen an die Software von Standardkomponenten in SRP CS Sicherheitsbezogene Steuerungen werden oft auch mit Stan dardkomponenten f r den industriellen Anwendungsbereich realisiert Da die Norm Anforderungen an die Realisierung von SRESW und SRASW formuliert sind diese auch in Bezug auf elek tronische programmierbare Standardkomponenten zu erf llen Im Vergleich zu gepr ften Sicherheitskomponenten ergeben sich jedoch Einschr nkungen Folgende Kategorien bzw Performance Level PL k nnen durch elektronische programmierbare Stan dardkomponenten nicht beansprucht werden Kategorie 1 Ausschluss durch die Norm Kategorie 4 bzw PL e kann in der Regel beim Einsatz von Standardkomponenten wegen des geforderten hohen Diagnosedeckungsgrades DC in der Praxis nicht erreicht werden Eine individuelle Beurteilung des Einzelfalls ist notwendig Anforderungen an SRESW Alle betrachteten Standardkomponenten m ssen f r den indus triellen Einsatz entwickelt worden sein F r die SRESW Firm ware Betriebssystem gelten mindestens die Basisma nahmen f r PL a bis b In den meisten Anwendungsf llen gibt es siehe Tabelle 6 5 zwei Alternativen um dies nachzuweisen O entweder durch eine Best tigung des Komponenten herstellers daf r dass die Basisma nahmen erf llt wurden Tabelle 6 5 Anforderungen an die SRESW von Standardkomponenten oder durch Angaben des Komponentenherstellers dar ber dass e
27. Prinzipien die seine Eignung und Zuverl ssigkeit f r sicherheitsbezogene Anwendungen zeigen hergestellt und verifiziert wurde In Anhang C wird eine bersicht ber bekannte sicherheitstech nisch bew hrte Bauteile verschiedener Technologien gegeben Neuentwickelte Bauteile und die Anwendung der Sicherheits prinzipien k nnen als gleichwertig bew hrt betrachtet werden wenn sie die zweite oben genannte Bedingung erf llen Die Ent scheidung ein bestimmtes Bauteil als bew hrt zu akzeptieren h ngt von der Anwendung ab Komplexe elektronische Bauteile z B speicherprogrammierbare Steuerungen SPS Mikroprozes soren oder anwendungsspezifische integrierte Schaltungen ASIC d rfen nicht als gleichwertig bew hrt betrachtet werden Als Konsequenz daraus k nnen einfache elektronische Bauteile wie Transistoren Dioden usw als bew hrt angesehen werden Die Bew hrtheit eines Bauteils ist abh ngig von seiner Anwen dung und bedeutet nur dass ein gefahrbringender Ausfall unwahrscheinlich ist Entsprechend ist die zu erwartende gefahrbringende Ausfallrate gr er Null und geht als MTTF in die PL Bestimmung ein Demgegen ber wird bei der Annahme eines Fehlerausschlusses siehe Abschnitt 6 2 10 eine unendliche hohe MTTF unterstellt die nicht in die Berechnung eingeht Wegen der erwarteten h heren Bauteilzuverl ssigkeit muss die MTTF des in Kategorie 1 nur einfach vorhandenen Kanals hoch sein an DC und CCF werde
28. Sicherheits funktion hoher DCayg Die Fehler werden recht zeitig erkannt um einen Verlust der Sicherheits funktion zu verhindern Prinzip zum Erreichen der Sicherheit MTTF jedes Kanals berwiegend niedrig bis hoch durch die Struktur charakterisiert berwiegend niedrig bis hoch durch die Struktur charakterisiert berwiegend durch die Struktur charakterisiert niedrig bis mittel niedrig bis mittel hoch einschlie lich der Fehleranh ufung Ma nahmen erforderlich siehe Anhang F Ma nahmen erforderlich siehe Anhang F Ma nahmen erforderlich siehe Anhang F 47 Bei der Fehlerbetrachtung ist es notwendig abzuw gen welche Bauteilfehler unterstellt werden m ssen und welche begr ndet ausgeschlossen werden k nnen Hinweise auf die in Betracht zu ziehenden Fehler werden in Anhang C gegeben In den Kategorien 3 und 4 m ssen auch Ausf lle infolge gemein samer Ursache die ein gleichzeitiges Versagen mehrerer Kan le hervorrufen k nnen in ausreichendem Ma e beherrscht werden Das gilt ebenso f r die Kategorie 2 da die Testeinrichtung mit ihrem eigenen Abschaltpfad ebenfalls ein zweikanaliges System darstellt Grunds tzlich l sst sich sagen dass viele der grund legenden und bew hrten Sicherheitsprinzipien nicht nur gegen zuf llige Hardwareausf lle sondern auch gegen systematische Ausf lle wirken die sich irgendwann im Laufe des Produkt lebenszyklus in das Produkt einschle
29. Software systematische Ausf lle und das Verhalten unter Umgebungs bedingungen f r PL e hinreichend erf llt 7 6 2 Validieren der sicherheitsbezogenen Anforderungen siehe auch Block 7 in Abbildung 7 1 Fehlerlisten Bei der PL Bestimmung werden die Fehlerlisten nach DIN EN 13849 2 7 zugrunde gelegt Dokumente Wie bereits genannt bilden Schaltpl ne St cklisten Spezifikation und Funktionsbeschreibung die Grundlage f r die Analyse bzw Pr fung Dokumentation Alle Analyse und Pr fergebnisse bed rfen der Dokumentation in schriftlicher Form Validieren der Sicherheitsfunktion Zur berpr fung der funktionalen Anforderungen an die Sicher heitsfunktion wird ein Funktionstest durchgef hrt erg nzt um einen erweiterten Funktionstest um das Verhalten der Sicher heitsfunktion bei seltenen oder nicht festgelegten Eingaben zu berpr fen Ein Beispiel f r einen solchen Test w re die berpr fung der Reaktion der SRP CS wenn eine weitere Person in den Gefahrenbereich durch eine dort vorhandene BWS Lichtgitter eingreift w hrend ein Mitarbeiter gerade die Zweihandschal tung bedient Leistungstests zu funktionalen Aspekten werden durchgef hrt Dazu z hlt die berpr fung der nach der Norm DIN EN 574 37 einzuhaltenden Zeit f r eine synchrone Bet ti gung Nur wenn beide Stellteile S1 und S2 in einem Zeitabschnitt lt 0 5 Sekunden bet tigt werden d rfen Ausgangssignale zur Ansteuerung des Pressbalkens und
30. Sprachen sind bereits ber das notwendige Ma hinaus sehr umfangreich und enthalten teilweise fehlertr chtige Konstrukte Daher sollte der Programmierer die Syntax nur eingeschr nkt einsetzen Entsprechende Sprachteil mengen werden meist durch das Werkzeug vorgegeben Programmierrichtlinien Zur Codierung der Softwarefunktionen sind geeignete Programmierrichtlinien zu beachten 34 35 Dies sollten bestehende und akzeptierte Regeln einer anerkannten Orga nisation sein Alternativ kann ein Unternehmen selbst pas sende Programmierregeln aufstellen sofern diese praktisch oder theoretisch fundiert sind Programmierrichtlinien regeln die Benutzung kritischer Sprachkonstrukte den Umfang und die Schnittstelle von Softwarefunktionen die Formatierung und Kommentierung des Codes symbolische Namen von Funktionen und Variablen usw Diese Werkzeuge und Richtlinien sollten im Gestaltungsdokument vorgegeben werden 6 3 8 Ungeliebt aber wichtig Dokumentation und Konfigurationsmanagement Bevor der Hersteller die EG Konformit tserkl rung f r eine Maschine ausstellt muss er eine technische Dokumentation ausarbeiten In Bezug auf die sicherheitsbezogene Software sind damit zun chst die Spezifikation der realisierten Sicherheits funktionen Lastenheft das Gestaltungsdokument Pflichten heft sowie das gut kommentierte Programm gemeint Zus tz lich sind die benutzten zertifizierten oder selber validierten Bibliotheksfunktionen mit ihr
31. Unfallgeschehen zu ber cksichtigen ist ISO DTR 14121 2 beschreibt Verfahren um das erforderliche Ma der Risikominderung zu bestimmen In DIN EN ISO 13849 1 wird hiervon die Methode des Risikographen angewendet 5 4 1 Risikograph Das Diagramm im Anhang A der Norm f hrt direkt zum erforder lichen Performance Level PL und wird im Folgenden erl utert siehe Abbildung 5 9 Weitere Beispiele zur Bestimmung des PL finden sich in Anhang A Abbildung 5 9 Risikograph zur Bestimmung des PL f r jede Sicherheitsfunktion Erforderlicher Performance Level PL Niedriges Risiko Ausgangs punkt zur Einsch tzung der Risiko minderung Risiko Beginnend am Ausgangspunkt werden die Risikoparameter O S Schwere der Verletzung F H ufigkeit und oder Dauer der Gef hrdungsexposition o P M glichkeit zur Vermeidung der Gef hrdung oder Begrenzung des Schadens bewertet Der Risikograph f hrt dadurch zum erforderlichen PL Diese Analyse ist f r jede Sicherheitsfunktion und ohne Ber ck sichtigung der hierdurch erreichten Risikominderung durchzu f hren Sofern andere technische Ma nahmen bestehen die unabh ngig von der Steuerung realisiert sind z B eine mecha nisch trennende Schutzeinrichtung oder zus tzliche Sicherheits funktionen so k nnen diese bei der Bestimmung des PL als wirksam vorausgesetzt werden Schwere der Verletzung S1 und S2 Die Schwere der Verletzung an einer Gefahrenstelle wird in
32. Weiterf hrende Hilfen und Literatur finden sich auf den Internetseiten des BGIA unter der Adresse www dguv de bgia 13849 22 5 Sicherheitsfunktionen und thr Beitrag zur Risikominderung Der vorliegende BGIA Report beschaftigt sich mit Sicherheits funktionen und ihrem Beitrag zur Risikominderung an Gefahren stellen von Maschinen Solche Sicherheitsfunktionen zu gestalten ist Teil eines Prozesses zur Realisierung von sicheren Maschinen Dieses Kapitel geht daher zunachst auf die Anforderungen der Maschinenrichtlinie ein bevor die Festlegung von Sicher heitsfunktionen und ihrer Eigenschaften beschrieben wird In Abschnitt 5 7 wird anschlie end die Umsetzung am praktischen Beispiel einer Planschneidemaschinensteuerung gezeigt 5 1 Anforderungen der EG Maschinenrichtlinie Die EG Maschinenrichtlinie 1 ist in Deutschland im Rahmen des Ger te und Produktsicherheitsgesetzes in nationales Recht umgesetzt und legt grundlegende Sicherheits und Gesundheits anforderungen f r Maschinen fest Der allgemeine Charakter der Maschinenrichtlinie wird durch Normen konkretisiert Hierbei ist insbesondere die Normenreihe DIN EN ISO 12100 2 3 Sicher heit von Maschinen Grundbegriffe allgemeine Gestaltungsleit s tze hervorzuheben Dem Maschinenkonstrukteur wird eine Methode vorgestellt die f r das Erreichen der Sicherheit von Maschinen geeignet ist Diese Methode Strategie zur Risiko minderung bezieht die Gestaltung der sicherheitsb
33. Ziel dieser Betrachtungen ist es die sogenannte Restfehlerwahrscheinlich keit R und die daraus abgeleitete Restfehlerrate A in Anleh nung an das kleine als Fehlerrate von Bauteilen zu bestim men Genau dieser Wert l sst sich dann unter dem Aspekt der f r einen PL geforderten durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde als Anteil f r die bertragung sicherheitsrelevanter Nachrichten einrechnen Beide oben genannten Publikationen begrenzen den Wert der Restfehlerrate auf 1 des zul ssigen Maximalwertes der Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde Tats chlich sind von Herstellern bisher angegebene Werte oft auf einen SIL siehe Kapitel 3 bezogen in der Praxis sind diese Werte aber kompa tibel f r einen Einsatz unter einem geforderten PL siehe auch Abbildung 3 2 Durch die 1 Regel ist der Beitrag zur Wahr scheinlichkeit eines gef hrlichen Ausfalls je Stunde quasi vernachl ssigbar bzw kann den f r die SRP CS ermittelten 57 Werten hinzugerechnet werden Umfassende Informationen zu Bussystemen fiir die Ubertragung sicherheitsrelevanter Infor mationen gibt z B 30 Sollen ein in der Regel von unabh ngiger Stelle gepr ftes Bussystem bzw dessen Komponenten f r die Realisierung von Sicherheitsfunktionen eingesetzt werden so ist vor allem die Planung des Einsatzes und die korrekte Implementierung unter dem Aspekt der Fehlervermeidung von gro er Bedeutung Eine Vie
34. Zur Risikoanalyse DIN EN ISO 12100 Der Prozess der Beurteilung einer Sicherheitsfunktion in ihrer Realisierung durch SRP CS ist also ein Zusammenspiel aus Verifikations und Validierungsschritten die sowohl Teilaspekte als auch die Gesamtheit der SRP CS behandeln Die Begriffe Verifikation und Validierung werden im Folgenden auch als V amp V Aktivitaten bezeichnet 7 1 Ablauf Abbildung 7 1 zeigt den relevanten Ausschnitt aus Abbildung 4 1 der sich mit den Aktivit ten des Verifizierens und Validierens befasst Ein wichtiger erster Pr fungsschritt geschieht beim Durchlaufen der oberen Raute Block 6 Wenn der Performance Level PL jeder realisierten Sicherheitsfunktion nicht mindestens dem nach Kapitel 5 bestimmten erforderlichen Performance Level PL entspricht so ist es erforderlich in die Phase der Gestaltung und Realisierung zur ckzukehren Anderenfalls gelangt man in die zweite Raute Block 7 Iteration weitere SF Abb 5 5 zu Redesign und erneuter PL Ermittlung Abb 6 1 nein Abbildung 7 1 V amp V Aktivit ten Ausschnitt aus Abbildung 4 1 71 Zur Planung der dort erforderlichen Schritte kann der Ablauf in Abbildung 7 2 herangezogen werden Abbildung 7 2 stammt aus Teil 2 der 2003 ver ffentlichten DIN EN ISO 13849 und wurde grafisch aufbereitet um die V amp V Aktivit ten deutlicher heraus zustellen Die wichtigsten Aspekte des Ablaufes der Verifikation und der Validierung werden nachfolg
35. angewendeten Sicherheitsfunktionen zur Verhinderung eines unerwarteten Anlaufs STO STO Safe Torque Off fr her SH Sicherer Halt zum sicheren Stillsetzen SS1 und SS2 und zur sicheren Begrenzung einer Geschwindigkeit SLS SLS Safely Limited Speed fr her SRG Sicher Reduzierte Geschwindigkeit Bestimmen des erforderlichen PL PL Abbildung 5 5 Ausschnitt aus dem R cksprung wenn weitere SF vorliegen Abb 7 1 iterativen Prozess zur Gestaltung der sicherheitsbezogenen Teile von Steuerungen SRP CS Tabelle 5 1 Sicherheitsfunktionen aus DIN EN ISO 13849 1 Beispiel fur mogliche Anwendung Sicherheitsfunktion Sicherheitsbezogene Stopp funktion eingeleitet durch eine Schutzeinrichtung Reaktion auf das Auslosen einer Schutzeinrichtung durch STO SS1 oder SS2 Tabelle 5 2 Manuelle R ckstellfunktion Quittierung beim Verlassen von hintertretbaren Bereichen Start Wiederanlauffunktion Nur zul ssig bei steuernden trennenden Schutzeinrichtungen nach DIN EN ISO 12100 2 Steuern von Maschinenbewe gungen von einem Standort innerhalb des Gefahrenbereichs Lokale Steuerungsfunktion Zeitweises Unwirksammachen von Schutzeinrichtungen z B beim Materialtransport Mutingfunktion Einrichtung mit selbsttatiger Ruckstellung Tippschalter Maschinenbewegungen gesteuert von einem Standort innerhalb des Gefahrenbereichs z B beim Einrichten Zustimmfunktion Maschinenbewegungen gesteuert von eine
36. aus der zuvor best tigten Kategorie bzw den best tigten MTTF und DC Werten der richtige PL ermittelt wurde 7 4 Pr fen der Benutzerinformation Wichtige Informationen zur sicheren Verwendung der SRP CS sind dem Benutzer in Form von Betriebsanleitungen Montage anleitungen und Typenschild an die Hand zu geben Diese gesamtheitlich Benutzerinformationen genannten Dokumente sollten daraufhin gepr ft werden ob sie alle in Abschnitt 11 der Norm genannten Inhalte enthalten Dazu z hlen u a verst nd liche Beschreibungen der des bestimmungsgem en Verwendung Einsatz und Anwendungsbereich Information zum Performance Level und der Kategorie sowie die datierte Verweisung auf die Norm Sicherheitsfunktionen und Standardfunktionen Betriebsarten Ansprechzeiten Mutings zeitweiliges Aufheben der Sicherheitsfunktionen Grenzen fur den Betrieb einschlie lich Umgebungsbedingungen Schnittstellen Anzeigen und Alarme O sicheren Montage und Inbetriebnahme ggf des sicheren Parametrierens und Programmierens Instandhaltung inklusive daf r geeigneter Checklisten O Wartungs und Wechselintervalle O Zug nglichkeit und Ersatz interner Teile Mittel und Verfahren zur leichten und sicheren Fehlersuche 7 5 Validieren der Kombination und Integration von SRP CS Die einzelnen SRP CS sind vor der Kombination separat zu pr fen Um systematische Fehler w hrend der Kombination bzw Integration von SRP CS z
37. b und zus tzliche Ma nahmen f r PL c bzw d Eine Herstellerbest tigung ber die Einhaltung aller Anforderungen nach DIN EN ISO 13849 1 ist erforderlich 63 Zusammenfassend wird der Einsatz von elektronischen programmierbaren Standardkomponenten in SRP CS hinsichtlich der Anforderungen an die SRESW wie folgt beurteilt O PLe kann nach heutigem Stand der Technik durch eine Realisierung mit softwaregest tzten Standardkomponenten im Allgemeinen nicht erreicht werden PLc d kann bei Diversit t der SRESW bzw bei diversitarer Technologie zweier Kan le mit reduzierten Anforderungen hinsichtlich der Anforderungen an SRESW realisiert werden Zwar wird der Nutzen von Diversit t in der Norm nicht explizit formuliert ist aber g ngige Praxis und wird auch in der zuk nftigen zweiten Fassung der DIN EN 61508 hnlich dar gestellt PL a b k nnen mit geeigneten Standardkomponenten reali siert werden Anforderungen an SRASW Die Anforderungen an SRASW orientieren sich an dem PL den das Subsystem mit der programmierbaren Standardkomponente erreichen soll Wird eine Standardkomponente in einem Kanal in diversit rer Redundanz mit einer anderen Technologie z B fluidtechnisch in dem anderen Kanal eingesetzt dann werden aufgrund der geringeren Wahrscheinlichkeit eines gef hrlichen Ausfalls durch systematische Fehler in der SRASW die Anforde rungen f r SRASW im PL um eine Stufe abgesenkt z B von PL d aufPLc gefahrbring
38. bezogenen Komponenten Hier ist der Bauteile oder Kompo Fehler dem System bereits seit der Konstruktion innewoh nentenhersteller mit seinem technischen Datenblatt allen ande nenden Fehler wie z B Dimensionierungsfehler Softwarefehler ren Quellen vorzuziehen Viele Komponentenhersteller auch im oder logische Fehler vor denen Ma nahmen zur Fehlerver Bereich der Pneumatik haben bereits signalisiert dass solche meidung und beherrschung sch tzen sollen Hier nehmen die Daten k nftig erh ltlich sein werden Aber auch wenn es Softwarefehler einen gro en Bereich ein Wie in der Einleitung noch wenig Herstellerangaben gibt lassen sich typische erw hnt sind die Anforderungen an die sicherheitsbezogene Beispielwerte aus etablierten Datensammlungen z B SN 29500 Software in der Norm zwar neu aber im Einzelnen bereits aus oder IEC TR 62380 ermitteln Die Norm und Anhang D dieses einschl gigen Normen bekannt Die konkreten Ma nahmen sind Reports listen ebenfalls einige realistische Werte aus der Praxis je nach gefordertem PL abgestuft Weitere Informationen geben auf Abschnitt 6 1 2 f r systematische Ausf lle sowie Abschnitt 6 3 f r Software Die Wirksamkeit der Diagnose als Wert des mittleren Diagnose deckungsgrades DC average Diagnostic Coverage ermittelt 4 3 Verifikation und Validierung der Steuerung sich sehr einfach F r jeden Block werden die TestmaRnahmen fur jede Sicherheitsfunktion zusammengestellt die den Block berwach
39. den Leser so Schritt f r Schritt in die Geheim nisse der Norm DIN EN ISO 13849 1 2007 und ihre praktische Anwendung ein Hierbei ist der Report selbstverst ndlich kein Ersatz f r die Norm er enth lt jedoch wertvolle Tipps und vor allem schon in der Praxis erarbeitete Erweiterungen und Hilfen Der Report ist als Lehrbuch und Nachschlagewerk gedacht beiden Anspr chen soll und kann er gerecht werden Dr Karlheinz Meffert Direktor des BGIA 11 2 Einleitung Seit dem 1 Januar 1995 m ssen alle Maschinen die innerhalb des europ ischen Wirtschaftsraumes in Verkehr gebracht werden den grundlegenden Anforderungen der Maschinenrichtlinie 1 gen gen Als Maschine gilt nach Artikel 1 dieser Richtlinie die Gesamtheit von miteinander verbundenen Teilen oder Vor richtungen von denen mindestens eines beweglich ist sowie gegebenenfalls von Bet tigungsger ten Steuer und Energie kreisen die f r eine bestimmte Anwendung z B Verarbeitung Behandlung Fortbewegung und Aufbereitung eines Werkstoffes zusammengef gt sind Mit der kodifizierten Fassung 98 37 EG 1 der Maschinenrichtlinie fallen neben Maschinen auch Sicher heitsbauteile die vom Hersteller mit dem Verwendungszweck der Gew hrleistung einer Sicherheitsfunktion in Verkehr gebracht werden und deren Ausfall oder Fehlfunktion die Sicherheit oder die Gesundheit von Personen im Wirkbereich der Maschine gef hrden k nnen unter den Anwendungsbereich dieser Richt linie
40. des Messers erzeugt werden Die vorgenannten Pr fungen und die Analysen der spezifizier ten sicherheitstechnischen Eigenschaften wurden mit positivem Ergebnis abgeschlossen Validieren des PL der SRP CS O Validieren der Kategorie Unter Einbeziehung der Entwicklungsunterlagen finden an einem Prototypen Tests zum Verhalten im Fehlerfall statt Dies geschieht durch gezielten Einbau von Fehlern Die Reaktion der SRP CS auf die eingebauten Fehler sollte den spezifizierten Reaktionen entsprechen Zun chst wird durch Analyse und dann durch Pr fung getestet was geschieht wenn z B einzelne Hilfssch tze nicht mehr in der Lage sind Schaltbefehle auszufuhren oder wie die SRP CS reagieren wenn einer der beiden Stellteile S1 oder S2 zeitverzogert oder gar nicht betatigt wird Die Sicherheitsfunktion bei Einbringung eines einzelnen Fehlers in die SRP CS muss stets gewahrleistet sein Ein einzelner Fehler muss bei oder vor der nachsten Ausfuhrung der Sicherheitsfunktion erkannt wer den Kann der Fehler nicht erkannt werden darf eine Anhaufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunk tion f hren Das Einhalten des Ruhestromprinzips als ein Beispiel f r grund legende Sicherheitsprinzipien wird durch Einbringen von Unter brechungen und Bewertung der Reaktion darauf nachweisbar Fallt z B die Versorgungsspannung aus werden der Pressbalken und das Messer ber Federkraft zur ck in die Ausgangsposition gefahren Plausib
41. des Mikrocontrollers K1 zu validieren 84 Kontrolle der Absch tzung des PL Zur Absch tzung des PL wurde das vereinfachte Verfahren nach DIN EN ISO 13849 1 angewendet Dessen korrekte Anwendung wird nachvollzogen Die Berechnung der MTTF nach Abschnitt 6 2 11 und Anhang D sowie des durchschnittlichen Diagnose deckungsgrades DC nach Anhang E wird ebenso kontrolliert wie die korrekte Ermittlung des PL aus der zuvor best tigten Kategorie bzw den best tigten MTTF und DC Werten anhand des Saulendiagramms in Abbildung 6 10 Pr fen der Benutzerinformation Die Benutzerinformation muss zu Belangen der SRP CS auf folgende Punkte erfolgreich berpr ft werden Beschreibung der bestimmungsgem en Verwendung Angabe von Informationen zum PL und der Kategorie einschl datierter Verweisung auf die Norm Erl uterung aller Betriebsarten Beschreibung der Schutz einrichtungen und Sicherheitsfunktionen mit Ansprechzeiten Umgebungsbedingungen f r den Betrieb und Schnittstellen nach au en Informationen und technische Daten zum Transport zur sicheren Montage Inbetriebnahme und Instandhaltung Validieren der Kombination und Integration von SRP CS Die beschriebene Sicherheitsfunktion wird durch ein SRP CS realisiert Da jedoch die unterschiedlichen Technologien Elektro nik und Hydraulik innerhalb dieses SRP CS kombiniert werden sollten einige bei der Kombination von SRP CS notwendige Pr fungen auch hier durchgef hrt werden
42. des erreichten PL Validieren der sicherheitsbezogenen Anforderungen Pr fung ob alle Sicherheitsfunktionen analysiert wurden 54 55 56 57 58 58 59 60 60 60 60 61 62 62 63 64 67 67 67 67 69 70 72 12 74 74 73 75 22 71 78 78 79 79 79 79 80 80 80 80 81 81 81 81 81 82 82 82 82 82 82 84 8 Schaltungsbeispiele Ur SRP CS nennen sente eee ne entente ns 85 8 1 Grundlegende technologiebezogene Bemerkungen zu den Steuerungsbeispielen ssssssseseecceeeecccceceeeeanseeeeees 86 8 1 1 Elektromechanische Steuerungen eran 86 B2 Elida canse Steele a E E nas 86 8 1 3 Elektronische und programmierbar elektronische Steuerungen ss 88 A o e ya XA PR UA RE o E Nee 89 8 2 1 Stellungs berwachung beweglicher trennender Schutzeinrichtungen mittels N herungsschalter Kategorie B PL b Beispiel 1 92 8 2 2 Pneumatisches Ventil Subsystem Kategorie 1 PL c f r PL b Sicherheitsfunktionen Beispiel 2 94 8 2 3 Hydraulisches Ventil Subsystem Kategorie 1 PL c f r PL b Sicherheitsfunktionen Beispiel 3 96 8 2 4 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 4 98 8 2 5 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 1 PL c Beispiel 5 100 8 2 6 Start Stopp Einrichtung mit Not Halt Ger t Kategorie 1 PL c Beispiel 6
43. die Zuverl ssigkeit der Einzelkomponenten das Verhalten im Fehlerfall und die Fehlererkennung durch automatische Diagnosema nahmen betreffen Die Grundlage hierzu liefern Fehlerlisten und Sicherheitsprinzipien siehe Anhang C Neben der klassischen FMEA Failure Mode and Effects Analysis Ausfalleffektanalyse werden in DIN EN ISO 13849 1 vereinfachte Rechenmethoden wie z B das Parts Count Verfahren ange boten Eine detaillierte Beschreibung dieser Thematik findet sich in Anhang B Tabelle 4 1 Deterministische und probabilistische Merkmale der Kategorien Erg nzungen nach der Revision der Norm sind grau hinterlegt Merkmal Kategorie B Gestaltung gem zutreffender Normen zu erwartenden Einfl ssen standhalten X 1 px px Grundlegende Sicherheitsprinzipien Bewahrte Sicherheitsprinzipien a E EEE EEE 2 4 X X X X X X Bew hrte Bauteile xx Mean Time to Dangerous Failure MTTF niedrig hoch niedrig niedrig hoch bis mittel bis hoch bis hoch Ber cksichtigung von Fehlerakkumulation ES bis mittel bis mittel man MS E IC ECT ET 3 x x Eine der meistgestellten Fragen zur Ausfallwahrscheinlichkeit Neben den zuf lligen Hardware Ausf llen die durch gute Struk betrifft die Beschaffung zuverl ssiger Ausfalldaten der MTTF tur und geringe Ausfallwahrscheinlichkeit beherrscht werden Werte Mean Time to Dangerous Failure f r die sicherheits k nnen gibt es das weite Feld der sogenannten systematischen
44. einzuleiten bzw aufrechtzuerhalten wenn der Test ein Versagen des regul ren Abschaltelements Block O im sicherheitsbezogenen Blockdiagramm fest gestellt hat 54 Sowohl das Ausl sen eines Tests dessen Ausf hrung als auch die erforderliche Abschaltung sollten bevorzugt auto matisch von SRP CS durchgef hrt werden Nur in Aus nahmef llen erscheint es angeraten hier auf eine manuelle Intervention z B des Maschinenbedieners angewiesen zu sein Denn die Praxis zeigt leider oft dass die erforderlichen Ma nahmen aus Bequemlichkeit wegen Arbeitsdrucks oder fehlerhafter Information bzw Organisation nicht ausreichend umgesetzt werden Hier sind ein hoher organisatorischer Aufwand und Disziplin n tig um manuelle Tests wirksam umzusetzen Gleichwohl ber cksichtigt die Bestimmung des DC f r zweikanalige Systeme Fehleraufdeckung bei Anfor derung der Sicherheitsfunktion d h es werden nicht nur automatisch ausgel ste Tests in programmierbarer Elektro nik betrachtet Gerade bei elektromechanischen Bauteilen z B Relais oder Sch tzen kann eine Erkennung des Fehlers Nichtabfall blicherweise nur bei Anforderung der Sicher heitsfunktion erfolgen F r die Fehleraufdeckung bei Anfor derung muss die H ufigkeit der Anforderung der Sicherheits funktion ber cksichtigt werden Ein weiterer Aspekt ist die Frage nach der notwendigen Testh ufigkeit Ein Test der zu selten ausgef hrt wird wird unter Umst nden durch das
45. h ausf lle vernachl ssigt da Komponenten mit ausgepr gten Fr hausf llen den Verf gbarkeitsanforderungen an eine Maschi nensteuerung nicht gerecht werden und daher im Markt nur eine geringe Rolle spielen Dieses Vorgehen hat den Vorteil dass die MTTF immer gleich dem Kehrwert der zugeh rigen gef hrlichen Ausfallrate A ist Da sich die gefahrbringenden Ausfallraten der Bauteile in einem Block einfach aufsummieren ergibt sich aus den MTTF Werten der beteiligten Bauteile N Bauteile mit Laufindex i in folgender Weise die MTTF des Blocks 1 M 1 N 1 gt A bzw MTTF 5 E MTTF Derselbe Zusammenhang gilt auch f r die Ermittlung der MTTF jedes Kanals aus den MTTF Werten der zugeh rigen Bl cke Steht die MTTF f r jeden Kanal fest so tritt eine weitere Verein fachung in Form einer Klassenbildung in Kraft Die ermittelten Werte werden in drei typische Klassen eingeteilt Tabelle 6 3 Tabelle 6 3 Klasseneinteilung der MTTF jedes Kanals MTTF f r jeden Kanal Bezeichnung Bereich 10 Jahre lt MTTF lt 30 Jahre ma ET TS nicht zulassig 100 Jahre lt MTIF Weniger als drei Jahre mittlere nicht garantierte Lebensdauer wird fur Komponenten der Sicherheitstechnik als nicht ange messen betrachtet Mehr als 100 Jahre durfen nicht in Rechnung gestellt werden um die Bauteilzuverl ssigkeit gegen ber den anderen wichtigen Einflussgr en wie Struktur oder Tests
46. langsam auftretenden Gef hrdungen die M glichkeit sich bei ausreichendem Bewegungsraum aus dem Gefahrenbereich zu entfernen P2 ist zu w hlen wenn schnell gr ere Geschwin digkeiten erreicht werden k nnen und die Chance den Unfall durch Ausweichen des Bedieners zu vermeiden praktisch nicht gegeben ist Bei dieser Bewertung ist nur die Begrenzung durch das physikalisch M gliche und nicht die Begrenzung durch steuerungstechnische Komponenten zu ber cksichtigen denn diese k nnten im Fehlerfall versagen So ist beispielsweise bei Walzen die sich in Richtung der Hand des Bedieners bewegen im st rungsfreien Betrieb ein Einzug nicht m glich Im Fehlerfall der Steuerung kann sich die Drehrichtung allerdings ndern und die Hand w rde im ung nstigsten Falle eingezogen Auf die sich anschlie ende Gestaltung der Sicherheitsfunktionen geht Kapitel 6 ein 5 4 2 bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem PL F r die Anwendung der DIN EN IS013849 1 2007 ist es notwen dig den PL zu kennen Wie im vorherigen Abschnitt beschrieben ist zu dessen Bestimmung eine Risikoeinsch tzung erforderlich F r Normensetzer und Maschinenhersteller w re es jedoch einfacher wenn man den PL aus einer bekannten erforderlichen Kategorie nach DIN EN 954 1 1997 ableiten k nnte Eine solche bertragung ist jedoch nur zul ssig sofern an einer Maschine gleiche Gef hrdungen mit gleichen Risiken vorliegen Kann man also den
47. llen ist zu bewerten ob eine wesentliche Ver nderung vorliegt Ist dies der Fall gelten die Anforderungen der EG Maschinenrichtlinie auch f r alte Maschinen ebenso wie f r neue Dazu geh rt u a die Anwendung der DIN EN ISO 13849 Bei der Entscheidung ob eine wesentliche Ver nderung vorliegt hilft ein Diagramm der Berufsgenossenschaft der che mischen Industrie 21 32 Erforderlicher Performance Level PE und erforderliche Kategorie nach DIN EN ISO 13849 1 2007 e Kategorie 4 5 7 Risikominderung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e Das folgende Beispiel illustriert die Anwendung der DIN EN ISO 13849 1 an einer Planschneidemaschine Dabei werden nur ein zelne Aspekte n her dargestellt und nicht der gesamte Prozess Planschneidemaschinen siehe Abbildung 5 10 dienen zum Schneiden von gestapelten Papierb gen oder hnlichen Mate rialien mittels eines Messers Das Schneidgut wird meist von Hand unter das Schneidmesser gelegt Unmittelbar vor dem Schnitt wird ein Pressbalken mit hoher Kraft auf den Stapel abgesenkt um diesen w hrend des Schnittes zu fixieren Messer und Pressbalken werden hydraulisch angetrieben 5 7 1 Festlegung der Grenzen der Maschine R umliche Grenzen Da die Planschneidemaschine von Hand beschickt wird ist au er ausreichendem Bewegungsraum f r den Bediener auch gen gend Platz zur Bereitstellung von Sc
48. mit hoher Anforderungsrate oder bei kontinuierlicher Anforderung als Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFH Probability of a Dangerous Failure per Hour erfolgt weitere Informationen siehe auch 14 Im Maschinenbereich und damit in DIN EN 62061 ist nur die zweite Definition relevant Auch sind SIL 4 Systeme mit h heren Risiken im Maschinenbereich nicht bekannt und werden daher in DIN EN 62061 nicht betrachtet Maschinen industrie IR DIN EN ISO 13849 SRP CS als Elektrik Elektronik programmierbare Elektronik Hydraulik Pneumatik Mechanik Abbildung 3 2 siehe Seite 16 Der grundlegende Ansatz dieser Normen Ausfallwahrscheinlichkeiten und nicht speziell auch Strukturen als charakteristische Kenngr e zu definieren erscheint zun chst universeller Der Ansatz der DIN EN ISO 13849 1 bietet Anwendern jedoch die M glichkeit Sicherheits funktionen von einem Sensor bis hin zu einem Aktor z B Ventil auch wenn sie verschiedene Technologien umfassen unter dem Dach einer Norm zu entwickeln und zu bewerten Neben Teil 1 der DIN EN ISO 13849 existiert seit 2003 auch ein Teil 2 mit dem Titel Validierung der mit dem Erscheinen des revidierten Teils 1 jedoch berarbeitet und angepasst werden muss Trotz dem passen die dort genannten Anforderungen bereits erstaun lich gut zum berarbeiteten Teil 1 Die Anh nge A bis D des Teils 2 enthalten umfangreiches Material zu den Themen
49. nenten gehort nat rlich zu den grundsatzlich erforderlichen Angaben des Herstellers Bei Verwendung von nur einer Standardkomponente in Kate gorie 2 oder 3 in Kombination mit einer anderen Technologie sowie bei diversit ren Standardkomponenten f r jeden Kanal werden aufgrund der geringeren Wahrscheinlichkeit eines gefahrlichen Ausfalls durch systematische Fehler in der SRESW die Anforderungen abgesenkt Tabelle 6 5 zeigt die verschiedenen Kombinationen und wie die Anforderungen an SRESW erfullt werden Kategorie Redundanz SRESW Kategorie B 2 3 Es gelten die Basisma nahmen f r PL a bis b Zwei Alternativen a Bestatigung durch Hersteller b abgedeckt durch qualitatssichernde Entwicklung nach relevanten Produktstandards dann ist keine Herstellerbestatigung ber die Einhaltung der Anforderungen nach DIN EN ISO 13849 1 erforderlich Zwei Komponenten f r zwei Kan le in Kategorie 2 3 diversitare SRESW oder diversitare Technologie Bonus durch die Diversit t der SRESW oder der Technologien Es gelten die Basisma nahmen f r PL a bis b Zwei Alternativen a Best tigung durch Hersteller b abgedeckt durch qualit tssichernde Entwicklung nach relevanten Produktstandards dann ist keine Herstellerbest tigung ber die Einhaltung der Anforderungen nach DIN EN ISO 13849 1 erforderlich Zwei Komponenten f r zwei Kan le in Kategorie 2 3 SRESW homogen Kein Bonus durch Diversit t Es gelten die Basisma nahmen f r PLa bis
50. norme au niveau national et international Resumen Seguridad funcional de sistemas de mando de maquinas Aplicacion de la norma DIN EN ISO 13849 La norma DIN EN ISO 13849 Seguridad de las maquinas partes de sistemas de mando relativas a la seguridad establece reglas para el diseno de partes de sistemas de mando relativas a la seguridad El presente informe presenta los contenidos esencia les de la norma en su versi n sustancialmente revisada de 2007 y explica su aplicaci n a trav s de numerosos ejemplos de los ramos de la electromec nica ingenier a de fluidos electrot cnica y tecnolog a inform tica entre ellos tambi n sistemas de mando de tecnolog a mixta Se demuestra la relaci n de la norma con los requisitos fundamentales de seguridad de la directiva M quinas presentando posibles procedimientos para la eva luaci n de los riesgos Sobre la base de estas informaciones el informe permite seleccionar el nivel de prestaciones necesario required Performance Level PL para funciones de seguridad en la t cnica de control Se explica detalladamente la determinaci n del Performance Level PL realmente alcanzado Se exponen en detalle los requisitos para alcanzar el respectivo Performance Level y sus respectivas categor as la fiabilidad de los compo nentes los grados de cobertura del diagn stico la seguridad del software y las medidas contra fallos sistem ticos as como errores originados por una causa com n
51. quantitativen Bewertung des erreichten PL Mehrere Wege zur quantitativen PL Bestimmung Systematische Ausf lle sota Ergonomische Aspekte Anforderungen an die Software speziell SRESW Kombination von SRP CS presser Weitere Erl uterungen Leits tze f r die Verifikation und Validierung Verifikations und Validierungsplan F RI S RS nus contes D ORDRES TER a mm Analyse a A A A A Dokumentation der V amp V Aktivit ten eeeeeeeeeeeeeeeeeeeeeeneen Validieren der Sicherheitsfunktion ccccccccccccncnnnnnnonomo Validieren des PL der SRP CS un Validieren der Kategorie ccccccccceccccceceeceeeeeeessseeees V lidieren der MITE Werle nie Validieren der DC Werte oooooonccnncccccncnnnnncncnnnnnnnnnonnnnnos Validieren der Ma nahmen gegen CCF Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle ccccccccccccsccceeeeeessssssssseseeeeeceeeeseeeeeas Validieren der Software ooooooonoccnccccnnnnnnnncnnnnnnnnnnnnnnnnos Kontrolle der Absch tzung des PL Pr fen der Benutzerinformation ccereeeseeeeseeeeeeeeeeennn Validieren der Kombination und Integration von SRP CS Verifikation und Validierung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL Verifizieren
52. sofern sie noch nicht in die Validierung der Kategorie eingeflossen sind Dazu z hlen der Abgleich der Schnittstellenkenndaten zwischen den eingesetzten Technologien sowie Funktionstests und erweiterte Funktionstests 7 6 3 Pr fung ob alle Sicherheitsfunktionen analysiert wurden siehe auch Block 8 in Abbildung 7 1 Die hier f r SF2 gezeigten V amp V Aktivit ten werden f r alle vom SRP CS ausgef hrten Sicherheitsfunktionen SF1 bis SF7 durchgef hrt Der Mehraufwand ist allerdings gering da viele Sicherheitsfunktionen auf dieselbe Hardware zur ckgreifen Die Analysen und Pr fungen m ssen zeigen dass die umge setzten Sicherheitsfunktionen korrekt realisiert wurden Nach Betrachtung aller Sicherheitsfunktionen ist die Bewertung nach DIN EN ISO 13849 Teil 1 und Teil 2 abgeschlossen
53. valuation des risques y sont pr sent es partir de ces informations le rapport permet de s lectionner le niveau de performance required Performance Level PL n cessaire pour les fonctions de s curit de technique de commande On y explique en d tails comment d terminer le niveau de performance PL vraiment atteint On y aborde dans les d tails les exigences en mati re d obtention du niveau de performance et ses cat gories respectives la fiabilit des composants la couverture du diagnostic la s curit des logiciels et les mesures contre les d faillances syst matiques ainsi que les d faillances de cause commune S y ajoutent des informations g n rales concernant l application des exigences dans la pratique de la technique des commandes De nombreux exemples de montages montrent en allant jusqu au niveau des composants comment appliquer techniquement le niveau de performance a e avec les cat gories B 4 dans les technolo gies respectives Ils donnent ainsi des indications concernant les principes de s curit utilis s et concernant les composants prouv en mati re de technique de s curit Un grand nombre de documents compl mentaires mentionn s permettent une meilleure compr hension des exemples donn s Ce rapport montre que les exigences de la norme DIN EN ISO 13849 peuvent tre techniquement mises en pratique et apporte ainsi une aide pour une application et une interpr tation coh rente de la
54. von zus tzlich notwendigen Komponenten bernommen werden Beides sind sicherheitsbezogene Teile von Steuerungen Auch wenn durchaus dieselbe Hardware an verschiedenen Sicherheits funktionen beteiligt sein kann kann die erforderliche Qualit t der Risikoreduzierung f r jede SF unterschiedlich sein In der Norm wird die Qualit t der Risikoreduzierung durch den Begriff Performance Level PL definiert Je nach Ergebnis der Risiko beurteilung wird f r die Sicherheitsfunktionen ein mehr oder weniger hoher Wert f r den PL gefordert Diese Vorgabe f r den Entwurf der Steuerung nennt man erforderlicher Performance Level PL der Index r steht f r required Wie kommt man nun zu diesem PL Das Risiko einer Gef hrdung an einer Maschine kann au er durch die Steuerung z B auch durch trennende Schutzeinrich tungen z B eine Schutzt r oder Pers nliche Schutzausr stung z B eine Schutzbrille verringert werden Hat man einmal fest gelegt was die Steuerung anteilig leisten muss dann hilft ein einfaches Diagramm der Risikograph bei der schnellen und direkten Bestimmung des geforderten Performance Levels PL Beispiele im Anhang A Ist die Verletzung irreversibel z B Tod Verlust von K rperteilen oder reversibel z B Quetschungen die verheilen k nnen H lt sich der Bediener h ufig und lange im Gefahrenbereich auf z B fter als einmal pro Stunde oder selten und kurz Hat er eine M glichkeit den Unfall noch z
55. 3 BL Hydraubkyentil 241 nme cepa gt BL Probe x PAA hoa mee Fressen und Schneiden Der von der Kategone geforderte DC Bereich wad nur unter Benicksichhigung des zul ssigen Toleranz aufgrund der angenommenen Grenzwertungenaumgkeit von 5 Prozent eneicht Hinzuf gen F gt dem ausgew hlten Grundelement ein neues untergeordnetes Grundelement hinzu E E L schen Entfernt das ausgew hlte Grundelernentaus der Liste 2 Aus Bibliothek laden L dt ein Grundelement aus der Bibliothek Das geladene Grundelement wird als ein Unterelement des aktuell ausgew hlten eingef gt Fe In die Bibliothek kopieren F gt eine Kopie des ausgew hlten Grundelements in die Bibliothek ein Ausschneiden Entfernt das ausgew hlte Grundelement aus der Liste und f gt es In die Windows Zwischenablage ein e Kopieren Kopiert das ausgew hlte Grundelement in die Windows Zwischenablage ist Einfiigen F gt ein Grundelement aus der Windows Zwischenablage ein Das Grundelement wird als Unterelement des aktuell ausgew hlten eingef gt Eins nach oben Bewegt das ausgew hlte Grundelement in der Liste nach oben Eins nach unten Bewegt das ausgew hlte Grundelement in der Liste nach unten Die Aktionen ta Hinzuf gen La Loschen J Aus Bibliothek laden fe In die Bibliothek kopieren sind au erdem ber sj Ha 73 Fehlervermeidende Ma nahmen bei der ASIC Entwicklung
56. 49 1 sie vorschl gt Beim Parts Count Verfahren wird mit einem konser vativen Ansatz pauschal davon ausgegangen dass sich unge f hrliche und gefahrbringende Anteile die Waage halten Daher wird die MTTF hier immer als doppelt so gro angenommen wie die MTTF sofern keine genaueren Informationen vorliegen Grundlage ist wieder das Prinzip des statistischen Mittels d h eine zu g nstige Bewertung eines Bauelements wird durch eine zu pessimistische eines anderen Bauelements wettgemacht Es ist durchaus m glich das Parts Count Verfahren und eine FMEA zu kombinieren Dort wo die Werte allein durch Parts Count zu einer ausreichend kleinen PFH f hren muss keine FMEA vorge nommen werden Gelingt es jedoch nicht dann ist insbesondere an den Bauteilen die schlechtere MTTF Werte aufweisen eine Untersuchung der Ausfallrichtungen hilfreich z B durch eine partielle FMEA Weitere Erl uterungen zu diesem Thema finden sich in Anhang B So wie bei anderen Methoden der Quantifizierung wird bei der Bewertung nach DIN EN ISO 13849 1 allen MTTF Werten eine konstante Ausfallrate w hrend der Einsatzdauer des Bauteils unterstellt Selbst wenn dies z B bei stark verschlei behafteten Bauteilen nicht direkt dem Ausfallverhalten entspricht so wird dennoch durch eine Absch tzung zur sicheren Seite eine solche MTTF als N herungswert bestimmt die w hrend der Gebrauchs dauer des Bauteils G ltigkeit hat blicherweise werden Fr
57. A 1 Die technischen Unterlagen umfassen a eine technische Dokumentation mit folgenden Angaben bzw Unterlagen eine allgemeine Beschreibung der Maschine eine Ubersichtszeichnung der Maschine und die Schaltpl ne der Steuerkreise sowie Beschreibungen und Erl uterungen die zum Verstandnis der Funktionsweise der Maschine erforderlich sind vollstandige Detailzeichnungen eventuell mit Berechnungen Versuchsergebnissen Bescheinigungen usw die f r die berpr fung der Ubereinstimmung der Maschine mit den grundlegenden Sicherheits und Gesundheitsschutzanforderungen erforderlich sind die Unterlagen ber die Risikobeurteilung aus denen hervorgeht welches Verfahren angewandt wurde dies schlie t ein i eine Liste der grundlegenden Sicherheits und Gesundheitsschutzanforderungen die f r die Maschine gelten ii eine Beschreibung der zur Abwendung ermittelter Gef hrdungen oder zur Risikominderung ergriffenen Schutzma nahmen und gegebenenfalls eine Angabe der von der Maschine ausgehenden Restrisiken die angewandten Normen und sonstige technische Spezifikationen unter Angabe der von diesen Normen erfassten grundlegenden Sicherheits und Gesundheitsschutzanforderungen alle technischen Berichte mit den Ergebnissen der Pr fungen die vom Hersteller selbst oder von einer Stelle nach Wahl des Herstellers oder seines Bevollm chtigten durchgef hrt wurden ein Exemplar der Betriebsanleitung der Maschine gegebenenfalls die Einbauerkl rung f r unvollst
58. Anwendung ist einer der Hauptaspekte dieses Reports In Bezug auf DIN EN 62061 legt die Tabelle nahe dass auch komplexe z B programmierbare Elektronik in den Anwendungsbereich der Norm f llt Dies ist zwar korrekt jedoch muss die Entwicklung von sogenannten SRECS siehe Abbil dung 3 1 dieser Technologie gem den Anforderungen der Norm nach DIN EN 61508 erfolgen Abbildung 3 3 zeigt eine angepasste Empfehlung die sich an den aktuellen St nden der Norm und deren Anwendungsbereichen orientiert Auch wenn von vielen Experten die ann hernde Gleichwertigkeit der Ergebnisse bei Anwendung der einen oder anderen Norm diskutiert wird sind die Anforderungen im Detail durchaus unterschiedlich so beschreibt DIN EN 62061 als Sektornorm der DIN EN 61508 nat rlich den Aspekt des Managements der funk tionalen Sicherheit sehr explizit Entwicklung und Verifikation von Embedded Software nach DIN EN ISO 13849 1 basieren auf heute g ngigen und auch in DIN EN 61508 beschriebenen wesentlichen Anforderungen f r sicherheitsrelevante Software Die Darstellung orientiert sich wohl bewusst mit Verzicht auf Komplexit t am Normalfall Weitgehende Einigkeit besteht aber darin dass keine Mischung der Anforderungen aus beiden Normen vorgenommen werden soll DIN EN ISO 13849 1 Nichtelektrik z B Hydraulik enthalten Elektromechanik z B Relais und oder einfache Elektronik alle Architekturen und bis zu PL e komplexe Elektroni
59. Aspekte z B zweimal Kategorie 1 parallel ergibt noch keine Kategorie 3 da die Fehler erkennung fehlt noch hinsichtlich der qualitativen Aspekte z B systematische Ausf lle Software Ausfall infolge gemeinsamer Ursache einfache und allgemein g ltige Regeln aufstellen Daher bleibt nur eine Neubewertung des Gesamtsystems wobei unter Umst nden auf einzelne Zwischenergebnisse z B MTTF oder DC von Bl cken zur ckgegriffen werden kann Abbildung 6 14 Gemischte Subsysteme lassen sich im sicherheitsbezogenen Blockschaltbild umsortieren hardwarenahe Darstellung drei SRP CS als Subsysteme vereinfachte logische Darstellung zwei SRP CS als Subsysteme Einen weiteren Spezialfall stellt die Integration von bereits mit einem PL oder SIL oder einer durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde versehenen Sub systemen als Block in einem SRP CS dar Hier kann als grobe Regel ohne Ansehen der inneren Struktur des Subsystems der Kehrwert der durchschnittlichen Wahrscheinlichkeit eines gef hr lichen Ausfalls je Stunde als Block MTTF angesetzt werden Da alle unter Umst nden intern realisierten Diagnosema nahmen des Subsystems bereits in der Ausfallwahrscheinlich keit ber cksichtigt sind k nnen f r die DC des Blocks nur zus tz liche von au en auf das Subsystem wirkende Diagnosema nahmen herangezogen werden Eine weitere Frage die sich in diesem Zusammenhang stellen k nnte betrifft d
60. B und die Verwen dung bew hrter Sicher heitsprinzipien m ssen erf llt sein Sicher heitsbezogene Teile m ssen so gestaltet werden dass ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion f hrt und wenn immer in angemessener Weise durchf hrbar der einzelne Fehler erkannt wird Die Anforderung von B und die Verwendung bew hrter Sicherheits prinzipien m ssen erf llt sein Sicherheitsbezogene Teile m ssen so gestaltet werden dass ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion f hrt und der einzelne Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt wird Wenn diese Erkennung nicht m glich ist darf eine Anh ufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion f hren Systemverhalten Das Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion zwischen den Tests f hren Der Verlust der Sicherheits funktion wird durch den Test erkannt Wenn ein einzelner Fehler auftritt bleibt die Sicherheits funktion immer erhalten Einige aber nicht alle Fehler werden erkannt Eine Anh ufung von unerkannten Fehlern kann zum Verlust der Sicherheits funktion f hren Wenn ein einzel ner Fehler auf tritt bleibt die Sicherheits funktion immer erhalten Die Erkennung von Fehleranh ufun gen reduziert die Wahrscheinlich keit des Verlustes der
61. BGIA Report 2 2008 Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 Autoren Redaktion Herausgeber Satz und Layout Druck ISBN ISSN Michael Hauke Michael Schaefer Ralf Apfeld Thomas Bomer Michael Huelke Torsten Borowski Karl Heinz Bullesbach Michael Dorra Hans Georg Foermer Schaefer Wolfgang Grigulewitsch Klaus Dieter Heimann Burkhard Kohler Michael Krau Werner K hlem Oliver Lohmaier Karlheinz Meffert Jan Pilger G nter Reu Udo Schuster Helmut Zilligen Fachbereich 5 Unfallverh tung Produktsicherheit BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Zentralbereich des BGIA Referat Informationsmanagement Deutsche Gesetzliche Unfallversicherung DGUV Alte Heerstra e 111 D 53757 Sankt Augustin Telefon 0 22 41 2 31 01 Telefax 0 22 41 2 31 13 33 Internet www dguv de Februar 2008 Deutsche Gesetzliche Unfallversicherung DGUV Druckerei Plump OHG Rheinbreitbach 978 3 88383 730 X 0173 0387 Kurzfassung Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 Die Norm DIN EN ISO 13849 Sicherheit von Maschinen Sicher heitsbezogene Teile von Steuerungen macht Vorgaben f r die Gestaltung von sicherheitsbezogenen Teilen von Steuerungen Dieser Report stellt die wesentlichen Inhalte der Norm in ihrer stark berarbeiteten Fassung von 2007 vor und erl uter
62. Bestimmung mathematisch und sicher heitstechnisch kaum relevant Bei komplexeren Sicherheitsfunktionen kann es vorkommen dass sich die gesamte Sicherheitskette nicht mehr auf eine der f nf Grundtypen alleine abbilden l sst Dann hilft meist eine Zerlegung der Sicherheitskette in mehrere Abschnitte von denen sich jeder einzeln auf eine vorgesehene Architektur abbilden l sst Wie diese Abschnitte wieder zusammengesetzt und aus den einzelnen Performance Level wieder ein Gesamtwert ermittelt werden kann wird in Abschnitt 6 4 n her erl utert Die fol genden Ausf hrungen beziehen sich auf Steuerungen SRP CS die ohne Zerlegung in Subsysteme einer Kategorie zugeordnet werden k nnen 45 6 2 2 und Kategorien Die Kategorien klassifizieren sicherheitsbezogene Teile einer Steuerung SRP CS in Bezug auf ihre Widerstandsf higkeit gegen Fehler und thr Verhalten im Fehlerfall basierend auf der Zuverlassigkeit und oder der strukturellen Anordnung der Teile siehe Tabelle 6 2 Eine hohere Widerstandsf higkeit gegen ber Fehlern bedeutet eine hohere mogliche Risikoreduzierung Fur die Bestimmung der Ausfallwahrscheinlichkeit und des PL bilden die Kategorien deshalb das R ckgrat das durch die Bauteil zuverl ssigkeit MTTF die Tests DC ve und die Widerstands fahigkeit gegen ber Ausf llen infolge gemeinsamer Ursache CCF komplettiert wird Kategorie B ist die Basiskategorie deren Anforderungen auch in den ubrigen Kategorien
63. DIN EN 954 1 1997 11 an Nach erstmaligem Erscheinen im Februar 2007 ist nun eine leicht korrigierte DIN Fassung vom Juli 2007 g ltig Erstmals gibt es beim DIN eine dreij hrige Ubergangsfrist bis zum November 2009 in der die DIN EN 954 1 1997 parallel g ltig bleibt der Anwender kann bis zu deren Ruckzugsdatum also beide Normen alternativ anwenden Um den Ubergang von den altbekannten geforderten Kategorien hin zum erforderlichen Performance Level PL nach der neuen Norm zu erleichtern wird in Kapitel 5 dieses Reports eine m gliche Vorgehensweise beschrieben Der vorliegende BGIA Report hat zum Ziel die Anwendung der DIN EN ISO 13849 zu erl utern und insbesondere anhand zahlreicher L sungen die praktische Realisierung beispielhaft aufzuzeigen Weder die Erl uterungen noch die Beispiele sind als offizieller nationaler oder europ ischer Kommentar zu DIN EN ISO 13849 1 aufzufassen Vielmehr sind in diesem Report die Erfahrungen des BGIA Institut f r Arbeitsschutz der Deut schen Gesetzlichen Unfallversicherung aus fast drei igj hriger Praxis bei der Beurteilung von Schutz und Steuereinrichtungen der unterschiedlichen Technologien und aus der langj hrigen Mitwirkung in einschl gigen nationalen und internationalen Normungsgremien zusammengetragen 14 Kapitel 3 befasst sich mit den Basisnormen zur funktionalen Sicherheit an Maschinen und Maschinenanlagen Kapitel 4 enth lt eine bersicht zur Gliederung dieses Reports bez gl
64. F2 H ufig bis dauernd und oder lange Dauer M glichkeit zur Vermeidung der Gef hrdung IF 35 6 Gestaltung sicherer Steuerungen 6 1 Einleitung Wenn die genaue Sicherheitsfunktion und ihre geforderte Risikominderung in Form des PL feststehen schlie t sich der konkrete Entwurf der sicherheitsbezogenen Teile der Steuerung SRP CS die die Sicherheitsfunktion en ausf hren sollen an Den entsprechenden Ausschnitt aus dem iterativen Gestaltungs prozess der DIN EN ISO 13849 1 zeigt Abbildung 6 1 Die sicherheitstechnische Qualit t der SRP CS wird als einer von f nf Performance Level PL angegeben Jedem dieser PL ist ein Bereich der Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde zugeordnet Tabelle 6 1 Neben der durchschnitt lichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde die auch als PFH Probability of a Dangerous Failure per Hour bezeichnet wird sind weitere Ma nahmen z B zur Ert chtigung von Software oder gegen systematische Ausf lle notwendig um den entsprechenden PL zu erreichen Tabelle 6 1 Zuordnung der Ausfallwahrscheinlichkeit zu den Performance Level Performance Level Durchschnittliche PL Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde PFH in ht CE IET A IMEI ee BEL von PL Bestimmung Abb 5 5 rs Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DC CCF Software und systematische Fehler
65. Folgende mechanische Gef hrdungen sind f r eine Planschneide maschine signifikant G1 Quetschen durch den Pressbalken G2 Schneiden durch das Schneidmesser w hrend des Schnittvorgangs G3 Schneiden durch das Schneidmesser im Ruhezustand Risikoeinsch tzung Die dynamische Presskraft des Pressbalkens Gef hrdung G1 ist so gro dass es nicht nur zu reversiblen Quetschungen son dern auch zu Knochenbr chen kommen kann F r Gef hrdung G2 muss von abgetrennten Gliedma en ausgegangen werden Gef hrdung G3 kann z B w hrend der manuellen Positionierung der Papierstapel zu Verletzungen der H nde oder Unterarme am stillstehenden Schneidmesser f hren die in der Regel jedoch reversibel sind Die Gef hrdungsexposition der bedienenden Personen ist sehr hoch da sie betriebsm ig regelm ig zyklisch manuell in den Gefahrenbereich eingreifen Die Absenkgeschwindigkeit von Pressbalken und Messer Gef hr dungen G1 und G2 ist sehr hoch sodass f r den Bediener praktisch keine M glichkeit besteht die Gefahr abzuwenden Bei stillstehendem Messer Gef hrdung G3 hat der Bediener die M glichkeit den Schaden zu vermeiden oder zu begrenzen Die Eintrittswahrscheinlichkeit eines Schadens als Funktion des Eintritts eines Gef hrdungsereignisses wird an dieser Stelle nicht bewertet da hierf r im Folgenden der Worst case angenommen wird Risikobewertung Unter Ber cksichtigung aller Betriebsbedingungen und aller Eingri
66. Jahre 232Jahre 232 Jahre 150 Jahre 150 Jahre 71 Die im grauen Kasten auf Seite 70 oben genannten Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF sind weit gehend selbsterkl rend dennoch wird die Validierung in Kapi tel 7 n her erl utert Zus tzlich wirkt im elektrischen Subsystem die Ma nahme Diversit t und im hydraulischen Subsystem die Ma nahme Verwendung bew hrter Bauteile siehe Anhang F Mit der Erf llung der Anforderungen an CCF DC hoch und MTTF hoch werden auch die quantitativen Anforderungen f r Kategorie 4 erf llt 6 5 6 Mehrere Wege zur quantitativen PL Bestimmung Bis zur PL Bestimmung auf der Grundlage quantifizierbarer Aspekte ist es nun nicht mehr weit Mit den Ergebnissen f r Kategorie DC und MTTF lasst sich grafisch durch das Saulendiagramm bestatigen dass PL e erreicht wird siehe Abbildung 6 17 Die tabellarischen Werte in Anhang K der Norm oder die darauf basierende PLC Drehscheibe des BGIA 16 liefern folgendes Ergebnis durchschnittliche Wahrscheinlichkeit eines gefahrlichen Ausfalls je Stunde 9 54 10 8 Stunde PL e rundet 30 Jahre Abbildung 6 17 PL Bestimmung mithilfe des S ulendiagramms 72 Sehr viel mehr Komfort bei der Verwaltung Dokumentation und Berechnung aller Zwischenergebnisse bietet die vom BGIA kostenlos zur Verf gung gestellte Software SISTEMA siehe Anhang H Alle bisher dargestellten quantitativen Anforderungen zur
67. Pfeil dargestellt Verifikation Bezeichnet die qualit tssichernde Aktivit t mit der gepr ft wird ob das Ergebnis einer Phase den Vorgaben der Vorg ngerphase entspricht Beispielsweise wird w hrend oder zum Abschluss der Codierungsphase verifiziert ob der Code tats chlich die vor gegebene Modulgestaltung realisiert und dabei die Program mierrichtlinien eingehalten wurden Validierung Die Softwarevalidierung ist hier eine abschlie ende spezielle Form der Verifikation der gesamten Software Es wird gepr ft ob die Anforderungen der Softwarespezifikation zur Funktionalit t der Software umgesetzt wurden Im Folgenden werden einige Phasen des vereinfachten V Modells und damit gleichzeitig der Fahrplan f r die Softwareentwick lung beschrieben Der abw rtsgerichtete Teil des V beschreibt die konstruktiven und der aufw rtsgerichtete die berpr fenden Aktivit ten der Entwicklung Validierung Validierung Integrations tests berpr fende Aktivit ten Validierte Software Abbildung 6 11 Vereinfachtes V Modell f r die Entwicklung sicherheitsbezogener Software 6 3 2 Schnittstelle zur Gesamtsicherheit Softwarespezifikation Ausgehend von der bergeordneten Spezifikation der Sicher heitsfunktionen der SRP CS wird hier in einem Dokument beschrieben welche Teilfunktionen davon die Software reali sieren muss Weiterhin werden O Funktionen die Hardwarefehler aufdecken und beherrschen Leistu
68. Pi M glich unter bestimmten Bedingungen X P2 Kaum m glich Abbildung 5 12 Dokumentation und Risikograph f r SF7 Dokumentation Plr PL Subsysteme Name der Sicheshessfunktion SF7 Abdeckung des Messers durch den Pressbalken Typ der Sicherheitsfunktion Abdeckung Auslsendes Ereignis Eneichen des Ruhezustands Reaktion Fressbalken vor das Messer posiborseren Sicherer Zustand Fe steht vor dem Messer Dokumentation PLi PL Subsysteme f Plrwert aus Risikograph emitteln Schwere der Verletzung 5 Verletzung Verletzung einschlie lich Tod Exposition des Exposition a PT M glich unter bestimmten Bedingungen P2 Kaum DAaDo0ouOowM 5 7 5 Erg nzende Schutzma nahmen Folgende Ma nahmen sind erforderlich 1 Stillsetzen im Notfall In der Maschinensteuerung stehen bereits geeignete Sicher heitsfunktionen mit PL e zur Verf gung die f r den Not Halt verwendet werden Bei zweikanaliger Verdrahtung des Not Halt Befehlsger tes entspricht dann auch das Stillsetzen im Notfall einem PL e 2 Die Befreiung einer eingeklemmten Person erfordert eine rucklaufige Bewegung von Messer und Pressbalken die durch Federkraft ausgef hrt wird af 31 Leichte blicherweise reversible 52 Schwere blichenwesse reversible H ufigkeit und oder Dauer der Gef hrdungsexposilion F Fi Sekten bis ofter und oder kurze Dauer der
69. TTF denn sehr zuverl ssige Teile hohe MTTF sind weniger auf wirksame Tests angewiesen als unzuverl ssigere Teile die Summen in Z hler und Nenner werden ber N Bl cke des gesamten Systems gebildet DC DC DC MTTF MTTF MTTF DC 4 s 1 1 1 MTTF MTIF MTTF Mit dem DC Wert steht schlie lich ein Kennwert bereit der im Mittel ber die gesamten SRP CS das Qualit tsniveau der Test und berwachungsma nahmen beschreibt Bevor dieser Wert neben der Kategorie f nf Klassen und der MTTF jedes Kanals drei Klassen in die vereinfachte Quantifizierung des PL eingeht erfolgt eine Einordnung in eine der vier Klassen in Tabelle 6 4 Tabelle 6 4 Die vier Klassen des Diagnosedeckungsgrades im vereinfachten Ansatz der DIN EN ISO 13849 1 DC Diagnosedeckungsgrad Bezeichnung Bereich Bei der anschlie enden Weiterverwendung des DC in der vereinfachten Quantifizierung durch das S ulendiagramm siehe Abschnitt 6 2 16 wird nur der jeweils untere Eckwert einer DC vg Klasse 0 60 90 oder 99 verwendet Hier greift also eine weitere Vereinfachung die auf einer Absch tzung zur sicheren Seite beruht Im Einzelfall kann es durch dieses grobe vereinfachte Raster allerdings zu Artefakten kommen wenn z B eine unzuverl ssige Komponente mit f r die SRP CS berdurchschnittlichem DC durch eine zuverl ssigere Komponente ersetzt wird n here Erl ute rungen dazu am Ende von A
70. Teil vermeidbar bzw auch beherrschbar werden Anschaulich l sst sich diese Anforderung am Beispiel der Erstellung von Anwendungssoftware darstellen Die weitest gehende Art der Trennung von Standard Anwendungssoftware und sicherheitsrelevanter Anwendungssoftware SRASW siehe Abschnitt 6 3 ist nat rlich diese mit getrennten Programmier systemen sogenannte Engineering Suiten zu erstellen und auf verschiedenen SPS Speicherprogrammierbaren Steuerungen ablaufen zu lassen Insbesondere aus wirtschaftlichen Gr nden wird man jedoch versuchen die gesamte Anwendungssoftware mit nur einem Programmiersystem und ggf in einem gemein samen Engineering Ablauf zu erstellen Dabei sind allerdings eine Vielzahl von Aspekten zu ber cksichtigen z B die Anfor derung dass sicherheitsrelevante Variablen Ergebnisse oder Ausg nge nicht von nicht sicherheitsrelevanten Softwareteilen Programm Funktionsbaustein Funktion Anweisung u berschrieben werden d rfen Verkn pfungen beider Welten sind zwar zul ssig jedoch nur unter Einhaltung festgelegter Konventionen Dabei m ssen sicherheitsrelevante Signale und Funktionen immer die Priorit t behalten So ist eine ODER Verkn pfung beispielsweise keinesfalls erlaubt Inzwischen unterst tzen Softwareentwicklungswerkzeuge solche Ans tze und haben vorgegebene Funktionen und automatisch kontrol lierende Regeln implementiert in den Editoren und Compilern Verkn pfungsfehler die sich eventue
71. abei darum gefahrliche Ausf lle in Test und Funk tionskanal durch gemeinsame Ursachen die ein unerkanntes Auftreten eines gef hrlichen Fehlers bewirken k nnen zu ver meiden Bei der Erstellung des S ulendiagramms zur vereinfach ten Quantifizierung wurden die 65 Punkte mit einem Beta Faktor von 2 gleichgesetzt Hier wurde die Vergr berung gegen ber den f nf Kategorien und drei bzw vier MTTF und DC Klassen noch weiter forciert und auf eine simple Ja Nein Entscheidung reduziert W hrend die Vorteile einer redundanten Struktur schon bei einem Beta Faktor von 10 fast vollst ndig zunichte gemacht werden minimiert ein Beta Faktor von h chstens 2 die Relevanz von Ausf llen infolge gemeinsamer Ursache auf ein vertretbares Ma 6 2 16 Vereinfachte PL Bestimmung durch das S ulendiagramm Nachdem die vier wesentlichen quantitativen Parameter zur Ermittlung der Ausfallwahrscheinlichkeit bestimmt wurden ist es trotzdem keine einfache Aufgabe hieraus den f r die SRP CS erreichten PL zu ermitteln Obwohl grunds tzlich alle geeigneten Methoden erlaubt sind schl gt DIN EN ISO 13849 1 ein einfaches grafisches Verfahren vor das auf komplexeren Berechnungen und Absch tzungen zur sicheren Seite beruht das sogenannte S ulendiagramm siehe Abbildung 6 10 Kat 3 DC avg mittel durchschnittliche Wahrscheinlichkeit eines gefahrlichen Ausfalls je Stunde niedrig mittel hoch Dieses Diagramm wurde auf der Grun
72. aber mit definiertem Gesamt PL kombinieren zu k nnen In der Praxis k nnen verschiedene Konstellationen auftreten deren Behand lung im Folgenden n her erl utert wird Fluidischer Aktuator Elektronische Steuerungs logik 3 Fluidische Steuerung Kategorie 3 Kategorie 1 Gesamte Steuerung in einer Kategorie keine Subsysteme Fur diesen Fall gelten die oben angef hrten Erlauterungen z B hinsichtlich der vorgesehenen Architekturen Teilsteuerung Subsystem in einer Kategorie F r diesen Fall gelten ebenfalls die oben angefuhrten Erlauterungen z B hinsichtlich der vorgesehenen Architekturen allerdings ist die genaue Definition des Anteils an der Sicherheitsfunktion und der Schnittstellen notwendig an die weitere Subsysteme angeschlossen werden k nnen um die Sicherheitsfunktion zu komplettieren siehe unten Reihenschaltung von Subsystemen z B unterschiedlicher Kategorie Hier wird im Folgenden ein Verfahren vorgestellt um aus den Kenndaten der Subsysteme PL durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde den PL des Gesamtsystems zu ermitteln Dabei ist ebenfalls die genaue Definition des Anteils an der Sicherheitsfunktion und der Schnittstellen zu beachten O Behandlung von Spezialfallen z B Parallelschaltung von Subsystemen oder Verwendung von Subsystemen nur in einem Kanal einer Gesamtsteuerung Die Reihenschaltung mehrerer Subsysteme auch unterschied licher Technolo
73. ahrbringender Ausf lle f r den Block K1 Spalte 6 zeigt die zugeh rigen MTTF Werte in Jahren die sich als Kehrwerte der gefahrbringenden Ausfallraten aus Spalte 5 nach Umrechnung von Stunden in Jahre ergeben F r den Block K1 betr gt dieser Wert gerundet 806 Jahre Da die verwendete Datenbank f r den Mikrocontroller und den ASIC gleiche Ausfallraten nennt und die Beschaltung hnlich ist gilt f r den Block K2 der gleiche MTTF Wert von 806 Jahren F r die Bl cke 1 S2 und K3 bis K6 werden Herstellerdaten K rzel H verwendet Da Zuverl ssigkeitsdaten nur f r S1 S2 insgesamt Bet tigungsmechanik plus ffner und Schlie erkontakt verf gbar sind k nnen diese Werte als Absch tzung zur sicheren Seite f r jeden der Kan le verwendet werden obwohl in jeden Kanal neben der Bet tigungsmechanik nur die Schlie erkontakte z B S1 13 14 oder die ffnerkontakte z B S2 21 22 eingehen Die angenommenen B Werte werden mit den aus Anhang D bekannten Formeln 10d in MTTF Werte umgerechnet Pee OT s 240 Tage Jahr 8 h Tag S Zyklen n 3600 ____ _ 3600 86 400 6 op ae h 80 s Zyklus h Jahr 10d 2 000 000 Zyklen MTIF 231 5 Jahre 7 Die Betriebszeit elektromechanischer Komponenten wird auf den sogenannten T a Wert Zeit nach der bis zu 10 der betrachteten Bauteile gef hrlich ausgefallen sind begrenzt Da dieser T Wert hier allerdings gr er ist als die angen
74. allgemeines Beispiel eines sicherheitsbezoge nen Blockdiagramms ist in Abbildung 6 9 gezeigt Gem dieser Definition lassen sich folgende Regeln f r die Darstellung einer Sicherheitssteuerung als sicherheitsbezogenes Blockdiagramm aufstellen Die Serienschaltung von Bl cken als sogenannter Kanal z B I Lund 0 bringt zum Ausdruck dass der Ausfall eines Blocks zu einem Ausfall der gesamten Kette f hren kann F llt z B eine Hardwareeinheit in einem Kanal gef hrlich aus kann der gesamte Kanal die Sicherheitsfunktion nicht weiter ausf hren Die Parallelschaltung von Bl cken bzw Kan len symbolisiert die mehrfach redundante Ausf hrung der Sicherheitsfunktion oder entsprechender Teile davon Zum Beispiel wird eine durch mehrere Kan le ausgef hrte Sicherheitsfunktion auf rechterhalten solange mindestens ein Kanal keinen Ausfall hat Nur f r Testzwecke verwendete Bl cke die bei ihrem Ausfall die Ausf hrung der Sicherheitsfunktion in den verschiedenen Kan len nicht beeintr chtigen k nnen als separater Test kanal dargestellt werden Zwar wird durch den Ausfall von Testma nahmen die Zuverl ssigkeit des Systems insgesamt herabgesetzt dies hat aber nur einen geringen Einfluss so lange die Abarbeitung der reinen Sicherheitsfunktion in den einzelnen Kan len weiter gew hrleistet bleibt Die Definition der Bl cke und Kan le geht einher mit der Bestim mung der Kategorie und ist der erste Schritt bei der q
75. ammenhang eine eigene feststehende Bedeutung Es handelt sich hier um Funktions bl cke nur in dem Sinne dass die Sicherheitsfunktion in kleine ren seriell und parallel angeordneten Einheiten ausgef hrt wird F r die Abbildung der Hardwarestruktur auf ein sicher heitsbezogenes Blockdiagramm k nnen folgende Regeln gelten 50 Abbildung 6 8 Vorgesehene Architektur f r Kategorie 4 01 Ausgang Ausgang 12 Eingang gt 4 gt _ berwachung t Kreuzvergleich Die Bl cke sollen in abstrakter Form alle Steuerungselemente abbilden die sich auf die Ausf hrung der Sicherheitsfunktion beziehen Verbindung Wird die Sicherheitsfunktion in mehreren redundanten Kan len ausgef hrt sollen diese in separaten Bl cken dargestellt werden Dies spiegelt die Tatsache wider dass bei Ausfall eines Blocks die Ausf hrung der Sicherheitsfunktion durch die Bl cke des anderen Kanals nicht beeintr chtigt wird Die Aufteilung der Bl cke innerhalb eines Kanals ist eher willk rlich zwar schl gt DIN EN ISO 13849 1 pro Kanal drei Bl cke vor Eingangsebene Logikebene L und Ausgangs ebene 0 dies ist aber mehr als Verst ndnishilfe gedacht Weder die genaue Grenze zwischen I L und O noch die Anzahl der Bl cke in einem Kanal haben signifikante Aus wirkungen auf die in Form des PL berechnete Ausfallwahr scheinlichkeit Fur jede sicherheitsrelevante Hardwareeinheit soll die Block zugeh rigkeit eindeuti
76. aph f r SF1 Dokumentation PLr PL Subsysteme F r die Gefahrdung G3 Schneiden durch das Schneidmesser im Ruhezustand ist die Sicherheitsfunktion SF7 vorgesehen Folgende Risikoparameter werden hierfur festgesetzt S1 leichte ublicherweise reversible Verletzung F2 Zeit der Gefahrdungsexposition ist lang P1 Vermeidung einer Gefahrdungssituation m glich unter bestimmten Bedingungen Entsprechend dem Risikographen in Abbildung 5 9 ergibt sich aus dieser Bewertung ein erforderlicher Performance Level PL b Abbildung 5 12 zeigt hierzu Dokumentation und Risiko graph in der Software SISTEMA f r die Sicherheitsfunktion SF7 Name der Sicherheitsfunktion Typ der Sicherheitsfunktion Auslosendes Ereignis Reaktion Sicherer Zustand Sg er og eee ee ee EP EEE SEE SEE ESTEE PLr Wert direkt angeben Dokumentation Am Antriebsmotor kann kein Drehmoment erzeugt werden ISF1 STO Safe Torque Off Sicher abgeschaltetes Moment Eingriff in das Lichtgitter Dokument 34 Schwere der Verletzung 5 H ufigkeit und oder Dauer der Gef hrdungsexposition F M glichkeit zur Vermeidung der Gef hrdung P 51 Leichte blicherweise reversible Verletzung wv 52 Schwere blicherweise irreversible Verletzung einschlie lich Tod Fi Selten bis fter und oder kurze Dauer der Exposition wf F2 H ufig bis dauemd und oder lange Dauer der Exposition
77. bbildung 6 11 gefordert Diese wird f r die Bedingungen der sicherheitsbezogenen SRP CS im Maschinensektor und dort speziell f r die Entwicklung von SRASW als praxisgerecht und zielf hrend bewertet Das eigentliche Ziel dabei ist es lesbare verst ndliche testbare und wartbare Software zu erhalten Diese Anforderungen werden von einem Programmierer der blicher weise nicht sicherheitsrelevante Software erstellt als m hsam empfunden geben ihm aber andererseits die Best tigung die Software hinreichend gut entwickelt zu haben Neben den Phasen sind in Abbildung 6 11 wichtige Begriffe dar gestellt deren Bedeutung auf Software bezogen vorab definiert werden soll Entwicklungsmodell vereinfachtes V Modell Ziel lesbare verstandliche testbare und wartbare Software Spezifikation der Sicherheits funktionen Sicherheits bezogene Software spezifikation a gestaltung Konstruktive Aktivitaten Verifikation Kr Ergebnis Bezeichnet das was in einer Phase erstellt wurde z B die Spezifikation das Gestaltungsdokument den Code und als abschlie endes Ergebnis die getestete validierte Software Es kann aber z B auch ein Testplan sein als Ergebnis der Spezifi kationsphase der erst in einer viel sp teren Phase ben tigt wird um dann die Software systematisch validieren zu k nnen Das Ergebnis bzw die Ergebnisse der vorherigen Phasen dienen als Eingabe f r die n chsten Phasen Dies wird durch den
78. bereits oben beschriebene Softwarevalidierung F r die h heren PLd und e wird auch ein erweiterter Funktionstest notwendig Einzelne Softwarefunktionen die zertifiziert oder bereits quali tatsgesichert validiert wurden m ssen nicht nochmals verifiziert werden Sobald aber mehrere dieser Funktionen projektspezifisch zusammengeschaltet werden ist diese resultierende neuartige Teilsicherheitsfunktion zu validieren Auch bei zertifizierten Bau steinen kann es aufgrund falscher Parametrierung und Verkn p fung zu gef hrlichen systematischen Fehlern kommen 6 3 6 Struktur der normativen Anforderungen Nachdem der Entwicklungsprozess skizziert ist werden normative Anforderungen an die Software selbst an die benutzten Entwick lungswerkzeuge sowie an die Entwicklungsaktivit ten beschrie ben Diese Anforderungen tragen ebenfalls zur Fehlervermeidung bei Der dazu erforderliche Aufwand soll hnlich wie bei der Hardware der programmierbaren SRP CS der jeweils notwen digen Risikominderung entsprechend angemessen sein Daher werden die Anforderungen bzw deren Wirksamkeit mit zuneh mendem PL sinnvoll gesteigert DIN EN ISO 13849 1 nennt aber keine Maximalanforderungen die f r jede Software unabh n gig vom PL notwendig w ren Abbildung 6 12 zeigt dass es sowohl bei SRASW als auch bei SRESW f r alle PL zun chst ein geeignetes B ndel von Basis ma nahmen gibt Diese Basisma nahmen gen gen f r die Entwicklung von Software
79. bstt tiger Stopp aller Bewegungen nach jedem Einzelschnitt bzw nach Beendigung der automatischen Schnittfolge SF5 Reduzierung der dynamischen Presskraft f r den Pressbalken bei der Funktion Schnitt andeuten SF6 Selbstt tige R ckkehr von Pressbalken und Messer in ihre Ausgangslage bei Schnittunterbrechung SF7 Abdeckung des Messers durch den Pressbalken Eigenschaften der Sicherheitsfunktionen Bei Eingriff in das Lichtgitter ist der Schnitt sofort zu unterbre chen Die Sicherheitsfunktion SF3 hat daher Priorit t gegen ber SF2 F r SF5 ist die maximal zul ssige Kraft f r den Pressbalken bei Schnittlinie andeuten anzugeben siehe DIN EN 1010 3 33 5 7 4 Bestimmung des erforderlichen Performance Level PL Der PL ist f r jede Sicherheitsfunktion zu bestimmen Analysiert man die Situationen in denen die einzelnen Sicherheitsfunk tionen benutzt werden stellt man eine gleichartige Bewertung der Risikoparameter S F und P fur die Sicherheitsfunktionen SF1 bis SF6 fest S2 ernste Ublicherweise irreversible Verletzung F2 dauernder Aufenthalt im Gefahrenbereich P2 Vermeidung einer Gefahrdungssituation kaum moglich Entsprechend dem Risikographen in Abbildung 5 9 ergibt sich aus dieser Bewertung ein erforderlicher Performance Level PL e Abbildung 5 11 zeigt hierzu Dokumentation und Risiko graph in der Software SISTEMA f r die Sicherheitsfunktion SF1 Abbildung 5 11 Dokumentation und Risikogr
80. cher Ausf lle nach Abschnitt 6 1 2 dieses Reports und Anhang G der Norm beschrieben sind Dies dient der Beurteilung ob die Prinzipien und Ma nahmen im Entwicklungsprozess hinreichend ber cksichtigt werden Als Beispiel der Beherrschung systematischer Ausf lle enth lt die sicherheitsrelevante Software eine berwachung des Programmablaufs um eine fehlerhafte Abarbeitung des Pro gramms erkennen zu k nnen Die Wirksamkeit der Ablauf ber wachung wird durch eingebrachte Fehler berpr ft Um die Best ndigkeit der SRP CS gegen die festgelegten Um gebungsbedingungen zu zeigen finden Pr fungen unter allen erwarteten und vorhersehbar widrigen Bedingungen f r u a Temperatur Feuchte und elektromagnetische Beeinflussung statt Dies ist ein Beispiel f r eine Ma nahme zur Vermeidung syste matischer Ausf lle Validieren der Software Die Verifikation der Software wird ausf hrlich in Abschnitt 6 3 beschrieben An dieser Stelle wird erg nzend die Validierung der Software durchgef hrt d h die Pr fung der Funktion und auch der Reaktionszeiten der auf der Hardware integrierten Software Gepr ft wird mit funktionalen Tests und einem erweiterten Funk tionstest bei dem einerseits die sicherheitsrelevanten Eingangs signale korrekt zu sicherheitsrelevanten Ausgangssignalen ver arbeitet werden m ssen und andererseits Testf lle mit einge bauten Fehlern ausgef hrt werden um die spezifizierten Fehler reaktionen der Firmware
81. cherheitsfunktion korrekt umgesetzt wurde O Wurde die Sicherheitsfunktion korrekt und vollst ndig definiert Wurde die richtige Sicherheitsfunktion umgesetzt Passen die Festlegungen der Sicherheitsfunktion zur Konstruktion O Wurden alle erforderlichen Betriebsarten ber cksichtigt Wurden die Betriebseigenschaften der Maschine ber cksich tigt einschlie lich der vern nftigerweise vorhersehbaren Fehlanwendungen Wurden Handlungen bei Notf llen ber cksichtigt Werden alle sicherheitsbezogenen Eingangssignale korrekt und logisch richtig zu sicherheitsgerichteten Ausgangs signalen verarbeitet O Sind die Ergebnisse der Risikobeurteilung f r jede bestimmte Gef hrdung oder Gef hrdungssituation in die Definitionen der Sicherheitsfunktion eingeflossen Um eine Aussage dar ber treffen zu k nnen ob die funktionalen Anforderungen erf llt wurden sollten folgende typische Teil pr fungen durchgef hrt werden Funktionstest in redundanten Systemen f r jeden Kanal Test zum Verhalten der SRP CS bei un blichen nicht erwar teten oder au erhalb der Spezifikation liegenden Eingangs signalen Bedienungsabl ufen oder Eingaben mittels soge nanntem erweiterten Funktionstest Black Box Test O Leistungstests funktionale Aspekte 80 Im Fokus der in diesem Kapitel beschriebenen V amp V Aktivit ten stehen SRP CS die Sicherheitsfunktionen ausf hren Zur voll st ndigen Pr fung der Sicherheitsfu
82. chke erkontakt des Tasters 51 BL Olfnerkontakt des Tasters 52 BL Mikrocontroller K1 BL Hilissch tz K3 BL Hillssch tz KA BL Hydraubkwentil 144 EL Hydaukkventil 242 i ationsfenster Bl cke Das Navigationsfenster zeigt eine Baumansicht der geladenen Projekte bzw des ausgew hlten Grundelernenttyps in der Bibliothek an die die hierarchische 39 High 99 High 30 Medium 39 High 99 High 39 High 99 High 231 48 231 48 305 61 231 48 231 48 150 wiedergibt Ein Linksklick mit der Maus auf eines der angezeigten Grundelemente w hlt dieses f r die Anzeige Bearbeitung je nach aktiver Sicht aus See eh Ein Rechtsklick ffnet ein Kontextmenii mit dem folgenden Inhalt CH Kanal 2 E BL Schlie erkontakt des Tasters 52 EL 5213 14 BL Offnetkontakt des Tasters 51 EL 5121 22 BL ASICK2 EL ASIC EL Periphene BL Hilsschutz K5 EL Hilfeschutz K5 BL Hifsschutz K6 EL Hilissch tz K6 E BL Hydraulkventd 143 EL Hydraukikwentil 143 BL Hydraulikventl 241 EL Hydrauikventl 21 EA A H m o m 1 m PTE ly a La deb PLEPE E B 4 BL feat mes Ortsbindung der H nde des Bedieners FL Te PL je 9 7E 8 CE Pressen und Schneiden PFH MI TFd a BL Schbeferkontakt des Tasters 52 BL Olfmerkortakt des Tasters 51 BL ASIC K2 BL Hilfssch tz K5 BL Hillsschutz KE BL Hydraubkyentl 14
83. chnitt 6 1 2 sowie ergonomische Gestaltungsaspekte Abschnitt 6 1 3 In Abschnitt 6 2 werden die Kategorien und die darauf basierende vereinfachte Methode zur Bewertung der quantifizierbaren Aspekte beschrieben Abschnitt 6 3 stellt anschlie end Anforderungen an Software vor Abschlie end zeigt Abschnitt 6 4 welche quantifizierbaren Aspekte bei der Kombination von SRP CS beachtet werden m ssen Abbildung 6 2 erl utert die Notwendigkeit dieses zus tz lichen Abschnitts Die gesamte Maschinensteuerung CS Control System teilt sich in sicherheitsbezogene Teile SRP CS und die meistens deutlich umfangreicheren nicht sicherheitsbezogenen Teile auf die alleine den normalen Betriebsfunktionen dienen Die Kombination sicherheitsbezogener Teile einer Steuerung beginnt an dem Punkt an dem sicherheitsbezogene Signale erzeugt werden einschlie lich z B Bet tiger und Rolle eines Positionsschalters und endet an den Ausg ngen der Leistungs steuerungselemente einschlie lich z B Hauptkontakte eines Sch tzes Treten im energielosen Zustand keine Gef hrdungen auf Ruhestromprinzip so gelten Leistungselemente wie Motoren oder Zylinder nicht als SRP CS Wirken jedoch Fremd kr fte z B an Vertikalachsen so m ssen die Leistungselemente als SRP CS betrachtet werden Abschnitt 6 5 schlie lich beschreibt wie schon im Abschnitt 5 7 die konkrete Umsetzung am prak tischen Beispiel einer Planschneidemaschinensteuerung 6 1 1 Entwicklungsab
84. chnitt 6 2 12 und Anhang D genannten Datenquellen herangezogen werden 7 3 3 Validieren der DC Werte Der den Bl cken durch Testma nahmen zugewiesene Diagnose deckungsgrad DC muss nachvollziehbar begr ndet sein Gepr ft werden auch hier typischerweise die Angaben zur Herkunft der Werte d h dar ber ob die ermittelten Werte glaubw rdig oder eher zweifelhaft sind Wie bei den MTTF Werten ist stichproben artig oder f r die dominanten Bauteile das Nachvollziehen der Begr ndung sinnvoll In Anhang E sind Hinweise zur Absch t zung der DC Werte zu finden F r die realisierte Konstruktion gilt es zu pr fen ob die beschriebenen Diagnosema nahmen umgesetzt wurden Dazu ist es zumeist erforderlich in der Entwicklungsdokumentation die Diagnosefunktionen und module zu identifizieren und deren Wirksamkeit einzusch tzen Zus tzlich sollten Tests zum Verhalten der SRP CS im Fehlerfall Ausfalleffektpr fung bzw Test durch Fehlereinbau zeigen dass durch die Diagnosefunktionen eine korrekte Fehleraufdeckung gegeben ist 7 3 4 Validieren der Ma nahmen gegen CCF Zur Validierung der ausgew hlten Ma nahmen gegen Aus f lle infolge gemeinsamer Ursache CCF Common Cause Failure enth lt Anhang F ein m gliches Verfahren basierend auf einem Punkteschema Neben dem Erreichen der Gesamtpunktzahl wird untersucht ob die ausgew hlten Ma nahmen in den entspre chenden Dokumenten hinreichend beschrieben sind Durch Analyse bzw Pr fun
85. d Ausf hrung der Kan le ein auf einen einzigen Steuerungskanal bezogener MTTF Kennwert der ber die Steuerung gemittelt das Niveau der Bauteilzuverl ssigkeit angibt 53 6 2 14 Diagnosedeckungsgrad von Test und berwachungsma nahmen DC Eine weitere einflussreiche Gr e f r den PL sind die Selbst Test und berwachungsma nahmen in SRP CS Durch wirk same Tests l sst sich z B eine schlechte Zuverl ssigkeit der Komponenten teilweise kompensieren Die G te der Tests wird in DIN EN ISO 13849 1 mit dem sogenannten Diagnosedeckungs grad DC Diagnostic Coverage gemessen Der DC ist definiert als Anteil der erkannten gefahrbringenden Ausf lle an allen denkbaren gefahrbringenden Ausf llen wobei die Bezugs gr e eine Komponente ein Block oder das gesamte SRP CS sein kann Im letzteren Fall handelt es sich um den durchschnittlichen Diagnosedeckungsgrad DC ve average der bei der vereinfach ten Bestimmung des PL mit dem S ulendiagramm eine wichtige Rolle spielt Wie an vielen Stellen in der Norm gibt es wieder einen genaueren aber aufwendigeren und einen einfachen Weg zur Bestimmung des DC der von einer Reihe Absch tzun gen zur sicheren Seite lebt Der genaue aufwendige Weg f hrt ber eine Ausfalleffektanalyse FMEA und orientiert sich an der DC Definition Dabei werden f r jedes Bauteil die erkennbar gefahrbringenden dd dangerous detectable bzw unerkennbar gefahrbringenden du dangerous unde
86. d daher nur sinnvoll verwendet werden k nnen wenn die vorgenannten Datenquellen nicht verf gbar sind Neben MTTF Werten f r mechanische hydrau lische und elektronische Komponenten finden sich hier Bgg Werte f r pneumatische und elektromechanische Komponenten Einzelheiten dazu sind in Anhang D beschrieben 6 2 13 FMEA versus Parts Count Verfahren Sind die MTTF Werte aller sicherheitsrelevanten Bauteile zusammengetragen helfen einige simple Regeln daraus den MTTF Kennwert der Steuerung zu berechnen Dabei gibt es verschiedene Methoden aufwendig durch eine genaue Ausfalleffektanalyse FMEA Failure Modes and Effects Analysis oder schnell und einfach nach dem Parts Count Verfahren mit ein paar Absch tzungen zur sicheren Seite Dies beginnt schon bei dem kleinen Unterschied zwischen MTTF und MTTF Wie gro ist der gef hrliche Anteil der Ausf lle eines bestimmten Bauelements In einer aufwendigen FMEA k nnen alle denk baren Ausfallarten aufgelistet jeweils als ungef hrlich oder gefahrbringend bewertet und in der anteiligen H ufigkeit ihres Auftretens gesch tzt werden Da die Auswirkungen eines Bauteilausfalls auf den Block ber die sichere oder unsichere Ausfallrichtung entscheiden sind unter Umst nden detaillierte Analysen des von einem Ausfall hervorgerufenen Effekts n tig Daf r entpuppen sich vielleicht mehr Ausfallarten als sicher als bei einer vereinfachten Bewertung wie DIN EN ISO 138
87. d damit nachvollziehbar Im Folgenden wird dieses vereinfachte Verfahren ausf hrlich im Allgemeinen und anhand eines durchgerechneten praktischen Beispiels siehe Abschnitt 6 5 vorgestellt Weitere Details zu einzelnen Spezial themen k nnen in den Anh ngen nachgelesen werden 6 2 1 Vorgesehene Architekturen Die Struktur oder Architektur einer Sicherheitssteuerung bestimmt die Toleranz gegen ber Fehlern Fehlertoleranz und stellt das Ger st dar auf dem alle anderen quantifizierbaren Aspekte aufbauen um schlie lich den PL der sicherheitsbezo genen Teile von Steuerungen zu bilden Die Erfahrungen des BGIA mit der Industrie seit 1985 best tigen dass es nur wenige Grundtypen von Sicherheitssteuerungen im Maschinenbau gibt auf die sich der berwiegende Teil aller realisierten Steuerungen zur ckf hren l sst bzw auf Kombinationen dieser Grundtypen siehe weiter unten Dies sind das einkanalige ungetestete System mit unterschiedlich zuverl ssigen Bauteilen am einen Ende des Spektrums das im Mittelfeld durch Tests aufgewer tet werden kann und schlie lich das zweikanalige hochwertig getestete System am anderen Ende Systeme mit mehr als zwei Kan len oder andere exotische Strukturen sind im Maschinen bau extrem selten vertreten und k nnen mit dem vereinfachten Verfahren nur bedingt bewertet werden Meist reicht es aber selbst bei mehr als zwei Kan len aus die beiden zuverl ssigsten zu ber cksichtigen um den PL mit d
88. d die sich je nach angewendeter Technologie unterscheiden k nnen Zusammen gefasst sollten in ausreichendem Ma e folgende Inhalte ber ck sichtigt sein Spezifikation aller Anforderungen an die Sicherheitsfunk tionen sowie die Anforderungen an SRP CS die diese Sicherheitsfunktionen ausf hren sollen Leistungskriterien Auflistung aller realisierter Betriebsarten ausf hrliche Funk tionsbeschreibungen Ablaufbeschreibungen Betriebs und Umgebungsbedingungen mit Sch rfegraden Bemessungsdaten der anzuwendenden Normen die sich aus den angestrebten Anwendungen ergeben Konstruktionsbeschreibung der SRP CS mit Spezifika f r ein gesetzte mechanische elektrische elektronische hydraulische und pneumatische Komponenten Verdrahtungspl ne und Anschluss bzw Schnittstellenbeschreibungen Schaltpl ne Montagepl ne technische Daten bzw Bemessungsdaten f r Komponenten ggf Datenbl tter Analyse aller relevanten Fehler z B als Ausfalleffektanalyse FMEA unter Ber cksichtigung der angewandten Fehler listen Daten zur Ermittlung des PL Quantifizierungsdokumentation vollst ndige Softwaredokumentation siehe Abschnitt 6 3 O eingehaltene Qualit tssicherungsregeln f r den Entwurf und die Realisierung wie Designregeln f r Analog und Digital schaltungen Programmierrichtlinien Pr fnachweise zu bereits gepr ften Bauteilen Modulen oder SRP CS Die Dokumente m ssen vollst ndig die Inhalte wider
89. d systematischen Ausf llen Selbsttests Testschaltungen berwachungen Vergleiche Plausibilit tspr fungen Fehlererkennung durch den Prozess usw 5 9 Quantitative Aspekte 5 9 1 Zielwerte f r MTTF und DC 5 9 2 Schalthaufigkeit verschleiBbehafteter Bauteile 5 9 3 H ufigkeit von Ma nahmen zur Fehleraufdeckung 5 9 4 Gebrauchsdauer falls abweichend von der Berechnungsgrundlage der vorgesehenen Architekturen 20 Jahre 5 10 Betriebs und Grenzdaten Betriebs und Lagertemperaturbereich Feuchteklasse IP Schutzart Schock Vibrations EMV St rfestigkeitswerte Versorgungsdaten mit Toleranzen usw IP International Protection EMV elektromagnetische Vertr glichkeit 5 11 Anzuwendende Grundnormen f r die Konstruktion zur Ausr stung zum Schutz gegen elektrischen Schlag gef hrliche K rperstr me zur St rfestigkeit gegen Umgebungsbedingungen usw 5 12 Technische und organisatorische Ma nahmen f r einen gesicherten Zugriff auf sicherheitsrelevante Parameter bzw SRP CS Eigen schaften Manipulationsschutz Zugangssicherung Programm Datenschutz und zum Schutz gegen unbefugtes Bedienen Schl sselschalter Code usw z B bei Sonderbetriebsarten 5 13 Allgemeine technische Voraussetzungen und organisatorische Rahmenbedingungen f r die Inbetriebnahme Pr fung und Abnahme sowie Wartung und Instandhaltung 41 Kasten 6 2 Technische Unterlagen f r Maschinen Auszug aus zuk nftiger Maschinenrichtlinie 2006 42 EG Anhang VII
90. der Regel eine gro e Bandbreite einnehmen Entscheidend f r die Anforderung an die Steuerung ist jedoch nur die Unterscheidung zwischen O S1 leicht blicherweise reversible Verletzung O S2 ernst blicherweise irreversible Verletzung einschlie lich Tod Bei der Entscheidung ber S1 oder S2 sind die blichen Aus wirkungen von Unf llen und die normalerweise zu erwartenden Heilungsprozesse anzunehmen 1 Mit der Kennzeichnung durch den Index r required wird darauf hingewiesen dass es sich um den f r die Sicherheitsfunktion erforderlichen Performance Level Sollwert handelt In der sp teren Validierung wird berpr ft ob der von der tats chlichen Steuerung Istwert erreichte PL 2 PL ist gt bedeutet in diesem Zusammenhang PL e gt PL d gt PL c gt PL b gt PL a Die Wahrscheinlichkeit f r den Eintritt eines Gef hrdungsereignisses ist in der Praxis kaum zu bestimmen Zur Vereinfachung ist daher im Risikographen bereits der ung nstigste Fall eingearbeitet und eine weitere Bewertung nicht mehr erforderlich 30 H ufigkeit und oder Dauer der Gefahrdungsexposition F1 und F2 Haufigkeit und Dauer der Gefahrdungsexposition werden bewertet mit O F1 selten bis weniger h ufig und oder die Dauer der Gef hrdungsexposition ist kurz F2 h ufig bis dauernd und oder die Dauer der Gef hrdungsexposition ist lang Eine feste Grenze zur Auswahl zwischen F1 und F2 kann leider nicht angegeben werden Die Nor
91. deren Gr nden kann die tats chliche Gebrauchsdauer die angenommenen 20 Jahre unterschreiten Dann ist durch vorsorglichen Austausch der betroffenen Bauteile oder der betroffenen SRP CS die Anwendung des S ulendiagramms zu rechtfertigen Dem Anwender sind diese Informationen in geeigneter Form mit zuteilen zum Beispiel ber die Benutzerinformationen und durch Kennzeichnung auf den SRP CS Bei den S ulen f r Kategorie 2 wurde unterstellt dass die Testh ufigkeit mindestens 100 mal gr er ist als die mittlere H ufigkeit der Anforderung der Sicherheitsfunktion und dass au erdem die Testeinrichtung mindestens halb so zuverl ssig ist wie Logik siehe auch Anhang E Durch die Begrenzung der anrechenbaren MTTF jedes Kanals auf 100 Jahre kann ein hoher PL nur mit bestimmten Kategorien erreicht werden Obwohl dies mit dem vereinfachten Ansatz der vorgesehenen Architekturen und des S ulendiagramms zusam menh ngt gelten die damit verbundenen Einschr nkungen auch bei einer unabh ngigen Bestimmung der durchschnitt lichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde nach anderen Methoden Wie schon erw hnt gelten f r einige Kategorien folgende Einschr nkungen durch die Architektur die verhindern sollen dass die Bauteilzuverl ssigkeit gegen ber den anderen Einflussgr en berbewertet wird Mit Kategorie B kann maximal PL b erreicht werden O Mit Kategorie 1 kann maximal PL c erreicht werden O Mit Kategor
92. des weiteren Vorgehens ist es das Risiko auf ein akzep tables Ma zu reduzieren Abbildung 5 3 siehe Seite 26 zeigt hierzu die Anteile der Risikoreduzierung mit und ohne sicher heitsrelevante Teile einer Steuerung Weitere Informationen zum Thema Risiko enth lt das BGIA Handbuch 18 5 2 2 Risikobewertung Im Anschluss an die Risikoeinsch tzung wird eine Risikobewer tung durchgef hrt um zu entscheiden ob eine Risikominderung notwendig ist Die Kriterien f r eine hinreichende Risikominde rung gibt DIN EN 12100 1 vor Stolpergefahr Quetschgefahr Abbildung 5 2 Beispiele f r Gef hrdungen Quelle Wikipedia Wurden alle Betriebsbedingungen und alle Eingriffsmoglich keiten ber cksichtigt Wurden die Gef hrdungen durch angemessene Schutzma nahmen beseitigt oder die Risiken soweit vermindert wie dies praktisch umsetzbar ist Ist sichergestellt dass die durchgef hrten Ma nahmen nicht neue Gef hrdungen schaffen Sind die Benutzer hinsichtlich der Restrisiken ausreichend informiert und gewarnt Ist sichergestellt dass die Arbeitsbedingungen der Bedien personen und die Benutzerfreundlichkeit der Maschine durch die ergriffenen Schutzma nahmen nicht konterkariert werden Sind die durchgef hrten Schutzma nahmen miteinander vereinbar Wurden die Folgen ausreichend ber cksichtigt die sich durch den Gebrauch einer f r den gewerblichen industriellen Einsatz konstruierten Maschine im gewerblic
93. die Ma nahmen gegen CCF f r vorhandene Redundanzen bewertet werden Daran schlie en sich die rechnerischen Schritte zur Bestimmung der MTTF jedes Kanals des DE und schlie lich des PL an Berechnung der Ausfallwahrscheinlichkeit O MTTF Bei 240 Arbeitstagen Jahr 8 Arbeitsstunden Tag und 80 Sekunden Zykluszeit betragt Nap 86 400 Zyklen Jahr Fur S1 und 52 sowie K3 bis K6 ergibt sich bei einem B Wert von 2000000 Zyklen H eine MTTF von 232 Jahren F r den Mikrocontroller alleine wird eine MTTF von 1142 Jahren ermittelt D Der gleiche Wert wird auch fiir den ASIC eingesetzt D Zusammen mit der zugehorigen Beschaltung ergibt sich f r die Blocke K1 und K2 jeweils eine MTTF von 806 Jahren F r die Ventile 1V3 1V4 2V1 und 2V2 wird eine MTTF von jeweils 150 Jahren N angenom men Diese Werte ergeben eine MTTF jedes Kanals von 31 4 Jahren hoch DC ve Nach DIN EN ISO 13849 1 Anhang E ergeben sich als DC Werte f r 1 S2 99 Kreuzvergleich von Eingangssignalen ohne dynamischen Test mit h ufigem Signalwechsel f r K1 K2 90 Selbsttest durch Software und Kreuzvergleich f r K3 bis K6 99 direkte berwachung ber zwangsgef hrte Kontakte f r 1V3 2V1 99 indirekte berwachung durch den Druck sensor und f r 1V4 2V2 99 indirekte berwachung durch die Funktion und Messung einer ge nderten Druckabfallzeit Diese Werte ergeben einen DES von 98 6 hoch Tabelle 6 7
94. dlage der vorgesehenen Architekturen f r die Kategorien durch Markov Modellierung ermittelt weitere Erlauterungen dazu gibt Anhang G Bei Anwen dung des S ulendiagramms wird zun chst durch die erreichte Kategorie dabei m ssen f r Kategorien 2 3 und 4 ausreichende Ma nahmen gegen CCF vorhanden sein in Kombination mit der erreichten DC Klasse auf der horizontalen Achse die relevante S ule bestimmt Die H he der von den SRP CS erreichten MTTF auf der ausgew hlten S ule legt den auf der vertikalen Achse abzulesenden PL fest Mit dieser Methode ist auch ohne genaue quantitative Daten eine schnelle qualitative Absch tzung des erreichten PL m glich Falls genaue Werte gefragt sind z B neben dem PL auch ein Wert f r die durchschnittliche Wahr scheinlichkeit eines gef hrlichen Ausfalls je Stunde so helfen die Tabellen in Anhang K der Norm weiter hnliches leistet auch die BGIA Software SISTEMA siehe Anhang H die das S ulen diagramm quantitativ auswertet Bei der Ableitung des S ulendiagramms wurden nicht nur vorgesehene Architekturen ber cksichtigt sondern auch einige Bedingungen vorausgesetzt die bei dessen Anwendung beachtet werden sollten Als Gebrauchsdauer der SRP CS wurden 20 Jahre unterstellt innerhalb derer die Bauteilzuverl ssigkeiten durch konstante Ausfallraten beschrieben bzw angen hert werden k nnen Durch Verwendung stark verschlei behafteter Bauteile siehe To Wert in Anhang D oder aus an
95. e rungen an Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF zu erf llen Ma nahmen zur Vermeidung von Ausf llen Angemessene Materialien und geeignete Herstellung Richtige Dimensionierung und Formgebung Montage Installation Richtige Auswahl Anordnung Bauteile mit kompatiblen Betriebskenndaten Festigkeit gegen festgelegte Umgebungsbedingungen Bauteile nach geeigneter Norm mit definierten Ausfallarten Funktionspr fung Projektmanagement Dokumentation Black Box Test Ma nahmen zur Beherrschung von Ausf llen nach der Inbetriebnahme z B inzi Energieausfall schwankung umwelttechnische Einfl sse Verschlei berlastung fehlerhafte Wartung zus tzlich 6 y sichere Datenkommunikationsprozesse Bussysteme Automatische Tests Zwangl ufiger Bet tigungsmodus i Kontakte mit Zwangsf hrung mit Zwangs ffnung h Redundante Hardware diversit re Hardware Gerichtete Ausf lle Uberdimensionierung 43 Dass konkrete Anforderungen durchaus anwendungs und tech nologiespezifisch sein k nnen und demnach manchmal auch eine Auslegung der allgemeinen Anforderungen erforderlich ist soll anhand von drei Beispielen erlautert werden Beispiel 1 Ma nahmen zur Beherrschung von Auswirkungen eines Energieausfalls Bei der Gestaltung der sicherheitsbezogenen Teile von Steue rungen sind auch St rungen der Energieversorgung elektrische Spannung Luftdruck in de
96. e erfolgen Zwar sind die Haupteinflussgr en genannt die bei dieser Bestimmung ber cksichtigt werden sollen die Wahl der Methode zur Ermittlung der Ausfallwahrscheinlichkeit aus diesen Einflussgr en bleibt aber frei Hier ist grunds tzlich jede abgesicherte und anerkannte Methode erlaubt wie z B Zuverl ssigkeits Blockdiagramme Fehlerbaum Methode Markov Modellierung oder Petri Netze Je nachdem wer die Ausfallwahrscheinlichkeit bestimmt sei es der Steuerungs hersteller der Maschinenanwender oder eine Pr fstelle bestehen unter Umst nden unterschiedliche Vorlieben f r und Erfahrungen mit verschiedenen Methoden und daher wird hier ausdr cklich jede geeignete Methode erlaubt Andererseits besteht f r diejenigen die bisher mit der Quanti fizierung der Ausfallwahrscheinlichkeit unerfahren sind sicherlich Bedarf nach mehr oder weniger Hilfestellung seitens DIN EN ISO 13849 1 Dieser Tatsache wurde Rechnung getra gen indem ein vereinfachter Ansatz erarbeitet wurde der trotz wissenschaftlich fundierter Grundlagen Markov Modellierung Schritt f r Schritt eine einfache M glichkeit der Quantifizierung beschreibt Zwar werden dort an einigen Stellen Absch tzungen zur sicheren Seite getroffen die den gesch tzten Zahlenwert der Ausfallwahrscheinlichkeit gegen ber exakteren Methoden verschlechtern k nnen daf r ist die Methode aber auch f r Nicht Mathematiker praktikabel und das Verfahren ist weitgehend eindeutig un
97. e Anforderungen der DIN EN ISO 13849 in die technische Praxis umgesetzt werden k nnen und leistet damit einen Beitrag zur einheitlichen Anwen dung und Interpretation der Norm auf nationaler und internatio naler Ebene Abstract Functional safety of machine controls Application of DIN EN ISO 13849 The DIN EN ISO 13849 standard Safety of machinery Safety related parts of control systems contains provisions govern ing the design of such parts This report describes the essential subject matter of the standard in its heavily revised 2007 edition and explains its application with reference to numerous examples from the fields of electromechanics fluidics electronics and programmable electronics including control systems employ ing mixed technologies The standard is placed in its context of the essential safety requirements of the Machinery Directive and possible methods for risk assessment are presented Based upon this information the report can be used to select the required Performance Level PL for safety functions in control systems The Performance Level PL which ts actually attained is explained in detail The requirements for attainment of the relevant Perfor mance Level and its associated categories component reli ability diagnostic coverage software safety and measures for the prevention of systematic and common cause failures are all discussed comprehensively Background information is also provided on i
98. e Bedeutung ergonomische Prinzipien fur SRP CS haben und dass nicht immer jede bestimmungsgem e Verwendung oder vorhersehbare Fehlanwendung von SRP CS bei der Konstruktion einer Maschine ber cksichtigt wird das zeigt der HVBG Report Manipulation von Schutzeinrichtungen an Maschinen 22 auf DIN EN ISO 13849 1 fordert daher die Verwendung ergono mischer Prinzipien und listet dazu in Abschnitt 4 8 eine F lle hilf reicher Normen auf Damit Maschinenkonstrukteure die Gestal tung der Mensch Maschine Schnittstelle der SRP CS berpr fen k nnen wurde im BGIA die Checkliste Ergonomische Maschi nengestaltung entwickelt Im Oktober 2006 wurden diese Check liste und weitere Dokumente als BG Informationen BGI 5048 1 und BGI 5048 2 ver ffentlicht 23 Konkreter behandelt werden u a handbediente Stellteile Tastaturen Tasten und Eingabe ger te Displays und Anzeigen optische Gefahrensignale und die Softwareergonomie von Bedienoberfl chen Eine Konstruktions hilfe bei der nutzergerechten Gestaltung von Bediensystemen f r Maschinen bietet z B die VDI VDE Richtlinie 3850 24 6 2 Quantifizierung der Ausfallwahrscheinlichkeit Die von der Norm zur Ermittlung des PL geforderte zahlen m ige Bestimmung der Ausfallwahrscheinlichkeit oft auch in anderen Normen vereinfacht Quantifizierung genannt kann streng genommen niemals exakt sondern nur mithilfe statis tischer Methoden oder anderer Absch tzungen n herungsweis
99. e Rahmenbedingungen festgelegt es handelt sich um ein sogenanntes Lastenheft und keinesfalls um eine nach der Entwicklung angefertigte Pro duktbeschreibung Eine Sicherheitsfunktion wird durch SRP CS realisiert die Bestandteil der Maschinensteuerung sind und ber Schnittstellen zu weiteren SRP CS und zur funktionalen Steuerung verf gen Daher ist es notwendig eine Spezifikation zu erstellen Dazu wird im Kasten 6 1 ein allgemeines Gliederungsschema f r eine Spezifikation der Sicherheitsanforderungen aufgezeigt das die Spezifikation der Sicherheitsfunktionen einschlie t Dieses Gliederungsschema bezieht sich auf SRP CS die die gesamte Sicherheitsfunktion ausf hren F r SRP CS als Subsysteme ist die Spezifikation entsprechend anzupassen 40 Eine solche Spezifikation muss um G ltigkeit zu erlangen vor dem n chsten Entwicklungsschritt verifiziert werden Dabei geht es in erster Linie um Vollst ndigkeit Korrektheit Verst ndlichkeit und Widerspruchsfreiheit Dass eine solche Verifikation z B in Form einer Inspektion durch an einem Projekt Unbeteiligte Vor teile hat d rfte auf der Hand liegen Wird sicherheitsrelevante Software eingesetzt so muss aus einer solchen Spezifikation der Sicherheitsanforderungen eine eigenst ndige Softwarespezifika tion abgeleitet werden siehe Abschnitt 6 3 2 Mit der Spezifikation ist das erste Dokument im Ablauf der Gestaltung von SRP CS entstanden Grunds tzlich hat die Doku mentation eine
100. e Subsystem PL immer mindestens so gro sind wie der Gesamt PL ist auch gew hrleistet dass bei der Kombination alle Ma nahmen zu nicht quantifizierbaren qualitativen Aspekten z B systematische Ausf lle oder Software in ausreichendem Ma e ber cksichtigt sind Allerdings ist hier besonderes Augen merk auf die Schnittstellen zwischen den Subsystemen zu richten O Alle Verbindungen z B Leitungen oder Datenkommunikation durch Bussysteme m ssen im PL eines der beteiligten Sub systeme bereits ber cksichtigt sein oder Fehler in den Ver bindungen m ssen ausgeschlossen oder vernachl ssigt werden k nnen O Die hintereinander geschalteten Subsysteme m ssen an den Schnittstellen zueinander passen D h jeder Ausgangsstatus eines ansteuernden Subsystems der die Anforderung der Sicherheitsfunktion signalisiert muss als ausl sendes Ereig nis f r die Einleitung des sicheren Zustands des nachgeord neten Subsystems geeignet sein Bei hintereinander geschalteten zweikanaligen Systemen k nnen bei der Addition der Subsystem PFH Werte geringe Rechenfehler zur unsicheren Seite auftreten Streng genommen m ssten die beiden Ausg nge des ersten Subsystems zus tzlich ber Kreuz in die Eing nge des zweiten Subsystems eingelesen und verglichen werden Oft erfolgt die kreuzweise Verdoppelung der Eingangs informationen allerdings bereits intern auf der Eingangsebene Um den Verkabelungsaufwand nicht unn tig in die H he zu treiben ist di
101. e geringf gige PFH Untersch tzung bei der Addition tolerabel Mit den bisher beschriebenen Regeln lassen sich Subsysteme bereits viel flexibler kombinieren als dies vor der Revision der DIN EN ISO 13849 1 auf der Basis der Kategorien m glich war Diese Subsysteme k nnen sehr unterschiedlicher Natur sein z B hinsichtlich Technologie oder Kategorie aber auch nach anderen Normen f r sicherheitsbezogene Teile von Maschinensteuerungen entwickelt die sich statt auf einen PL auf einen SIL beziehen vgl Abbildung 3 2 66 In verkn pften Subsystemen kann es vorkommen dass sich zweikanalige und getestete einkanalige Teile abwechseln Abbildung 6 14 zeigt beispielhaft ein Logik Subsystem z B eine Sicherheits SPS an das zweikanalige Eingangs und Ausgangs elemente angeschlossen sind Da im sicherheitsbezogenen Blockdiagramm bereits eine Abstraktion von der Hardwareebene stattfindet ist die Reihenfolge der Subsysteme prinzipiell aus tauschbar Es empfiehlt sich daher wie in Abbildung 6 14 gezeigt Subsysteme gleicher Struktur zusammenzufassen Dadurch wird die PL Bestimmung einfacher und unn tige Abschneideeffekte z B die mehrfache Begrenzung der MTTF eines Kanals auf 100 Jahre werden vermieden Trotzdem bleiben Spezialf lle brig f r die sich bisher keine oder nur sehr grobe Regeln angeben lassen Ein Spezialfall betrifft die Parallelschaltung von Subsystemen Hier lassen sich weder hinsichtlich der quantifizierbaren
102. edrig bis hoch aus w hlbar Da nicht alle Fehler erkannt werden m ssen oder die Fehleranh ufung unerkannter gefahrbringender Fehler zu einer Gef hrdungssituation f hren kann reicht minimal ein niedriger DC Ausreichende Ma nahmen gegen Ausf lle infolge gemein av samer Ursache CCF m ssen angewendet werden Die Forderung nach Einfehlersicherheit bedeutet nicht zwangs weise eine Realisierung als zweikanaliges System da z B auch einkanalige Teile ohne gefahrbringendes Ausfallpotenzial fehler sicheres Design sicher gegen Einzelfehler sein konnen Dasselbe gilt f r Systeme mit hochwertiger Uberwachung die durch einen eigenen Abschaltpfad eine Fehlerreaktion so schnell einleiten dass ein gefahrlicher Zustand vermieden wird Trotzdem wer den Kategorie 3 Systeme berwiegend zweikanalig realisiert weshalb auch die zugehorige vorgesehene Architektur entspre chend gewahlt wurde Abbildung 6 7 siehe Seite 50 Eine rein logische Zweikanaligkeit z B durch redundante Software auf einkanaliger Hardware wird allerdings in der Regel nicht ein fehlersicher gegen Hardwareausf lle sein 49 Abbildung 6 7 Vorgesehene Architektur f r Kategorie 3 gestrichelte Linien kennzeichnen 01 Ausgang 02 Ausgang Uberwachung angemessene Fehlererkennung vernunftigerweise durchf hrbare Fehlererkennung 12 Eingang Verbindung Kreuzvergleich angemessene Fehlererkennung 6 2 7 Kategorie 4 Zus tzlich zu den Anforde
103. efriedigend sein Sowohl DIN EN ISO 13849 1 als auch DIN EN 62061 sind unter der Maschinenrichtlinie harmonisierte Normen Die Teile 1 bis 4 der DIN EN 61508 haben zwar unter IEC Aspekten den Status von Sicherheits Grundnormen Ausnahme einfache Systeme jedoch kann diese Normenrethe auch als europ ische Norm nicht unter der Maschinenrichtlinie harmonisiert werden In dieser Situation dr ngen sich zum Beispiel folgende Fragen auf O Welche Norm en sollte n zur Erf llung der Maschinenricht linie angewendet werden Liefern die Normen soweit sich die Anwendungsbereiche berschneiden gleichwertige Ergebnisse O Sind die Klassifizierungsschemata der Normen wie Kate gorien Performance Level PL und Sicherheits Integrit ts level SIL kompatibel K nnen Ger te die unter Ber cksichtigung einer der beiden Normen entwickelt wurden im Rahmen der Reali sierung einer Sicherheitsfunktion nach einer anderen Norm eingesetzt werden 1 IEC International Electrotechnical Commission 16 a 7 Absicherung niedriger Risiken 10 3 10 a y d 10 Absicherung hoher Risiken Um eine maximale Kompatibilitat zur IEC Welt zu erreichen sowie moglicherweise auf langfristige Sicht eine Zusammenlegung beider Normenwelten zu ermoglichen und auRerdem die Vorteile des Wahrscheinlichkeitsansatzes zu nutzen ohne die bew hrten Kategorien Uber Bord zu werfen hat die Revision der DIN EN ISO 13849 1 den Bala
104. ehrung von Bewegungen Energietrennung und Energieableitung Definitionsgem handelt es sich hierbei nicht um technische Schutzma nahmen f r deren Realisierung ein bestimmter Performance Level erforderlich w re Allerdings sollen diese erg nzenden Schutzma nahmen dann greifen wenn technische Schutzma nahmen trennende und oder nicht trennende Schutz einrichtungen versagt haben bzw durch Manipulation unwirk sam gemacht wurden Besonders in diesen F llen erwartet man dass z B ein Not Halt auch funktionsf hig ist Insofern sind die Anforderungen der DIN EN 60204 1 20 an Steuerstromkreise und Steuerfunktionen von Maschinen zu ber cksichtigen Im Abschnitt 9 4 Steuerfunktionen im Fehlerfall wird ein ange messenes Niveau der sicherheitstechnischen Leistungsf higkeit verlangt das durch die Risikobewertung der Maschine festzu legen ist Die Anforderungen der DIN EN ISO 13849 gelten letztlich also auch f r diese erg nzenden Schutzma nahmen In jedem Falle d rfen erg nzende Schutzma nahmen nicht die Funktion und das Niveau von Schutzeinrichtungen beeinflussen 5 6 Behandlung von Altmaschinen Unter Altmaschinen sind solche Maschinen zu verstehen die bereits vor Inkrafttreten der Maschinenrichtlinie in Verkehr gebracht wurden Die Anforderungen der Richtlinie wurden auf diese Maschinen nicht angewendet Werden Altmaschinen erwei tert ver ndert modernisiert usw kann dies jedoch erforderlich werden In solchen F
105. eilung oder Stelle O vorgesehene Ausr stung und Hilfsmittel kann auch in den Ergebnisdokumenten aufgelistet sein O vorgesehene Ergebnisdokumentation zu erstellende Pr fberichte protokolle Festlegung von Kriterien daf r wann Pr fungen erfolgreich nicht erfolgreich sind einschlie lich der Ma nahmen die durchzuf hren sind wenn eine Pr fung nicht bestanden wurde O formale Aspekte wie Freigabevermerke oder Pr fer unterschrift erforderliche erneute V amp V Aktivitaten bei Modifikationen am Produkt 7 1 3 Fehlerlisten Im Pr fverfahren sind berlegungen zum Verhalten der SRP CS bei Ausf llen vorzunehmen Die Grundlage f r die Fehler betrachtung ist in den Anh ngen der DIN EN ISO 13849 2 zu finden siehe auch Anhang C dieses Reports Die Fehlerlisten st tzen sich auf langj hrige Erfahrungen Eine vollst ndige Referenzierung der zur Anwendung kommen den Fehlerlisten und Fehlerausschl sse ist erforderlich Je nach Produkt und angewandter Technologie sollen eigene Fehlerlisten und Fehlerausschl sse in vergleichbarer Weise erg nzt werden Dies trifft insbesondere auf Bauteile und Baugruppen zu die in den Fehlerlisten der DIN EN ISO 13849 2 nicht enthalten sind Alle Fehlerausschl sse m ssen ausreichend begr ndet sein 7 1 4 Dokumente Wie Abbildung 7 2 zeigt sind f r V amp V Aktivit ten eingehende Dokumentationen erforderlich Dies sind Dokumente die im Rahmen der Entwicklung entstanden sind un
106. eingehalten werden mussen In den In den Kategorien 2 3 und 4 wird eine verbesserte Leistungs f higkeit hinsichtlich der vorgegebenen Sicherheitsfunktion berwiegend durch strukturelle Ma nahmen erreicht In Kate gorie 2 wird die Ausf hrung der Sicherheitsfunktion in regel m igen Abst nden in der Regel durch technische Einrichtungen Testeinrichtung TE selbstt tig berpr ft Zwischen den Test phasen kann die Sicherheitsfunktion beim Auftreten eines Fehlers allerdings ausfallen Durch geeignete Auswahl der Testintervalle kann bei Anwendung der Kategorie 2 eine geeignete Risiko reduzierung erreicht werden Bei den Kategorien 3 und 4 f hrt das Auftreten eines einzelnen Fehlers nicht zum Verlust der Sicherheitsfunktion In Kategorie 4 und wenn immer in Kate gorie 3 in angemessener Weise durchf hrbar werden solche Fehler selbstt tig erkannt In Kategorie 4 ist dar ber hinaus die Widerstandsf higkeit gegen ber einer Anh ufung von unbemerk ten Fehlern gegeben Kategorien B und 1 wird die Widerstandsf higkeit gegen Fehler berwiegend durch die Auswahl und Verwendung geeigneter Bauteile erreicht Beim Auftreten eines Fehlers kann die Sicher heitsfunktion unwirksam werden Kategorie 1 hat gegen ber Kategorie B eine h here Widerstandsf higkeit gegen Fehler durch die Verwendung besonderer sicherheitstechnisch bew hrter Bauteile und Prinzipien Tabelle 6 2 Zusammenfassung der Anforderungen f r Kategorien die drei rec
107. em vereinfachten Verfah ren der vorgesehenen Architekturen hinreichend genau abzu sch tzen Daher werden Systeme mit mehr als zwei Kan len in DIN EN ISO 13849 1 nicht betrachtet Neben dieser horizontalen Einteilung in verschiedene funktionale oder testende Kan le ist meist auch eine vertikale Einteilung in eine Sensorebene Ein gabegerate Input I eine Verarbeitungsebene Logik L und eine Aktorebene Ausgabeger te Output O hilfreich Mit voller Absicht wird die Kontinuit t zu den in der Maschinen bauindustrie und normung etablierten Kategorien der DIN EN 954 1 gewahrt die nach demselben Muster f nf Strukturen als Kategorien definiert DIN EN ISO 13849 1 erg nzt die alte Kate goriedefinition geringf gig um quantitative Anforderungen an die Bauteilzuverl ssigkeit MTTF den Diagnosedeckungsgrad von Tests DC ve und die Widerstandsf higkeit gegen Ausf lle infolge gemeinsamer Ursache CCF Daneben bildet sie die Kategorien auf f nf strukturelle Grundtypen sogenannte vorgesehene Archi tekturen Designated Architectures ab Zwar k nnen sich gleiche Kategorien im Einzelnen strukturell immer noch unterschiedlich darstellen die Vergr berung durch Abbildung auf die zugeh rige vorgesehene Architektur ist aber dennoch innerhalb des verein fachten Ansatzes als N herung statthaft Beispielsweise ist die Anzahl vertikaler Bl cke Input Logik Output in einem Kanal in der Regel f r die PL
108. ementiert werden und entfalten ihre Wirkung im Betrieb Neben Basisanforderungen listet die Norm auch Ma nahmen zur Auswahl auf von denen eine oder meh rere unter Ber cksichtigung der Komplexit t der SRP CS und des PL angewendet werden sollen in Abbildung 6 4 als zus tzlich gekennzeichnet Die Ma nahmen sind in der Norm gr tenteils kurz erl utert Es sei darauf hingewiesen dass Diversit t im Allgemeinen also nicht nur wie in Abbildung 6 4 f r Hardware aufgef hrt in der t glichen Praxis des BGIA ein gro er Nutzen unterstellt wird vergleiche dazu auch die Ausf hrungen zu Anforderungen an Software im Abschnitt 6 3 10 Der aufmerksame Leser dieses Reports k nnte sich im Weite ren die Frage stellen worin der Unterschied zu den Ma nah men gegen Ausf lle infolge gemeinsamer Ursache CCF siehe Abschnitt 6 2 15 liegt Solche Ausf lle sind nat rlich auch als systematische Ausf lle zu betrachten Allerdings richtet sich diese CCF Betrachtung nur auf Strukturen die mehrkanalig sind oder zumindest eine Testeinrichtung besitzen Kategorien 2 3 und 4 Ein weiterer Unterschied ist der Versuch CCF Aspekte zahlen m ig quantitativ zu betrachten wohingegen die Betrachtung nach Anhang G der Norm rein qualitativ ist Mit ausreichenden Ma nahmen gegen systematische Ausf lle nach Anhang G der Norm und Beachtung grundlegender und bew hrter Sicherheits prinzipien erscheint es nicht besonders schwierig die Anford
109. en F r jede dieser Testma nahmen wird einer von vier typischen DC Werten aus Ist das Design bis zur Ermittlung des realisierten PL fortgeschrit einer Tabelle in der Norm ermittelt und schlie lich berechnet ten stellt sich f r jede durch die Steuerung ausgef hrte Sicher Weitere Informationen liefern Abschnitt 6 2 14 sowie Anhang E heitsfunktion die Frage ob dieser PL ausreicht Dazu vergleicht Eine nur scheinbar komplexe aber trotzdem einfache Mittelungs man den PL mit dem geforderten PL siehe Block 6 Abbil formel hilft daraus die Kenngr e DC ve zu berechnen dung 4 1 Ist der f r eine Sicherheitsfunktion erreichte PL schlechter als der geforderte PL so sind mehr oder weniger Sehr einfach wird es schlie lich bei der letzten Kenngr e CCF gro e Nachbesserungen am Design z B Verwendung ande Common Cause Failure Abschnitt 6 2 15 Hier wird unterstellt rer Bauteile mit besserer MTTF n tig bis der PL schlie lich dass eine Ursache z B Verschmutzung bertemperatur oder ausreichend gut ist Ist diese H rde genommen so ist eine Reihe Kurzschluss unter Umst nden mehrere Folgefehler verursachen von sogenannten Validierungsschritten notwendig bei denen kann die z B beide Steuerungskanale gleichzeitig au er Kraft Teil 2 der DIN EN ISO 13849 ins Spiel kommt Diese Validierung setzen kann Zur Beherrschung dieser Gefahrenquelle muss f r stellt systematisch sicher dass alle funktionalen und leistungs Systeme der Kateg
110. en ausf hrlich in 4 aufgelistet einen Auszug zeigt Abbildung 5 2 siehe Seite 25 1 Eine Sicherheitsfunktion wird u a mit sicherheitsbezogenen Teilen von Steuerungen realisiert Diese beginnen mit der Erfassung sicherheitsbezogener Eingangssignale z B mit der Detektion einer Schutzt rstellung durch einen Positionsschalter der Bauart 2 bei dem der an der T r befestigte getrennte Bet tiger bereits ein sicherheitsbezogener Teil ist Es schlie t sich die Signalverarbeitung an die ein Ausgangssignal erzeugt Hier k nnte es sich um ein Leistungssch tz handeln das einen Motor mit dem Netz verbindet Das Leistungssch tz ist ein sicherheitsbezogener Teil der Steuerung w hrend der Motor mit seiner Verkabelung nicht mehr dazugeh rt 23 Abbildung 5 1 Iterativer Prozess zur Risikominderung START ON Festlegung der Grenzen der Risikobeurteilung Maschine siehe 5 2 nach ISO 14121 Identifizierung der Gef hrdungen siehe 4 und 5 3 Risikoeinschatzung siehe 5 3 unter der Einsatzbedingung getrennt durchgef hrt werden Risikobewertung siehe 5 3 Wurden Dieser iterative Prozess zur Risikominimierung muss fir jede Gefahrdung Gefahrdungssituation Wurde das Risiko hinreichend vermindert hinreichende Risikoverminderung siehe 5 5 Kann die Gefahrdung beseitigt werden Kann das Risiko durch inh rent sichere Konstruktion vermindert werden Kann das Risiko durch trennende und andere Schutzeinrichtun
111. end kurz erl utert 7 1 1 Leits tze f r die Verifikation und Validierung Verifikation und Validierung sollen die Konformit t der Gestal tung der SRP CS mit der Maschinenrichtlinie sicherstellen Da DIN EN ISO 13849 1 als Sicherheitsnorm f r Maschinen steuerungen unter der Maschinenrichtlinie harmonisiert ist m ssen die V amp V Aktivit ten zeigen dass jedes sicherheits bezogene Teil und jede seiner ausgef hrten Sicherheitsfunk tionen die Anforderungen der DIN EN ISO 13849 1 erf llt Diese Aktivit ten sollten so fr h wie m glich w hrend der Entwick lung begonnen werden sodass Fehler rechtzeitig erkannt und behoben werden k nnen Die Pr fungen sollten nach M glichkeit von Personen durchgef hrt werden die nicht in den Gestaltungs prozess der sicherheitsbezogenen Teile einbezogen sind d h unabh ngig von Entwurf und Realisierung sind Dies k nnen andere Personen andere Abteilungen oder andere Stellen sein die der Konstruktionsabteilung hierarchisch nicht unterstehen Der Grad der Unabh ngigkeit sollte dabei dem Risiko also dem erforderlichen Performance Level PL angemessen sein Verifikation und Validierung k nnen durch alleinige Analyse oder durch eine Kombination aus Analyse und Pr fung erfolgen 7 1 2 Verifikations und Validierungsplan In einem Verifikations und Validierungsplan V amp V Plan m ssen alle geplanten Aktivit ten verbindlich festgelegt werden er sollte folgende Angaben enthalten P
112. ende Bewegung Lichtgitter Kategorie 2 Typ 2 Abbildung 6 13 Reihenschaltung von Subsystemen zur Realisierung einer Sicherheitsfunktion 64 6 4 Kombination von SRP CS als Subsysteme Bisher war in diesem Kapitel nur die Rede von einer kompletten Steuerung als SRP CS die sich als Ganzes auf eine Kategorie bzw vorgesehene Architektur mit einem entsprechenden Performance Level abbilden lasst Die Sicherheitsfunktion wird von einer solchen Steuerung beginnend bei einem auslosenden Ereignis bis zum Erreichen des sicheren Zustands vollstandig alleine aus gef hrt In der Realitat ist es aber oft notwendig verschiedene SRP CS als Subsysteme hintereinander zu schalten die jeweils in Teilen die Sicherheitsfunktion ausf hren Solche Subsysteme k nnen in unterschiedlichen Technologien aufgebaut sein und oder verschiedene Kategorien bzw Performance Level realisieren H ufig werden etwa unterschiedliche Technologien in der Sen sor bzw Logikebene z B Elektronik in Kategorie 3 gegen ber der Antriebsebene z B Hydraulik in Kategorie 1 verwendet oder zugekaufte Ger te werden verkettet z B Lichtgitter elektronische Steuerung und pneumatische Ventilebene wie in Abbildung 6 13 dargestellt Einer der gro en Vorteile des PL Konzepts gegen ber den Kategorien ist es dass nun ein Verfahren existiert um Subsysteme verschiedener Kategorien aber hnlichen Perfor mance Level zu einem Gesamtsystem gemischter Kategorien
113. er Datenfluss von kritischen Signalen analysiert werden Mit den blichen Modultests werden die Funktionen und Schnitt stellen einerseits auf Korrektheit und andererseits auf berein stimmung mit der Modulgestaltung gepr ft Es folgt die Integra tion der Software und der Tests gemeinsam mit der Hardware des Mikrocontrollers K1 Danach wird K1 zusammen mit dem ASIC Kanal K2 verschaltet um die Synchronisierung den Daten austausch und die Fehlererkennung beider Kan le gemeinsam zu testen Alle Tests werden dokumentiert Bei diesem Integrationstest k nnte sich ergeben dass der Mikro controller nicht so leistungsf hig ist wie vorher angenommen In diesem Fall m sste die Softwarearchitektur konkret die zeitliche Einplanung der Tasks und auch die Zuordnung von Funktionen zu den Tasks ge ndert werden Die Spezifikation der Software sicherheitsanforderungen w rde sich dadurch nicht ndern aber die System und Modulgestaltung m sste angepasst und erneut einem Review unterzogen werden um die bereinstimmung mit der Spezifikation zu gew hrleisten Dies w re ein Beispiel daf r wie notwendige technische nderungen w hrend der Entwick lung zu einem erneuten Durchlauf des V Modells f hren k nnen damit die nderungen qualit tsgesichert umgesetzt werden Die nderungen w rden codiert und die Modul sowie Integrations tests m ssten erneut durchgef hrt werden F r den Fall dass die Firmware nach Auslieferung der ersten Ser
114. er Identifikation Versionsnummer Autor Datum usw aufzulisten Die Anwendung von eigenen Programmierrichtlinien und Sprachteilmengen ist ebenfalls zu dokumentieren Falls das Werkzeug diese bereits beinhaltet gen gt ein entsprechender Hinweis auf diese Merkmale Bleibt noch die Dokumentation der Testaktivit ten Oft werden Integra tionstest und Validierung der Sicherheitsfunktionen zusammen durchgef hrt Diese Tests sind selbstverst ndlich zu planen und mit Testergebnissen zu dokumentieren Was ist mit Konfigurationsmanagement gemeint Besonders bei sicherheitsbezogener Software ist verst ndlich und daher zu fordern dass deren Entwicklung f r alle Beteiligten und sp tere Pr fungen nachvollzogen werden kann Wer hat wann spezifiziert programmiert in Betrieb genommen verifiziert validiert 62 Womit wurde entwickelt z B Werkzeuge und ihre Ein stellungen wieder verwendete Funktionen und ihre Identifi kation Programmierrichtlinie Welche Programmversionen sind in welchen SRP CS geladen Diese und weitere notwendige Informationen sowie alle rele vanten Entwicklungsdokumente sind f r eine spatere Nutzung z B bei einer Modifikation nach f nf Jahren Betrieb zu doku mentieren und geeignet zu archivieren 6 3 9 Software ist st ndig im Fluss Modifikation Erfahrungsgem wird auch eine zun chst getestete SRASW noch w hrend der Inbetriebnahme einer Anlage Maschine eifrig erweitert und angepasst D
115. er peripheren Beschaltung aufdecken Wird eine Zustandsmaschine pro grammiert dann wird die Zustandsvariable auf g ltigen Wertebereich berwacht usw 60 Der Code muss statisch d h ohne Ausf hrung analysiert werden F r niedrige PL reicht ein Code Review f r PL d und e sollte der Daten und Steuerfluss zus tzlich m glichst werkzeugbasiert berpr ft werden Typische Fragen sind Entspricht der Code der vorherigen Gestaltung der Software Gibt es keine Stellen in denen Signale mit geringerem PL z B aus einer Standard SPS ein Signal mit h herem PL berstimmen Wo und durch welche Module werden Variablen initialisiert beschrieben und dann dem Sicher heitsausgang zugewiesen Welche Softwarefunktionen werden bedingt ausgef hrt 6 3 5 Pr fe was sich ewig bindet Modultest Integrationtest und Validierung Im Modultest werden die projektspezifisch neu entwickelten Softwarefunktionen getestet und simuliert um zu pr fen ob sie so codiert sind wie in der Modulgestaltung spezifiziert Sp testens beim Integrationstest wird z B w hrend der typischen Inbetriebnahme der SPS einer Maschine die Gesamtsoftware auf korrekten Ablauf auf der Hardware Integration und der ber einstimmung mit der Systemgestaltung Verifikation getestet Beides sind noch Verifikationsma nahmen d h man schaut da bei in die Software hinein Ob die Sicherheitsteilfunktionen der Software wie spezifiziert funktionieren ergibt die
116. erung zu belegen Sobald aber mehrere dieser Sicherheits Funktionsbausteine projektspezifisch zusammen geschaltet werden ist die resultierende gesamte Sicherheitsfunk tion zu validieren F r sicherheitsbezogene Embedded Software SRESW muss f r das Erreichen des PL berpr ft werden ob die erforderlichen konstruktiven Ma nahmen zur Softwarerealisierung gem Abschnitt 6 3 korrekt umgesetzt und implementiert wurden Im besonderen Fall von SRESW die in SRP CS mit PL e eingesetzt und nicht diversit r f r beide Kan le entwickelt wurde m ssen die SIL 3 Anforderungen nach Abschnitt 7 der DIN EN 61508 3 32 vollst ndig erf llt werden Dies schlie t die darin gefor derten V amp V Aktivit ten ein Bei einer sp teren Modifikation der sicherheitsbezogenen Soft ware ist in jedem Fall deren Validierung in geeignetem Umfang zu wiederholen 81 7 3 7 Kontrolle der Absch tzung des PL Die Kontrolle der korrekten Absch tzung des PL f r jeden SRP CS besteht insbesondere aus dem Nachvollziehen der richtigen Anwendung des eingesetzten Absch tzungsverfahrens einschlie lich der korrekten Berechnungen Zum Beispiel beinhalten Abschnitt 6 2 11 und Anhang D vereinfachte Verfahren zur Bestimmung der MTTF der durchschnittliche Diagnose deckungsgrad DC ve kann mit der Formel in Anhang E nachvoll zogen werden Wurde das vereinfachte Verfahren zur Absch tzung des PL ange wandt l sst sich anhand Abbildung 6 10 kontrollieren ob
117. ezogenen Teile von Steuerungen ein Sofern f r die zu konstruierende Maschine eine harmonisierte produktspezifische Norm Typ C Norm vorliegt die im Amtsblatt der EU ver ffentlicht wurde 17 kann von einer Ber cksichtigung der grundlegenden Sicherheits und Gesundheitsanforderungen bereits ausgegangen werden Man spricht in diesen F llen von einer Norm mit Vermutungswirkung denn bei Anwendung der Norm darf man die bereinstimmung mit den Anforderungen der EG Maschinenrichtlinie vermuten Die Strategie zur Risiko minderung ist aber immer dann anzuwenden wenn eine Norm mit Vermutungswirkung nicht existiert wenn davon abgewichen wurde oder wenn zus tzliche Aspekte vorliegen die von der Produktnorm nicht abgedeckt sind Zur Feststellung der von einer Produktnorm nicht ber cksichtigten Sachverhalte sind die ersten beiden Schritte der im Folgenden beschriebenen Strategie zur Risikominderung immer durchzuf hren also die Grenzen der Maschine festzulegen und die Gef hrdungen zu identifizieren 5 2 Strategie zur Risikominderung Das in DIN EN ISO 12100 1 vorgestellte Verfahren zur Risiko minderung wurde in Bild 1 der DIN EN ISO 13849 1 bernommen und um die in dieser Norm konkretisierten Aspekte erg nzt siehe Abbildung 5 1 auf Seite 24 Als Erstes erfolgt eine Risikobeurtei lung Dabei ist es wichtig zu wissen dass man bei den folgenden Schritten zun chst einmal von einer Maschine ausgeht an der noch keine Schutzma nahmen getr
118. f r PL a oder b F r Software die in SRP CS f r PL c bis e eingesetzt wird gelten neben den Basis ma nahmen zus tzliche fehlervermeidende Ma nahmen Letztere sind f r PL c mit geringerer Wirksamkeit f r PL d mit mittlerer Wirksamkeit und f r PL e mit h herer Wirksamkeit gefordert Unabh ngig davon ob die Software nur in einem oder in beiden Kan len einer beliebigen Kategorie mitwirkt Als Ma stab f r die Anforderungen gilt immer der PL der realisier ten Sicherheitsfunktion en Zielsetzung Entwicklungsmodell vereinfachtes V Modell oO N A I ON CO m A O Z LLJ AA w TD w en A am U N Q lt Software Parametrierung Der Aspekt h here Wirksamkeit bezieht sich auf den zuneh menden Grad der Fehlervermeidung Dies soll an der wichti gen Aktivit t der Spezifikation illustriert werden So kann es z B f r PL c ausreichend sein wenn der Programmierer die Spezifikation selbst verfasst und ein anderer Programmierer sie gegenliest internes Review Soll aber die gleiche Software f r PL e eingesetzt werden so muss ein h herer Grad der Fehlervermeidung erreicht werden Dann kann es notwendig sein dass nicht der Programmierer selbst die Spezifikation schreibt sondern z B der Projektleiter Soft ware Dar ber hinaus k nnte das Review dieser Spezifikation gemeinsam vom Programmierer und einer unabh ngigeren Person z B dem Hardware Projekteur durchgef hr
119. fall zur unsicheren Seite Im Gegensatz dazu k nnen ungef hrliche Ausf lle zwar den sicheren Zustand provozieren Betriebshemmung oder die Verf gbarkeit bzw Produktivit t einer Maschine herabsetzen weiterhin wird aber die Sicherheitsfunktion erfolgreich ausgef hrt oder der sichere Zustand eingeleitet bzw aufrechterhalten In redundanten Strukturen bezieht sich das Attribut gefahrbringend allerdings auf jeden einzelnen Kanal F hrt ein Ausfall in einem Kanal zu einem Au erkraftsetzen der Sicherheitsfunktion so wird dieser Ausfall als gefahrbringend bezeichnet selbst wenn ein weiterer Kanal die Sicherheitsfunktion noch erfolgreich ausf hren kann Sowohl ein einzelnes Bauelement z B ein Transistor Ventil oder Sch tz als auch ein Block ein Kanal oder die Steuerung insgesamt kann eine MTTF besitzen Diese Gesamt MTTF versteht sich als unter Umst nden ber mehrere Kan le symmetrisierter Wert f r einen Kanal und basiert auf der MTTF aller an den SRP CS beteiligten Bauteile Nach dem Bottom up Prinzip wird dazu sukzessive die betrachtete Ein heit vergr ert Zur Minimierung des Aufwands ist es oft hilf reich dass nur sicherheitsrelevante Bauteile in die Betrachtung einbezogen werden d h solche deren Ausf lle die Ausf hrung der Sicherheitsfunktion mittelbar oder unmittelbar negativ beeinflussen k nnen Zur Erleichterung sind zus tzlich Fehler ausschl sse m glich die der Tatsache Rechnung tragen dass be
120. ffsm glichkeiten ist festzustellen dass eine Risikominde rung erforderlich ist Inh rent sichere Konstruktion Die dynamische Presskraft des Pressbalkens und die Energie des Messers zu reduzieren ist nicht m glich da dies die Funktion der Maschine einschr nken w rde Auch eine Anordnung und Gestaltung der Maschine die verhindert dass der Bediener in den Gefahrenbereich eingreifen kann ist nicht m glich da er die Papierstapel genau dort ausrichten muss Folgende Ma nahmen k nnen jedoch ergriffen werden 1 Alle Zug nge zum Gefahrenbereich mit Ausnahme der Bedienseite verdecken 2 Scharfe Kanten und Ecken vermeiden 3 F r eine angemessene Arbeitsposition und Zug nglichkeit der Bedienteile sorgen 4 Maschine ergonomisch gestalten 5 Elektrische Gef hrdungen verhindern 6 Gef hrdungen durch die hydraulische Ausr stung vermeiden 5 7 3 Notwendige Sicherheitsfunktionen Unter Ber cksichtigung aller Betriebsarten und aller manuellen Eingriffe sind folgende Sicherheitsfunktionen erforderlich SF1 STO Safe Torque Off Sicher abgeschaltetes Moment zur Vermeidung eines unerwarteten Anlaufs SF2 Ortsbindung der H nde des Bedieners au erhalb des Gef hrdungsbereiches w hrend einer gefahrbringenden Bewegung SF3 Erkennung eines Eingriffs weiterer Personen in den Gefahrenbereich durch eine BWS ber hrungslos wirkende Schutzeinrichtung z B ein Lichtgitter und sofortige Schnittunterbrechung SF4 Sel
121. funktionen definiert die von den SRP CS Safety Related Parts of Control Systems den sicherheitsbezogenen Teilen von Steuerungen ausgef hrt werden siehe Abbildung 5 4 Abbildung 5 4 Sicherheitsfunktionen werden von SRP CS ausgef hrt verarbeiten schalten erfassen 26 Abgedeckt von Ma nahmen ohne sicherheits relevante Steuereinrichtungen F r die Gestaltung der sicherheitsbezogenen Teile von Steue rungen ist nach 6 ein iterativer Prozess vorgesehen Abbil dung 4 1 Abbildung 5 5 zeigt den f r diesen Abschnitt des Reports relevanten Teil 5 3 1 Festlegung von Sicherheitsfunktionen Die Festlegung der notwendigen Sicherheitsfunktionen h ngt sowohl von der Anwendung als auch von der Gef hrdung ab Ist z B mit wegfliegenden Teilen zu rechnen wird ein Lichtgitter ungeeignet sein und eine Fangvorrichtung trennende Schutz einrichtung notwendig werden Eine Sicherheitsfunktion ist also eine Funktion die das Risiko das bei einer bestimmten Gef hr dung besteht durch auch steuerungstechnische Ma nahmen auf ein akzeptables Ma mindert Sofern nicht eine Typ C Norm hierzu Aussagen macht werden die Sicherheitsfunktionen durch den Konstrukteur der Maschine festgelegt z B a gesteuertes Stillsetzen der Bewegung und Einfallen der Haltebremse im Stillstand b Verhindern einer Quetschstelle infolge der Absenkung von Maschinenteilen c Leistung des Schneidlasers bei direkter Exposition am Auge absenke
122. g festgelegt sein z B als St ckliste Dies erlaubt die Berechnung der mittleren Zeit bis zum gefahrbringenden Ausfall MTTF des Blocks basierend auf der MTTF der Hardwareeinheiten die zu diesem Block geh ren z B durch die Ausfalleffektanalyse FMEA oder das Parts Count Verfahren siehe 6 2 13 O Nur rein zu Testzwecken verwendete Hardwareeinheiten deren Ausfall die Ausf hrung der Sicherheitsfunktion in den verschiedenen Kan len nicht direkt beeintr chtigen kann k nnen als separate Bl cke eines zus tzlichen Testkanals zusammengefasst werden Die Norm stellt f r die Kategorien 3 und 4 keine direkten Anforderungen an die Zuverl ssigkeit externer Testeinrichtungen aber in Anlehnung an Kategorie 2 sollten die Testeinrichtungen mindestens die halbe MTTF des einzelnen symmetrisierten siehe unten Kanals haben und auch systematische Ausf lle und CCF sollten ber cksichtigt werden 6 2 9 Sicherheitsbezogenes Blockdiagramm Das sicherheitsbezogene Blockdiagramm ist dem bekannteren Zuverlassigkeitsblockdiagramm 25 entlehnt Gemeinsam ist beiden das Prinzip dass die Sicherheits Funktion so lange ausge bt werden kann wie von links nach rechts entlang der funktionalen Verbindungslinien eine Kette nicht gef hrlich ausgefallener Bl cke besteht Das sicherheitsbezogene Block diagramm stellt aber zus tzlich Testmechanismen dar z B den Kreuzvergleich redundanter Kan le oder Tests durch separate Testeinheiten Ein
123. g ist zu zeigen dass die Ma nahmen tats ch lich umgesetzt wurden Zu den hierzu typischen V amp V Aktivit ten z hlen die statische Hardwareanalyse und die Funktionspr fung unter Umgebungsbedingungen Grenzbedingungen 7 3 5 Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle Als Verifikation der Ma nahmen zur Vermeidung systematischer Ausf lle sollen die Entwicklungsdokumente dahingehend inspi ziert werden ob die in Abschnitt 6 1 2 beschriebenen erforder lichen Konstruktionsma nahmen umgesetzt wurden Ein ent sprechender Nachweis erfolgt typischerweise durch Ausfalleffektpr fung bzw Test durch Fehlereinbau zu den Versorgungseinheiten z B Spannungsversorgung Takt Druck Pr fung der St rfestigkeit gegen Umgebungseinflusse bzw Test bei spezifizierten Umgebungsbedingungen Analyse zur Implementierung der Programmlauf ber wachung Inspektion und Pr fung der qualitatsbestimmenden Eigen schaften zu Datenkommunikationssystemen bzw beim Einsatz von zertifizierten Komponenten deren Identifikation Inspektion von Entwicklungsdokumenten die die Anwendung grundlegender und bew hrter Sicherheitsprinzipien und ggf weiterer Ma nahmen wie diversit re Hardware best tigen 7 3 6 Validieren der Software Die im Rahmen des Entwurfs und der Codierung der Software stattfindenden Verifikationsma nahmen werden ausf hrlich in Abschnitt 6 3 beschrieben F r die Entwicklung von sicherheit
124. gen vermindert werden Konnen die Grenzen erneut festgelegt werden 1 Beim erstmaligen Stellen der Frage wird sie mit dem Ergebnis der Ausgangsrisikobewertung beantwortet 24 andere Gefahrdungen erzeugt Bei jedem Schritt des iterativen Prozesses Risikoeinschatzung Risikobewertung und soweit anwendbar Risikovergleich Schritt 1 Risikominderung durch inh rent sichere Konstruktion Abschnitt 4 in ISO 12100 2 Risikominderung durch technische Schutzma nahmen Einbeziehung erg nzender Schutzma nahmen Abschnitt 5 in ISO 12100 2 Risikominderung durch Benutzerinformation Abschnitt 6 in ISO 12100 1 Ist die vorgesehene Risikominderung erreicht Ist die vorgesehene Risikominderung erreicht Ist die vorgesehene Risikominderung erreicht Elektrische Spannung Einzugsgefahr Automatischer Anlauf Handverletzungen 5 2 1 Risikoeinsch tzung Sind alle Gefahrdungen ermittelt die von einer Maschine aus gehen k nnen so muss f r jede Gef hrdung das Risiko einge sch tzt werden Aus den folgenden Risikoelementen kann das mit einer bestimmten Gef hrdungssituation zusammenh ngende Risiko abgeleitet werden a Schadensausma b Eintrittswahrscheinlichkeit dieses Schadens als Funktion der Gef hrdungsexposition einer Person von Personen des Eintritts eines Gef hrdungsereignisses der technischen und menschlichen M glichkeiten zur Vermeidung oder Begrenzung des Schadens Ziel
125. gie sieht typischerweise aus wie in Abbildung 6 13 beispielhaft skizziert Lichtgitter elektronische Steuerung und Pneumatikventil werden hintereinander geschaltet um insgesamt die Sicherheitsfunktion Stillsetzung der gefahrbringenden Bewegung bei Unterbrechung eines Lichtstrahls auszuf hren Der Pneumatikzylinder selbst ist kein Steuerungsteil und daher nicht Gegenstand einer PL Bewertung Eine Kette ist immer nur so stark wie ihr schw chstes Glied Diese Regel gilt f r die Verkn pfung von Steuerungsteilen sowohl unterschiedlicher Kategorien als auch unterschiedlicher Performance Level Wie die Praxis schon oft gezeigt hat ist eine hydraulische Steuerung der Kategorie 1 wegen der hohen MTTF der Komponenten unter Umst nden vergleichbar sicher wie eine elektronische der Kategorie 3 mit mittlerem DC und niedriger MTTF Da Zu und Abschl ge zur Kategorie durch MTTF und BC im PL bereits ber cksichtigt sind orientiert sich der PL f r die Zusammenschaltung an der Haufigkeit des niedrigsten PL in der Serienschaltung und nicht an der niedrigsten Einzelkategorie Mit der Anzahl der Steuerungselemente steigt auch die Gesamt Ausfallwahrscheinlichkeit daher kann der PL der Reihenschal tung gegen ber dem niedrigsten Subsystem PL noch um eine Stufe verringert sein wenn z B davon mehr als drei Elemente hintereinander geschaltet werden Als grobe Abschatzung des erreichten Gesamt PL auf der Basis der Subsystem PL l sst sich folgendes Verfa
126. he Systeme Normentwurf Beuth Berlin 2006 DIN EN 574 Sicherheit von Maschinen Zweihandschaltungen Funktionelle Aspekte Gestaltungsleits tze 02 97 Beuth Berlin 1997 Weitere Ausf hrungen speziell hinsichtlich der Verifikation und Validierung folgen in der Fortsetzung dieses Beispiels einer Planschneidemaschine in Kapitel 7 TS 7 Verifikation und Validierung Verifikation und Validierung bezeichnen qualit tssichernde Ma nahmen zur Vermeidung von Fehlern w hrend des Entwurfes und der Realisierung sicherheitsbezogener Teile von Steuerungen SRP CS die Sicherheitsfunktionen ausf hren Besonders Teil 2 der DIN EN ISO 13849 7 besch ftigt sich ausgiebig mit diesem Thema Die Verifikation umfasst die Analysen und Pr fungen f r SRP CS bzw deren Teilaspekte die feststellen ob die erzielten Resultate einer Entwicklungsphase bzw eines Entwicklungsabschnittes den Vorgaben f r diese Phase entsprechen also z B ob das Schal tungslayout dem Schaltungsentwurf entspricht Als Validierung wird der Nachweis der Eignung bezogen auf den realen Einsatzzweck der w hrend oder am Ende des Entwicklungsprozesses erfolgt bezeichnet Es wird also berpr ft ob die spezifizierten Sicherheitsanforderungen an den sicherheitsrelevanten Teil der Maschinensteuerung erreicht wurden von Realisierung und PL Ermittlung Abb 6 1 Verifikation PL SP Validierung Anforderungen erreicht Alle SF analysiert
127. hen nicht indus triellen Bereich ergeben k nnen Ist sichergestellt dass die durchgef hrten Schutzma nahmen die Arbeitsbedingungen der Bedienpersonen oder die Benutzerfreundlichkeit der Maschine nicht negativ beeinflussen 25 Abbildung 5 3 Risikoeinsch tzung und Risikominderung Akzeptables vertretbares Risiko Tatsachliches Restrisiko niedrig Risiko ohne sicherheits relevante Steuerungen Risiko ohne Schutz ma nahmen Ss Gesamtrisiko Notwendige der Maschine Mindest Risikominderung Tats chliche Risikominderung Abgedeckt von sicherheitsrelevanten Steuereinrichtungen Verbleibendes Restrisiko 5 3 Identifizierung der notwendigen Sicherheitsfunktionen und ihrer Eigenschaften Kommt man zu der Bewertung dass ein Risiko noch nicht akzeptabel ist sind entsprechende Schutzeinrichtungen vorzu sehen Dem sind jedoch Bem hungen voranzustellen die durch konstruktive Ver nderungen der Maschine Gef hrdungen ver meiden inh rent sichere Konstruktion oder zumindest weitest gehend reduzieren Prinzipiell ist Risikominderung auch durch Benutzerinformation einschlie lich organisatorischer Ma nah men m glich Letzteres ist jedoch nur in solchen Ausnahmef llen akzeptabel bei denen durch technische Schutzma nahmen keine konomisch angemessene Risikoreduzierung m glich ist In den meisten F llen werden aber Schutzeinrichtungen erforderlich sein In diesem Zusammenhang werden Sicherheits
128. hneidgut Abfuhr bzw Lagerung der geschnittenen Papierstapel und Entsorgung von Abfallpapier erforderlich Zeitliche Grenzen Je nach Anwendungsfall kann die Maschine ber einen Zeitraum von ca 20 Jahren eingesetzt werden Durch die Abnutzung von Bauteilen kann sich die ben tigte Zeit f r das Stillsetzen einer Bewegung verl ngern Die daraus resultierende berschreitung des Nachlaufwegs muss daher detektiert werden und zu einer Stillsetzung der Maschine f hren Verwendungsgrenzen Die bestimmungsgem e Verwendung der Maschine besteht im Schneiden von gestapelten Papierb gen oder hnlichen Mate rialien Die Maschine wird manuell von einer einzelnen Person beschickt Je nach Aufstellungsort und Maschinenbreite ist jedoch nicht auszuschlie en dass sich weitere Personen in der Umge bung aufhalten Folgende Betriebsarten sind vorgesehen 1 Pressen 2 manuelles Schneiden Einzelschnitt 3 automatische Schnittfolge automatischer Ablauf nach erstem manuellen Schnitt 4 Messerwechsel Abbildung 5 10 Planschneidemaschine mit Zweihandschaltung ZHS und ber hrungslos wirkender Schutzeinrichtung BWS In den ersten drei Betriebsarten ist eine alleinige Bewegung des Pressbalkens moglich um die Schnittlinie anzuzeigen Schnitt andeuten Hierzu bet tigt der Bediener ein FuRpedal und kann dabei mit den H nden im Gefahrenbereich die Position des Papierstapels verandern 5 7 2 Identifizierung der Gef hrdungen
129. hren der DIN EN ISO 13849 1 verwenden Zun chst wird der niedrigste PL aller in Reihe geschalteter Subsysteme ermittelt dies ist Phi O Anschlie end wird die H ufigkeit des Auftretens von Pla in der Reihenschaltung der Subsysteme abgez hlt dies ist N niedrig Oo AusPL gr und Noise lasst sich dann nach Tabelle 6 6 der Gesamt PL bestimmen Tabelle 6 6 Vereinfachte PL Bestimmung fiir in Reihe geschaltete Subsysteme kein PL nicht erlaubt PL niedrig Dieses vereinfachte Verfahren unterst tzt die Bestimmung des Gesamt PLs wenn von den Subsystemen nur der PL und nicht der dahinter stehende Wert der durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde bekannt ist Als N herung wird dabei f r die Subsysteme eine Ausfallwahr scheinlichkeit genau in der Mitte des f r den jeweiligen PL g ltigen Bereichs angenommen niedrig 65 Liegen hingegen die Werte der durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde f r alle Subsysteme vor geeignet sind auch Werte f r SIL und Ausfallwahrschein lichkeit nach DIN EN 61508 12 oder DIN EN 62061 13 so kann daraus durch Aufaddieren der f r den Gesamt PL relevante Wert gebildet werden N PPE ae DPFH PFH PFH PFH 5 IF 1 mit N Zahl der an der Sicherheitsfunktion beteiligten Subsysteme PFH durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde des i ten Subsystems Da all
130. hronisation von Anforderung und Testung abh ngig ob die Testung berhaupt zur Geltung kommt Falls in einkanalig getesteten Systemen allerdings die Tests so schnell ausgef hrt werden dass der sichere Zustand erreicht wird bevor es zu einer Gef hrdung kommt dann werden keine Bedingungen an die Testh ufigkeit gestellt Ein weiterer Punkt ist die Zuverl ssigkeit der Testeinrichtung selbst Grunds tzlich sollte gelten dass die Testeinrichtung nicht vor der von ihr berwachten Komponente ausfallen sollte Andererseits ist es aber auch nicht effektiv viel mehr in die Zuverl ssigkeit der Testeinrichtung zu investieren als in die Sicherheitseinrichtungen die die eigentliche Sicherheits funktion ausf hren DIN EN ISO 13849 1 h lt sich daher mit Anforderungen an die Zuverl ssigkeit der Testeinrichtungen zur ck Bei den Kategorien 3 und 4 wird auf die Einfehler toleranz vertraut da inklusive des Ausfalls der Testeinrichtung insgesamt drei gefahrbringende Ausf lle notwendig sind bevor die Sicherheitsfunktion nicht mehr ausgef hrt wird Dass dieser Fall unbemerkt auftreten kann wird als extrem unwahrscheinlich und daher nicht entscheidend angesehen Bei Kategorie 2 gibt es zumindest bei der vereinfachten PL Bestimmung anhand des S ulendiagramms eine Neben bedingung die bei der Berechnung der Kategorie 2 S ulen zugrunde gelegt wurde Hier sollte die gefahrbringende Ausfallrate der Testeinrichtung nicht mehr als doppelt so h
131. hten Spalten zeigen die wesentlichen nderungen gegen ber der Kategoriedefinition der alten Normfassung Kategorie 46 Zusammenfassung der Anforderungen SRP CS en und oder ihre Schutzeinrichtungen sowie ihre Bauteile m ssen in ber einstimmung mit den zutreffenden Normen so gestaltet gebaut ausgew hlt zusammengebaut und kombiniert werden dass sie den zu erwartenden Einfl ssen standhalten k nnen Grundlegende Sicherheitsprinzipien m ssen verwendet werden Die Anforderungen von B m ssen erf llt sein Bew hrte Bauteile und bew hrte Sicherheitsprinzipien m ssen angewendet werden Systemverhalten Das Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion f hren Das Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion f hren aber die Wahr scheinlichkeit des Auftretens ist geringer als in Kategorie B Prinzip zum Erreichen der Sicherheit berwiegend durch die Auswahl von Bauteilen charakterisiert berwiegend durch die Auswahl von Bauteilen charakterisiert MTTF jedes Kanals niedrig bis mittel nicht relevant nicht relevant Tabelle 6 2 Fortsetzung Zusammenfassung der Anforderungen Die Anforderungen von B und die Verwendung bew hrter Sicherheitsprinzipien m ssen erf llt sein Die Sicherheitsfunktion muss in geeigneten Zeitabst nden durch die Maschinensteuerung getestet werden Die Anforderungen von
132. ich der Anwendung der DIN EN ISO 13849 Die Autoren w nschen sich dass dieser Report Konstrukteuren Betreibern sowie Arbeitsschutzexperten konkrete Hilfen f r die Umsetzung der Anforderungen an sicherheitsbezogene Teile von Steuerungen gibt Die vorliegende Interpretation der Norm ist in unterschiedlichen Anwendungen in der Praxis erprobt und die Beispiele sind in zahlreichen konkreten Anwendungen technisch umgesetzt worden 3 Basisnormen zur funktionalen Sicherheit von Maschinensteuerungen Neben der in diesem Report behandelten Norm DIN EN ISO 13849 gibt es alternative aber relevante Normen im Bereich der funk tionalen Sicherheit Dies sind wie in Abbildung 3 1 dargestellt die Normen der Reihe DIN EN 61508 12 und ihre Sektornorm DIN EN 62061 13 fiir die Maschinenindustrie Beide sind im Anwendungsbereich auf elektrische elektronische und program mierbar elektronische Systeme beschr nkt Als Klassifizierungsschema sind in DIN EN 61508 und DIN EN 62061 sogenannte Sicherheits Integritatslevel SIL festgelegt Diese sind ein Gradmesser fur die sicherheitsgerichtete Zuver lassigkeit Es handelt sich um Ausfallgrenzwerte die jeweils eine Dekade umfassen In der Betriebsart mit niedriger Anforde rungsrate ist die Ma zahl die mittlere Ausfallwahrscheinlich keit der entworfenen Funktion bei Anforderung PFD Average Probability of Failure to Perform its Design Function on Demand w hrend die Definition f r die Betriebsart
133. ichen k nnen z B Fehler im Produktentwurf oder bei der Modifikation 6 2 3 Kategorie B Die SRP CS m ssen nach den zutreffenden Normen unter Verwendung der grundlegenden Sicherheitsprinzipien f r die bestimmte Anwendung so gestaltet gebaut ausgew hlt zusam mengestellt und kombiniert werden dass sie den zu erwartenden Betriebsbeanspruchungen z B Zuverl ssigkeit hinsichtlich ihres Schaltverm gens und ihrer Schalth ufigkeit dem Einfluss des im Arbeitsprozess verwendeten Materials z B aggressive chemische Substanzen St ube Sp ne O anderen relevanten u eren Einfl ssen z B mechanischen Ersch tterungen elektromagnetischen St rungen Unter brechungen oder St rungen der Energieversorgung standhalten k nnen Diese allgemeinen Grunds tze lassen sich in den in Anhang C aufgef hrten grundlegenden Sicherheitsprinzipien allgemein aber auch technologiebezogen darstellen Die allgemeinen grundlegenden Sicherheitsprinzipien gelten dabei vollst ndig f r alle Technologien w hrend die technologiebezogenen Prin zipien zus tzlich f r die jeweilige Technologie erforderlich sind Da Kategorie B die Basiskategorie f r jede andere Kategorie ist siehe Tabelle 6 2 sind die grundlegenden Sicherheitsprinzipien generell bei der Konstruktion sicherheitsrelevanter Teile von Steuerungen und oder Schutzeinrichtungen anzuwenden F r die Bauteile die mit Kategorie B bereinstimmen sind keine weitergehenden be
134. ie 2 kann maximal PL d erreicht werden Mit Kategorie 3 oder 4 ist auch PL e erreichbar Au er dem quantitativen Aspekt der Ausfallwahrscheinlichkeit m ssen zum Erreichen eines bestimmten PL aber auch qualitative Aspekte beachtet werden Zu diesen geh ren systematische Ausf lle siehe Abschnitt 6 1 2 und Softwarefehler auf die in Abschnitt 6 3 n her eingegangen wird 6 2 17 Bussysteme als Verbindungsmittel Die einzelnen Bl cke Eingabeeinheit Logik und Ausgabe einheit einer vorgesehenen Architektur m ssen nicht nur logisch sondern auch physikalisch miteinander verbunden werden Dazu definiert die Norm sogenannte Verbindungsmittel die als Teil der SRP CS betrachtet werden Der Name Verbindungsmittel erscheint zun chst aus der Sicht eines Experten der Elektro oder Fluidtechnik merkw rdig ist aber der Oberbegriff f r elektrische sowie fluidtechnische Leitungen und sogar f r mechanische Stoel usw Somit gelten alle Anforderungen der Norm auch f r diese Verbindungsmittel Unter dem Aspekt der Fehlerbetrach tung ist also z B ein Leitungskurzschluss ein anzunehmender Fehler Wie aber sieht es mit dem Einsatz von Bussystemen zur bertragung von sicherheitsrelevanten Informationen aus Nat rlich kann es nicht Gegenstand der Norm sein ein solch komplexes Thema detailliert zu beleuchten zumal es bereits berufsgenossenschaftliche Pr fgrunds tze GS ET 26 28 und eine internationale Norm in Vorbereitung
135. ie Grundgedanken dieses Abschnitts k nnen auf beide Soft waretypen bezogen werden Einzelne Anforderungen werden aber eher f r Anwendungsprogrammierer von SRASW Safety Related Application Software sicherheitsbezogene Anwender Software konkretisiert Dahingegen zeigt das Beispiel der 58 Steuerung einer Planschneidemaschine in Abschnitt 6 5 die Entwicklung einer SRESW Die Anforderungen an die Softwareentwicklung richten sich nach dem verwendeten Softwaretyp SRASW oder SRESW und dem Sprachtyp Wie auch in anderen aktuellen Normen mit Softwareanforderungen wird zwischen den Sprachtypen FVL Full Variability Language Programmiersprache mit nicht ein geschr nktem Sprachumfang und LVL Limited Variability Language Programmiersprache mit eingeschr nktem Sprach umfang unterschieden blicherweise wird SRASW in LVL pro grammiert z B in einer grafischen Sprache die in IEC 61131 3 definiert ist Es gelten dann die Anforderungen aus Abschnitt 4 6 3 der DIN EN ISO 13849 1 Sobald aber SRASW in FVL z B eine SPS in der Hochsprache C programmiert wird m ssen die Anforderungen f r SRESW Abschnitt 4 6 2 der Norm erf llt werden Muss in diesem Fall die SRASW einen Performance Level von e erf llen so verweist DIN EN ISO 13849 1 am Ende des Abschnitts 4 6 2 ein einziges Mal aber mit Ausnahmen auf die Anforderungen der Norm IEC 61508 3 1998 6 3 1 Software ohne Fehler gibt es in der Praxis leider nicht
136. ie Zuordnung einer Kategorie f r ein Gesamt system das aus Subsystemen realisiert ist die nur eine Angabe zur durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde mitbringen Hier fehlen neben Angaben zur inneren Struktur auch Angaben zur MTTF jedes Kanals und zu DC f r die je nach Kategorie Mindestanforderungen gelten Daher gilt dasselbe wie f r die Parallelschaltung Als Alternative zu einer sehr groben Absch tzung bleibt nur die Neubewertung unter Umst nden unter Verwendung von Zwischenergebnissen 6 5 PL Bestimmung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e In diesem Abschnitt wird begleitend zur allgemeinen Beschrei bung illustriert wie man den PL in der Praxis ermittelt Damit ist dieses ausf hrlich beschriebene Beispiel gleichzeitig eine Br cke zu Kapitel 8 in dem eine gro e Anzahl von Schal tungsbeispielen verschiedener PL verschiedener Kategorien und unterschiedlicher Technologie pr sentiert wird Die im Folgenden grau unterlegten Textk sten entsprechen der Kurzbeschreibung im Stil von Kapitel 8 Dar ber hinaus werden zus tzliche Erl uterungen gegeben deren Erw hnung bei jedem Schaltungsbeispiel in Kapitel 8 den Rahmen sprengen w rde 6 5 1 Sicherheitsfunktionen Das Steuerungsbeispiel einer Planschneidemaschine in Abschnitt 5 7 wird hier wieder aufgegriffen Von den sieben dort genannten Sicherheitsfunkt
137. ienprodukte noch ge ndert werden m sste sollten entspre chende Ma nahmen wie Einflussanalyse der nderungen und angemessene Entwicklungsaktivit ten nach V Modell bereits in der Entwicklungsorganisation festgelegt werden 6 5 10 Kombination von SRP CS Da die gesamten SRP CS durchg ngig in einer Kategorie struk turiert sind und keine Subsysteme kombiniert werden ist eine diesbez gliche Betrachtung nach Abschnitt 6 4 nicht notwen dig Gleichwohl m ssen die verschiedenen Komponenten bzw Technologien an den Schnittstellen nat rlich zueinander passen Validierungsaspekte zur Integration werden in Kapitel 7 ange sprochen 6 5 11 Weitere Erl uterungen Da auch in diesem ausf hrlichen Schaltungsbeispiel viele sicher heitsrelevante Designaspekte nur angerissen werden k nnen ist hier wie bei den meisten folgenden Schaltungsbeispielen eine Liste mit hilfreicher Literatur angef gt die weitere Erl uterungen bereitstellt und auf zus tzliche zu beachtende Anforderungen hinweist Weiterf hrende Literatur O DIN EN 1010 3 Sicherheit von Maschinen Sicherheitsanfor derungen an Konstruktion und Bau von Druck und Papier verarbeitungsmaschinen Teil 3 Schneidmaschinen 12 02 Beuth Berlin 2002 DIN IEC 61508 2 Funktionale Sicherheit sicherheitsbezoge ner elektrischer elektronischer programmierbarer elektro nischer Systeme Teil 2 Anforderungen an sicherheitsbezogene elektrische elektronische programmierbare elektronisc
138. iesen Vorgang nennt man Modifi kation Oft gehen diese nderungen so weit dass nicht nur die Codierung sondern auch die urspr ngliche Spezifikation nicht mehr passt Sie m sste eigentlich berarbeitet werden Durch ge nderte Sicherheitsfunktionen an der einen Seite der Anlage Maschine k nnen auch die anderen zun chst nicht modifizierten Sicherheitsfunktionen betroffen sein Oder es ergeben sich durch die Modifikationen L cken im Sicherheitskonzept Dies gilt es zu berpr fen und gegebenenfalls die notwendigen Phasen des V Modells zu wiederholen Die Praxis zeigt aber dass auch an einer installierten Maschine oder Maschinenanlage immer mal ein Not Halt oder eine Schutz t r erg nzt werden muss Oft wird auch der Bearbeitungsprozess optimiert Das Sicherheitskonzept ist ebenfalls anzupassen Die existierende Software muss modifiziert werden Wohl gemerkt bei SRP CS die schon l nger und meist ohne durch Software fehler bedingte Ausf lle betrieben wurden was auch bedeuten k nnte dass ein vorhandener versteckter Fehler nur noch nicht wirksam wurde Dies kann sich aber nach einer Modifikation ndern wenn die Software z B nicht ausreichend strukturiert wurde und einzelne Module Funktionen somit untereinander nicht vollst ndig r ckwirkungsfrei sind In den beschriebenen Situationen zeigt sich oft Murphys Gesetz Das Programm wurde schon vor etlichen Jahren geschrieben der urspr ngliche Programmierer hat d
139. ilitatskontrollen seien hier als Beispiel f r die Umset zung bew hrter Sicherheitsprinzipien genannt Zwangsgef hrte Kontakte der Hilfssch tze K3 bis K6 werden durch beide Kan le zur ckgelesen Pr fungen werden durchgef hrt um die korrekte Funktion der R cklesung zu zeigen O Validieren der MTTF Werte Beispielhaft f r die Validierung der MTTF Werte wird hier der f r die Ventile 1V3 1V4 2V2 und 2V1 angesetzte Wert von 150 Jahren aus Tabelle C 1 der DIN EN ISO 13849 1 6 berpr ft siehe Tabelle D 2 dieses Reports Es wurde der richtige Wert ausgew hlt und er entstammt einer zuverl ssigen Quelle Die f r die Annahme von MTTF 150 Jahre geltenden Sicherheits prinzipien z B lwechsel werden eingehalten und auch dem Betreiber in der Betriebsanleitung mitgeteilt Konstruktive Merkmale Die Anforderungen von Kategorie B grundlegende und bew hrte Sicherheitsprinzipien werden eingehalten Durch diversit r redundante Verarbeitungskan le Mikrocontroller und ASIC f hrt ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion und systematische Fehler werden weitgehend vermieden Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Die Signalverarbeitung aller elektrischen Signale auch die der Drucksensoren erfolgt in einer mehrkanaligen Steuerung Die Stellteile S1 und S2 der Zweihandschaltung entsprechen DIN EN 60947 5 1 K3 bis K6 besitzen zwangsgef hr
140. in Maschinenbediener Zugang zu einem Gefahrenbereich in dem f nf Antriebe Bewegungen von Maschinenteilen steuern Das ffnen der Schutzt r bewirkt ein schnellstm gliches Stillsetzen aller f nf Antriebe Das zugeh rige funktionale Schaltbild ist in Abbildung 5 6 dargestellt Abbildung 5 6 Stillsetzen beim ffnen der Schutzt r Stellungs berwachung der Schutzt r Bei der spateren Berechnung des PL der Sicherheitsfunktion wer den daher die PLs der folgenden Blocke z B nach Tabelle 6 6 verkn pft Stellungs berwachung der Schutzt r einschlie lich mechanischer Komponenten Logik Antrieb x x 1 2 5 Das Resultat kann ein PL sein der f r die Anwendung nicht mehr ausreichend ist obwohl vielleicht nur die Antriebe 1 und 3 f r den Bediener gefahrbringende Bewegungen ausl sen und die restlichen Antriebe rein funktional stillgesetzt werden In diesem Fall empfiehlt es sich f r die Sicherheitsfunktion nur die Bewegungen zu ber cksichtigen die tats chlich eine Gef hrdung sind Beispiel 2 Sicherheitsfunktion Stillsetzen beim ffnen einer Schutzt r Eine gefahrbringende Bewegung ist durch einen Zaun abge sichert der ber f nf Schutzt ren verf gt Das ffnen einer der T ren f hrt zum Stillsetzen Im Hinblick auf die sp tere Bestim mung des PL ist jede T r Bestandteil einer eigenen Sicherheits funktion SF1 bis SF5 die sich aus folgenden Bl cken zusammen setzt o Stellungs
141. inrichtung mit Zuhaltung Kategorie 3 PL d Beispiel 19 ccccccooooonnnooncnccncnnnnnnnnnncncncnnnnnnnnnnns 140 8 2 20 Sicheres Stillsetzen eines SPS gesteuerten Antriebs Kategorie 3 PL d Beispiel 20 144 8 2 21 Sicher begrenzte Geschwindigkeit f r Tipp Betrieb Kategorie 3 PL d Beispiel 21 148 8 2 22 Muting einer Schutzeinrichtung Kategorie 3 PL d Beispiel 22 152 8 2 23 Karussellt rsteuerung Kategorie 3 PL d Beispiel 23 156 8 2 24 Tippbetrieb mit sicher begrenzter Geschwindigkeit an einer Druckmaschine Kategorie 3 PE bzw c Beispiel 25 sea dr am see 160 8 2 25 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 25 164 8 2 26 Pneumatische Ventilsteuerung Kategorie 3 PL e Beispiel 26 166 8 2 27 Hydraulische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 27 168 8 2 28 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 3 PL e Beispiel 28 170 8 2 29 Kaskadierung von Not Halt Ger ten mittels Sicherheitsbaustein Kategorie 3 PL e Beispiel 29 oommmm 172 8 2 30 Sch tz berwachungsbaustein Kategorie 3 PL e Beispiel 30 174 8 2 31 Pneumatische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 31 176 8 2 32 Hydraulische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 32 178
142. ionen wird exemplarisch die Realisierung von SF2 beschrieben f r die ein erforderlicher Performance Level PL e ermittelt wurde Da die verschiedenen Sicherheitsfunktionen unter Umst nden auf dieselben Kompo nenten zur ckgreifen sind alle Sicherheitsfunktionen bei der Realisierung zu ber cksichtigen So fordert z B die Produktnorm f r Planschneidemaschinen DIN EN 1010 3 f r die Absicherung an der Bedienseite zus tzlich zu einer Zweihandschaltung ZHS z B im Hinblick auf die Sicherheitsfunktion SF3 eine hier nicht gezeigte ber hrungslos wirkende Schutzeinrichtung BWS Sicherheitsfunktion SF2 Ortsbindung der H nde des Bedieners au erhalb des Gef hr dungsbereiches w hrend einer gefahrbringenden Bewegung 6 5 2 Realisierung Realisiert als Zweihandschaltung l sst sich diese Sicherheitsfunk tion folgenderma en beschreiben Beim Loslassen mindestens eines der beiden Stellteile S1 und S2 wird die gefahrbringende Bewegung von Pressbalken und Messer unterbrochen und sowohl Messer als auch Pressbalken kehren durch Federkraft in ihre Ausgangslage zur ck Ein Neustart wird solange verhindert bis beide Stellteile losgelassen wurden und ein neuer Zyklus durch die Zweihandschaltung eingeleitet wird Zur Ortsbindung der H nde werden zwei Stellteile verwendet die zum Start der Maschine synchron bet tigt werden m ssen f r Details z B zur Manipulationssicherheit siehe DIN EN 574 Die elektrischen Signale m sse
143. k alle Architekturen und z B programmierbar Embedded Software SRESW Anwendungssoftware bis zu PL e bis zu PL e PL e ohne Diversit t Entwicklung nach DIN EN 61508 3 Abschnitt 7 bis zu PL e SRASW Kombination verschiedener Technologien Beschr nkungen wie oben Entscheidende Argumente f r die Wahl von DIN EN ISO 13849 als Basis zur Realisierung funktionaler Sicherheit im Maschinen bereich k nnen also aus Sicht des Anwenders der technologie bergreifende Ansatz und der vereinfachte Quantifizierungsansatz unter Verwendung der vorgesehenen Architekturen sein Dies schlie t die detaillierte Betrachtung von nichtelektrischen und elektromechanischen Bauteilen ein Nat rlich werden insbeson dere Hersteller von in gro er Anzahl hergestellten Sicherheits komponenten z B einer speicherprogrammierbaren Steuerung SPS f r Sicherheitsanwendungen weltweit auch andere M rkte als den Maschinenbereich bedienen wollen und daher neben DIN EN ISO 13849 auch DIN EN 61508 als Basis einer Entwicklung heranziehen DIN EN 62061 nicht enthalten alle Architekturen und bis zu SIL 3 bis zu SIL 3 bei Entwicklung nach DIN EN 61508 Entwicklung nach DIN EN 61508 3 bis zu SIL 3 Beschr nkungen wie oben nichtelektrische Teile nach DIN EN ISO 13849 1 Abbildung 3 3 Angepasste Empfehlung zur Anwendung von DIN EN ISO 13849 1 und DIN EN 62061 17 4 Report und Norm im Uberblick Dieses
144. kraft erh hen 44 O Bei Hydraulikventilen kann bei l ngerem Verbleiben in einer Schaltstellung sogenanntes Silting auftreten Hierbei lagern sich w hrend der Haltezeit zwischen den Schaltspielen feine Schmutzpartikeln im Dichtspalt ab und verursachen dadurch ein Klemmen des Ventilschiebers Aus diesen Gr nden ist konstruktiv generell ein hoher Kraft berschuss z B Federkraft f r die R ckstellung des Ventil schiebers in die sichere Schaltstellung erforderlich Bei nicht mechanischen Federn ist der Erhalt der R ckstellfunktion durch geeignete Ma nahmen sicherzustellen Weiterhin gilt es die oben beschriebenen Effekte durch entsprechende Schaltzyklen bzw Testzyklen im Abstand von z B lt 8 Stunden zu verhindern Beispiel 3 Trennung sicherheitsbezogener von anderen Funktionen Normen funktionaler Sicherheit thematisieren generell die Tren nung sicherheitsbezogener Funktionen von anderen Funktionen Nicht Sicherheitsfunktionen so auch DIN EN ISO 13849 2 und zwar z B als bew hrtes Sicherheitsprinzip f r Elektrik unter dem Stichwort Verringerung von Fehlerm glichkeiten Diese Anforderung gilt sowohl f r Hardware als auch f r Software Gleichwohl kann es Gr nde geben die eine g nzliche Trennung nicht sinnvoll erscheinen lassen In diesen F llen ist zumindest zu erreichen dass es klar definierte funktionale und technische Schnittstellen gibt mit deren Hilfe R ckwirkungen auf den sicherheitsrelevanten
145. lastungen z B durch extreme Temperatur zu erwarten so m ssen diese Bedingungen bei der Bestim mung der MTTF ber cksichtigt werden o Zeit legt nahe dass die Zuverl ssigkeit als Zeit im Sinne einer Lebensdauer angegeben wird blicherweise wird die MTTF in Jahren abgek rzt a angegeben Andere Notationsformen die in eine MTTF umgerechnet werden k nnen sind z B Ausfallraten oder Schaltspiele Ausfall raten werden blicherweise mit dem kleinen griechischen Buchstaben A Lambda bezeichnet und in der Einheit FIT 107 h d h Ausf lle in einer Milliarde Bauteil tunden notiert Die Beziehung zwischen A und MTTF ist bei einer ber die Lebensdauer konstanten Ausfallrate A mit MTTF 1 1 gegeben wobei die Umrechnung von Stunden auf Jahre nat rlich zu ber cksichtigen ist Bel Bauteilen die berwiegend durch ihre mechanische Bet tigung verschlei en ist es blich die Zuverl ssigkeit in Schaltspielen z B als B Wert anzugeben d h die mittlere Anzahl von Zyklen nach der 10 der Bauteile gef hrlich ausfallen Hier kann eine Umrechnung in MTTF durch Einbeziehen der in der Anwendung zu erwartenden mittleren Anzahl j hrlicher Bet tigungen n Number of Operations erfolgen Mehr Einzelheiten dazu finden sich im Anhang D 52 o Gefahrbringend stellt klar dass nur solche Ausf lle die das Ausf hren der Sicherheitsfunktion beeintr chtigen letztlich in den PL einflie en Aus
146. lauf Jede Handlung bei der Gestaltung und Integration sicherheits bezogener Teile von Steuerungen Anwendungsbereich der Norm muss daran orientiert sein m glichst fehlerfreie den Anforderungen entsprechende Produkte zu entwickeln und diese auch wie vorgesehen einzusetzen Schlie lich geht es um die Gesundheit von Menschen und die Vermeidung von Unf llen Das Motto f r den Entwicklungsablauf muss daher lauten strukturiert und gut dokumentiert Der Prozess der Risikominderung nach DIN EN ISO 12100 1 muss wie in Abbildung 6 3 dargestellt auf den gesamten Lebenszyklus einer Maschine ausgerichtet sein Obwohl in DIN EN ISO 13849 1 nicht explizit ausgef hrt gilt es auch bei der Gestaltung und Integration eines oder mehrerer SRP CS den Lebenszyklusgedanken aufzugreifen um die Aktivit ten entsprechend zu strukturieren Dass es sich bei dem in der Norm beschriebenen iterativen Prozess zur Gestaltung der sicherheits bezogenen Teile von Steuerungen um einen in einzelne Phasen untergliederten Prozess handelt wird auch aus der Beschreibung der Norm in Abschnitt 4 deutlich Die Phase der Validierung ist wie aus Abbildung 6 3 ersichtlich durch eigene strukturierte Abl ufe gekennzeichnet die in Kapitel 7 genauer beschrieben werden Sehr ausf hrlich wird die Strukturierung in Lebens phasen durch das bei der Erstellung sicherheitsrelevanter Software verwendete V Modell gekennzeichnet Abschnitt 6 3 erl utert dies Auch wenn der Gestaltungs
147. ll nur in unvorhersehbaren Betriebssituationen auswirken bzw mit angemessenem Aufwand zur Abnahme Inbetriebnahme nicht aufzudecken sind k nnen so sehr anwenderfreundlich verhindert werden Eine vollst ndige Analyse der Einfl sse funktionaler Standard teile einer Steuerung auf die sicherheitsrelevanten Teile bri gens auch f r Sicherheitsfunktionen untereinander wird dem Konstrukteur also nicht erspart bleiben Doch ist die Analyse wo technisch und wie funktional solche Einfl sse m glich sind durch den Einsatz o g Entwicklungswerkzeuge ungleich einfacher und schneller auszuf hren Zu der noch wesentlicheren Frage Wie sollen festgestellte Einfl sse abgestellt vermieden oder beherrscht werden muss man ggf gar nicht erst bergehen 6 1 3 Ergonomie Die europ ische Maschinenrichtlinie 98 37 EG MRL fordert im Anhang Abschnitt 1 1 2d vom Maschinenhersteller dass Belasti gung Ermudung und psychische Belastungen der Maschinen bediener unter Berucksichtigung ergonomischer Prinzipien be reits bei der Konzeption der Maschine auf ein Minimum zu reduzieren sind Dies gilt daher auch fur die Schnittstellen zwi schen dem Bediener einer Maschine Maschinenanlage und den SRP CS Darunter fallen sowohl konkrete Schutzeinrichtungen wie z B eine Schutzt r mit Positionsschalter als auch die Bedienung einer Sicherheitsfunktion z B uber Taster oder sogar Uber eine daf r geeignete Softwareoberflache eines Displays Welch
148. llen nur eine Auswahl dar daher m s sen wenn notwendig neue Fehlermodelle erstellt werden z B bei neuen Komponenten oder je nach Applikation weitere Fehlerarten ber cksichtigt werden Dies ergibt sich z B auf der Grundlage einer FMEA Folgefehler werden zusammen mit dem ausl senden Erstfehler als ein einzelner Fehler bewertet genauso wie Mehrfachfehler die eine gemeinsame Ursache haben CCF Common Cause Failure O Das gleichzeitige Auftreten von zwei oder mehreren Fehlern unterschiedlicher Ursache gilt als h chst unwahrscheinlich und braucht deswegen nicht betrachtet zu werden Weitere Informationen zum Fehlerausschluss finden sich in Anhang C und im Teil 2 der DIN EN ISO 13849 Wenn Fehler ausgeschlossen werden bei denen der Ausschluss nicht unmit telbar einleuchtet z B das Abl sen von Leiterbahnen bei richtig dimensioniertem Platinenlayout muss eine genaue Begr ndung in der technischen Dokumentation gegeben werden Fehlerausschl sse sind bei entsprechenden Voraussetzungen auch f r Komponenten m glich z B f r die elektrischen ffnerkontakte und die mechanische Bet tigung von elektro mechanischen Positionsschaltern oder Not Halt Ger ten F r diese Komponenten ist bei Fehlerausschluss keine Ber cksichti gung von Ausfallraten MTTF und berwachungsma nahmen DC notwendig 51 6 2 11 Mittlere Zeit bis zum gefahrbringenden Ausfall MTTF Die Zuverlassigkeit der einzelnen Komponenten aus dene
149. lzahl von Parametern will korrekt mit mehr oder weniger Unterst tzung durch zugeh rige Tools eingestellt werden 6 3 Entwicklung sicherheitsbezogener Software Der Programmierer einer Software der jahrelange Erfahrung hat macht selbstverst ndlich keine Fehler mehr diese oder hnliche Aussagen sind oft zu h ren Dabei ist gerade diese Selbst bersch tzung der gr te Fehler den man machen kann Software ist in der Regel kompliziert und deshalb gibt es auch im Gegensatz zur Hardware zunehmend mehr Versagen durch Softwarefehler Wie oft wundert sich der Power User am PC dass ein Peripherieger t nicht mehr funktioniert wie oft war es dann ein Teil der Software der sich mit einem anderen z B Treiber nicht vertr gt Dagegen sind Hardwarefehler eher selten Normale das hei t einfache Software f r einfache Funktionen hat nach 31 etwa 25 Fehler pro 1000 Programmzeilen Gute Software hat nach 31 etwa zwei bis drei Fehler pro 1 000 Pro grammzeilen und die Software im Space Shuttle hat laut NASA weniger als einen Fehler pro 10000 Zeilen Was bedeutet das in der Praxis Ein Mobiltelefon hat bis zu 200000 Programmzeilen und damit bis zu 600 Softwarefehler Ein PC Betriebssystem hat 27 Millionen Programmzeilen und damit bis zu 50000 Fehler das Space Shuttle bis zu 300 Fehler und die Software f r das Verteidigungssystem SDI bis zu 10 000 Fehler Diese Programm fehler schlummern in den Produkten und werden sich unter
150. m Standort innerhalb des Gefahrenbereichs z B beim Einrichten Manueller Eingriff in Gefahrenbereiche Auseinanderfahren von Walzen Offnung eines Hydraulikventils Verhinderung des unerwarteten Anlaufs Befreiung und Rettung eingeschlossener Personen Isolations und Energieablei tungsfunktion zum Druckabbau Aktivierung von Sicherheits funktionen durch Betriebsarten wahlschalter Steuerungsfunktionen und Betriebsartenwahl Funktion zum Stillsetzen im Notfall Reaktion auf die Bet tigung eines Not Halt Ger ts durch STO oder SS1 Tabelle 5 2 27 Tabelle 5 2 Sicherheitsfunktionen aus DIN EN 61800 5 2 Abk rzung Bezeichnung englisch Bezeichnung deutsch Sicher abgeschaltetes Moment STO Safe Torque Off Motor erh lt keine Energie die eine Drehbewegung erzeugen kann Stopp Kategorie 0 nach DIN EN 60204 1 Safe Stop 1 Sicherer Stopp 1 Safe Stop 2 Sicherer Stopp 2 Safely Limited Acceleration Safe Direction Safe Brake Control SS1 SS2 SLA SLS SLT SLP SLI SDI SMT SBC SCA SSM AR S Safe Acceleration Range Die Art der Ausf hrung einer Sicherheitsfunktion kann sehr unterschiedlich sein daher sind zusammen mit der Auswahl einige Eigenschaften zu ber cksichtigen und f r jede Anwendung individuell festzulegen Hierzu z hlen O Verwendung in unterschiedlichen Betriebsarten z B Automatikbetrieb Einrichtbetrieb Storungsbeseitigung O Reaktion en beim Ansprechen der Sicherheitsfu
151. m gibt in einer Anmerkung den nicht normativen Hinweis dass bei Eingriffen die h ufiger als einmal pro Stunde erfolgen F2 gew hlt werden sollte sonst F1 Dieser Hinweis passt aber in der Regel auf alle in der Praxis vor kommenden F lle Bei der Bewertung ist ein durchschnittlicher Wert der Gef hrdungsexposition im Verh ltnis zur gesamten Nutzungszeit einer Maschine zu ber cksichtigen Eindeutige F lle liegen jedoch vor z B bei einer manuell beschickten Presse in der Metallbearbeitung bei der zyklisch zwischen die Werkzeuge der Maschine gegriffen werden muss F2 F r ein Bearbeitungs zentrum hingegen das einmal j hrlich eingerichtet wird und dann automatisch produziert wird sicherlich F1 gew hlt Bei der Bewertung der H ufigkeit und Dauer ist es nicht zul ssig zu unterscheiden ob dieselbe oder unterschiedliche Personen der Gef hrdung ausgesetzt werden M glichkeit zur Vermeidung der Gef hrdung P1 und P2 An dieser Stelle soll bewertet werden ob die Vermeidung einer Gefahrdungssituation P1 m glich unter bestimmten Bedingungen O P2 kaum m glich ist Bei der Festlegung dieses Parameters sind u a die physika lischen Eigenschaften einer Maschine und die m gliche Reaktion des Bedieners von Bedeutung Muss z B ein Einrichtbetrieb an laufender Maschine mit begrenzter Geschwindigkeit erfolgen so wird bei geringen Beschleunigungswerten der Einrichtung der Parameter P1 die richtige Wahl sein Der Bediener hat bei
152. mms Abbildung 6 10 wurde daher vorausgesetzt O dass der MTTF Wert der Testeinrichtung TE nicht kleiner ist als der halbe MTTF Wert der Logik L siehe auch letzte Seite von Anhang E und O die Testrate mindestens 100 mal h her ist als die mittlere Anforderungsrate der Sicherheitsfunktion siehe Abschnitt 6 2 14 Wegen dieser Einschr nkungen und weil mit der vorgesehenen Architektur in der Praxis mit externen Testeinrichtungen nur schwer ein DC von mehr als 90 erreicht wird k nnen unerkannte Erstiehler zum Verlust der Sicherheitsfunktion f hren Aus diesen Gr nden wird der maximale PL der mit Kategorie 2 erreicht werden kann auf PL d begrenzt Abbildung 6 6 Vorgesehene Architektur f r Kategorie 2 gestrichelte Linien kennzeichnen vern nftigerweise durchf hrbare Fehlererkennung 0 Eingang Ausgang OTE Ausgang der Testeinrichtung TE Testeinrichtung Verbindung berwachung angemessene Fehlererkennung 6 2 6 Kategorie 3 Zus tzlich zu den Anforderungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 3 bew hrte Sicherheitsprinzipien verwenden und so gestaltet werden dass ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion f hrt Wann immer in angemessener Weise durchf hrbar muss ein einzelner Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt werden F r die MTTF jedes Kanals sind Werte von ni
153. mmt sich die Wahrscheinlichkeit eines gef hrlichen Ausfalls und somit der erreichte PL Die Revision der DIN EN ISO 13849 1 l sst die zu verwendenden Berechnungsmethoden offen So darf man durchaus die hoch komplexe Markov Modellierung unter Ber cksichtigung der oben genannten Parameter nutzen Die Norm beschreibt jedoch ein sehr vereinfachtes Vorgehen n mlich die Benutzung eines S ulendiagramms siehe Abbil dung 6 10 in dem diese Modellierung des PL schon vorweg genommen ist F r Experten Die Herleitung des S ulen diagramms findet sich in Anhang G Die Kategorien bleiben auch nach der Revision der Norm das Fundament bei der Bestimmung des PL An ihrer Definition hat sich im Wesentlichen nichts ge ndert allerdings werden zus tz liche Anforderungen an die Bauteilg te und an die Wirksamkeit der Diagnose gestellt Erg nzend werden f r die Kategorien 2 3 und 4 ausreichende Ma nahmen gegen Ausf lle infolge gemein samer Ursache gefordert siehe Tabelle 4 1 Einen berblick ber die Kategorien liefert Tabelle 6 2 in der die drei rechten Spalten die Neuerungen in der Norm aufzeigen Ein wesentlicher Aspekt bei der Verwendung der vorgeschla genen einfachen Rechenmethoden ist die Darstellung der Kategorien als logische Blockschaltbilder den sogenannten vorgesehenen Architekturen Designated Architectures Da die Kategorien Fehlerbetrachtungen Fehlervermeidung und beherrschung erfordern kommen zus tzliche Aspekte hinzu
154. mplementation of the requirements in real case control systems Numerous example circuits show down to component level how Performance Levels a to e can be engineered in the selected technologies with categories B to 4 The examples also provide information on the safety principles employed and on components with well tried safety functionality Numerous literature references permit closer study of the examples provided The report shows that the requirements of DIN EN ISO 13849 can be implemented in engineering practice and thus makes a contribution to consistent application and inter pretation of the standard at national and international level Resume Securite fonctionnelle des commandes de machines Application de la norme DIN EN ISO 13849 La norme DIN EN ISO 13849 S curit des machines Parties des syst mes de commande relatives la s curit met des prescriptions pour la conception de parties de syst mes de com mande relatives la s curit Ce rapport pr sente les l ments essentiels de la norme dans sa version largement r vis e de 2007 et explique son application l aide de nombreux exemples issus des secteurs de l lectrom canique la fluidique l lectro nique et l lectronique programmable mais aussi des comman des de technologies diverses On y montre le lien existant entre la norme et les exigences de s curit de base contenues dans la directive Machines et certaines proc dures d
155. n d Verhinderung des Absturzes der Achse im Einrichtbetrieb e Ausweichen des Roboters bei Betreten seines Gefahrenbereiches Von Risikoanalyse DIN EN ISO 12100 Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF f r jede SF zu Realisierung und PL Ermittlung Abb 6 1 f Verhinderung des Einzugs von Personen g Unterbrechung der durch Zwei Hand Bedienung gesteuerten Schlie bewegung bei Eingriff einer zweiten Person in den Gefahrenbereich Ausl sung durch Lichtgitter H ufig verwendet man zusammengesetzte Sicherheitsfunk tionen wie im Beispiel in Abschnitt 5 7 siehe Seite 32 Durch die elektronische Ansteuerung wird die Bewegung zun chst bis zum Stillstand abgebremst und anschlie end f llt eine mecha nische Haltebremse ein Hinweise zu m glichen Sicherheits funktionen geben die folgenden Tabellen In Tabelle 5 1 sind die Sicherheitsfunktionen nach Abschnitt 5 1 der DIN EN ISO 13849 1 zusammengefasst und um Beispiele f r m gliche Anwendungen erg nzt Hier ist auch die Funktion zum Stillsetzen im Notfall enthalten die zwar kein Bestandteil einer Schutzeinrichtung ist aber zur Realisierung einer erg nzenden Schutzma nahme verwendet wird siehe Abschnitt 5 5 Tabelle 5 2 siehe Seite 28 zeigt weitere Sicherheitsfunktionen f r sichere Antriebssteuer ger te nach DIN EN 61800 5 2 PDS SR Power Drive Systems Safety Related 19 Diese Norm enth lt u a die h ufig
156. n die Steuerung aufgebaut wird geht entscheidend in die Gesamtzuverl ssigkeit des Systems ein Als Zuverlassigkeits kennwert flie t daher die sogenannte mittlere Zeit bis zum gefahrbringenden Ausfall MTTF Mean Time to Dangerous Failure in den PL mit ein Dass es hier um Ausf lle geht also Bauteildefekte die zu einer Nicht Mehr Ausf hrung der vorgesehenen Funktion f hren ist klar ersichtlich Die ande ren Namensbestandteile bed rfen allerdings einiger Erl ute rung Mittlere weist darauf hin dass es sich um einen statis tischen Mittelwert handelt der sich nicht auf ein Einzel bauteil bezieht sondern als Erwartungswert der mittleren Lebensdauer des typischen Bauteils definiert ist Der Erwar tungswert des Einzelbauteils kann dabei dem Mittelwert einer Vielzahl gleichartiger Bauteile gleichgestellt werden Es handelt sich also nicht um eine garantierte Mindest lebensdauer im Sinne einer ausfallfreien Zeit Diese gemittelte Sichtweise schl gt sich auch darin nieder dass blicherweise keine Anpassung der Lebensdauerwerte an die Einsatzbedingungen z B Last Temperatur Klima erfolgt solange die Bauteile innerhalb ihrer spezifizierten Einsatzbedingungen eingesetzt werden Hier geht man blicherweise davon aus dass die h here Belastung in einer Anwendung eines Ger ts durch eine niedrigere Belastung in einer anderen Applikation wieder aus gemittelt wird Sind allerdings in allen Anwendungen erh hte Be
157. n aber wie in Kategorie B keine Anforderungen gestellt Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion f hren Jedoch ist die MTTF des Kanals in Kategorie 1 gr er als in Kategorie B Folglich ist der Verlust der Sicherheitsfunktion weniger wahrscheinlich und der maximale PL der mit Kategorie 1 erreicht werden kann ist PL c Die vorgesehene Architektur f r Kategorie 1 ist die gleiche wie f r Kategorie B siehe Abbildung 6 5 da die Unterschiede in der Bauteilzuverl ssigkeit und nicht in der Struktur liegen 6 2 5 Kategorie 2 Zus tzlich zu den Anforderungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 2 bewahrte Sicherheitsprinzipien verwenden und so gestaltet sein dass ihre Sicherheitsfunktionen in angemessenen Zeitabstanden durch die Maschinensteuerung getestet werden Die Sicherheitsfunktion en muss m ssen getestet werden beim Anlauf der Maschine und vor dem Einleiten einer Gefahrdungssituation z B Start eines neuen Zyklus Start anderer Bewegungen und oder perio disch w hrend des Betriebs wenn die Risikobeurteilung und die Betriebsart zeigen dass dies notwendig ist Diese Tests k nnen automatisch eingeleitet werden Jeder Test der Sicherheitsfunktion en muss entweder den Betrieb zulassen wenn keine Fehler erkannt wurden oder einen Ausgang f r die Einleitung geeigneter Steuerungs ma nahmen erzeugen wenn ein Fehler e
158. n hohen Stellenwert im Sinne einer nachvoll ziehbaren Entwicklung Man sollte beachten dass ein Produkt unter Umst nden von jemand anderem als dem Entwickler weiter gepflegt wird Details zur erforderlichen Dokumentation im Rahmen des iterativen Gestaltungsprozesses von SRP CS finden sich im Abschnitt 6 3 8 zu Software und in den Abschnit ten 7 1 4 ff Erw hnt sei an dieser Stelle dass Dokumente ein deutig identifizierbar sein m ssen eine sogenannte Versions verwaltung ist also ein Muss F r die korrekte Umsetzung von Sicherheitsfunktionen wird nicht zuletzt der Inhalt der Benut zerinformationen ma geblich sein DIN EN ISO 13849 1 enth lt in Kapitel 11 eine Liste der Informationen die in der Benutzer information mindestens enthalten sein m ssen Der Inhalt der herstellerinternen technischen Dokumentation von SRP CS wird in Kapitel 10 der Norm aufgelistet Auch der Gesetzgeber erteilt Auflagen zur Dokumentation Kasten 6 2 siehe Seite 42 zeigt den Inhalt der erforderlichen technischen Unterlagen f r Maschinen aus der zuk nftigen neuen europ ischen Maschinenricht linie 2006 42 EG 8 die ab 29 Dezember 2009 anzuwenden ist Kasten 6 1 Allgemeines Gliederungsschema f r eine Spezifikation der Sicherheitsanforderungen 1 Allgemeine Produkt und Projektangaben 1 1 Produktidentifikation 1 2 Autor Version Datum Dokumentenname Dateiname 1 3 Inhaltsverzeichnis 1 4 Begriffe Definitionen Glossar 1 5 Versionshistorie und
159. n zeitlich und logisch ausgewertet werden wozu sich z B eine programmierbare Elektronik anbietet die in der Regel auch die Bewegung des Pressbalkens und Messers steuert Diese werden hier wegen der erforderlichen hohen Kr fte hydraulisch angetrieben Im Sinne des Kapitels 5 siehe Abschnitt 5 3 2 enth lt die Sicherheitsfunktion beide Aktoren Pressbalken und Messer da sie sich an derselben Gefahren stelle befinden Abbildung 6 15 siehe Seite 68 zeigt in einem elektrohydraulischen Prinzipschaltplan wie die sicherheits relevanten Steuerungsteile konkret realisiert werden Die hier wie auch im Kapitel 8 gew hlte Darstellung als Prinzipschaltplan muss aus Gr nden der bersichtlichkeit nat rlich viele Details unterschlagen Neben dem Gro teil der funktionalen Steuerungs teile die f r ein prozessgerechtes Funktionieren der Maschine notwendig sind werden auch sicherheitsrelevante Details wie Schutzbeschaltungen Sicherungen EMV oder Peripherie Energieversorgung Takt usw f r den Logikteil ausgelassen Wegen der notwendigen Einfehlersicherheit bzw Toleranz gegen ber Anh ufung unerkannter Fehler sind in der Praxis z B auch Entkopplungselemente zwischen den verbundenen Eing ngen beider Logikkan le erforderlich damit ein fehlerhafter Eingang eines Kanals nicht auch den anderen Kanal st rt Es ist daher wichtig zu verstehen dass ein solcher Prinzipschaltplan keine direkte Vorlage zum Nachbau ist sondern die sicherhei
160. nceakt gewagt sowohl den deterministischen Ansatz der Kategorien als auch den Aspekt der sicherheits technischen Zuverlassigkeit mit der Definition des Performance Level PL zu vereinen siehe auch 15 Zahlenm ig gibt es dabei korrespondierende Klassen siehe Abbildung 3 2 die im praktischen Alltag schnell erste Abschatzungen erlauben Schon im Entwurfsstadium der beiden Normen DIN EN ISO 13849 1 und DIN EN 62061 wurde von Mitgliedern der Normenkomitees eine Information zur empfohlenen Anwendung erarbeitet und nahezu wortgleich in den Einleitungen der Normen ver ffentlicht Zentrales Element ist dabei eine Tabelle die dem Leser eine Hilfestellung zur Auswahl der passenden Norm f r seinen Anwendungsfall geben soll Diese bersicht muss jedoch als veraltet gelten da sie in Bezug auf DIN EN ISO 13849 1 den Stand des Entwurfs wiedergibt Die genannten Einschr nkungen sind f r die aktuelle Fassung der Norm nicht mehr g ltig Faktisch gibt es keine Beschr nkungen mehr lediglich muss sicherheits bezogene Embedded Software SRESW bei Nichtvorliegen vollst ndiger Diversit t dem Abschnitt 7 der DIN EN 61508 3 2002 entsprechen siehe auch Abschnitt 6 3 dieses Reports Auch sind die vorgesehenen Architekturen im Sinne der Norm eher ein Angebot vereinfachter Ansatz als eine Verpflichtung Sie sind jedoch als zentrales Element der Vereinfachung des nun in DIN EN ISO 13849 implementierten probabilistischen Ansatzes zu verstehen und ihre
161. ndige Maschinen und die Montageanleitung f r solche unvollst ndigen Maschinen gegebenenfalls eine Kopie der EG Konformit tserkl rung f r in die Maschine eingebaute andere Maschinen oder Produkte eine Kopie der EG Konformit tserkl rung bei Serienfertigung eine Aufstellung der intern getroffenen Ma nahmen zur Gew hrleistung der bereinstimmung aller gefertigten Maschinen mit den Bestimmungen dieser Richtlinie 42 6 1 2 Systematische Ausf lle Systematische Ausf lle haben im Gegensatz zu zufalligen Bauteilausf llen Ursachen die nur durch eine Anderung z B der Gestaltung oder des Herstellungsprozesses der Betriebsverfahren oder der Dokumentation beseitigt werden k nnen Sie entstehen irgendwann im Laufe des Lebenszyklus eines Produktes z B durch Fehler in der Spezifikation im Entwurf oder bei einer nderung von SRP CS Die Realisierung mehrkanaliger Struk turen und auch die Betrachtung der Wahrscheinlichkeit von Bauteilausf llen sind wichtige Elemente der sicherheitstech nischen Gestaltung Was helfen die sch nsten Zahlen zur Ausfall wahrscheinlichkeit wenn prinzipielle Aspekte nicht ber cksich tigt wurden Wird beispielsweise ein Produkt nicht richtig oder in der falschen Umgebung eingesetzt droht m glicherweise ein systematischer Ausfall Dieser Tatsache wird DIN EN ISO 13849 1 im Zusammenspiel mit Teil 2 gerecht wenn sie f r das Errei chen eines PL fordert auch m gliche systematische Ausf lle zu ber cksich
162. nem spezifizierten Bereich befindet wird ein sicheres Ausgangssignal erzeugt Safe Speed Monitor Sichere Geschwindig Wahrend die Motordrehzahl niedriger als ein spezifizierter Wert ist keitsuberwachung wird ein sicheres Ausgangssignal erzeugt Safely Limited Sicher begrenztes Schrittma Der Motor wird um ein spezifiziertes Schrittma verfahren und Increment stoppt anschlie end Du Safely Limited Sicher begrenzte Position Das berschreiten eines Positionsgrenzwerts wird verhindert Position Sicherer Beschleunigungsbereich Die Beschleunigung des Motors wird innerhalb spezifizierter Grenzwerte gehalten 5 3 2 Beispiele bei denen die Definition der Sicherheitsfunktion Einfluss auf die sp tere Berechnung des PL hat In sp teren Kapiteln wird gezeigt wie die durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde f r eine Sicherheitsfunktion berechnet werden kann Die Grundlagen hierf r werden jedoch bereits hier bei der Definition der Sicher heitsfunktion festgelegt Die Realisierung einer Sicherheitsfunk tion bestimmt naturgem die Art und den Umfang der hierf r ben tigten Komponenten Die Definition der Sicherheitsfunktion hat daher erhebliche Auswirkungen auf die Bestimmung der sicherheitsgerichteten Zuverl ssigkeit In den folgenden Bei spielen soll dieser Sachverhalt erl utert werden Beispiel 1 Sicherheitsfunktion Stillsetzen beim ffnen der Schutzt r Beim ffnen der Schutzt r hat e
163. nenanlage wird es eine Teilmenge von Arbeiten f r den Programmierer geben Die Soft warespezifikation ist damit Teil des Gesamtkonzepts und folglich als Vertrag mit einem Unterauftragnehmer dem Program mierer zu bewerten Zun chst macht die Softwarespezifikation Vorgaben f r die Gestaltung und die Codierung der Software Die anderen an der Sicherheit beteiligten Elemente m ssen sich auf die Umsetzung der Funktionen in der Software verlassen k nnen Daher ist die Spezifikation auch Grundlage f r die Abnahme der Software Die Validierung der Softwarefunktionen muss zeigen ob der Vertrag erf llt wurde Im Bereich der SRASW ist dies sogar w rtlich zu nehmen da Projektierung und Programmierung einer Steuerung oft vom Verantwortlichen der Gesamtsicherheit an andere Unternehmen oder Unternehmensbereiche vergeben werden Dann sollte die Spezifikation auch eine vertragsverbind liche Schnittstelle zu externen oder internen Dienstleistern sein 6 3 3 System und Modulgestaltung f r das sicherheitsbezogene Pflichtenheft Die Softwarearchitektur ist durch das Betriebssystem oder Entwicklungswerkzeug meist bereits festgelegt In der Gestaltung wird dar ber hinaus festgelegt mit welcher Struktur und mit welchen Modulen die spezifizierten Sicherheitsteilfunktionen realisiert werden sollen Es ist zu entscheiden welche bereits vorhandenen Bibliotheksfunktionen eingesetzt werden und ob eventuell projektspezifische neue F
164. ngsmerkmale wie maximale Reaktionszeit Reaktionen im Fehlerfall O vorgesehene Schnittstellen zu anderen Systemen usw dargestellt Neben diesen funktionalen Anforderungen ist auch der von den Sicherheitsfunktionen zu erreichende PL der PL anzugeben damit die notwendigen fehlervermeidenden Ma nahmen siehe weiter unten ausgew hlt werden k nnen Diese Spezifikation auch sicherheitsbezogenes Software Lastenheft genannt ist zu verifizieren indem z B eine an der Erstellung dieses Dokuments unbeteiligte Person gegenliest Diese muss erstens best tigen dass dieses Lastenheft mit der bergeordneten Spezifikation bereinstimmt und zweitens dass auch die Anforderungen an die Form wie eine Softwarespezi fikation zu schreiben ist erf llt sind Die Spezifikation sollte so strukturiert und ausf hrlich erstellt werden dass sie gleichzeitig als Checkliste zur sp teren Validierung dienen kann Die gesamte Sicherheit einer Maschine bzw Maschinenanlage wird durch alle sicherheitsbezogenen Teile der Steuerung und deren Funktionen Komponenten aller Technologien Elektronik Software gew hrleistet Hier ist also eine Beschreibung der Sicherheit f r die Maschine bzw Maschinenanlage in Form einer Spezifikation notwendig Das Dokument muss nicht Hunderte von Seiten umfassen sondern kann sich durchaus in verst ndlicher 59 Form auf das Wesentliche beschr nken Nach den Festlegungen zur Gesamtheit der Maschine bzw Maschi
165. nhang G 6 2 15 Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF Der letzte Parameter der bei der vereinfachten Quantifizierung der Ausfallwahrscheinlichkeit eine Rolle spielt betrifft Aus f lle infolge einer gemeinsamen Ursache CCF Common Cause Failure Dabei handelt es sich um korrelierte gefahrbringende Ausf lle z B in beiden Kan len eines redundanten SRP CS die auf eine einzige Ursache zur ckzuf hren sind Beispiele hierf r sind ung nstige Umgebungsbedingungen oder berbelastungen die beim Entwurf der Steuerung nicht ausreichend ber cksichtigt wurden Bei unzureichender Trennung der Kan le kann es dann zu gefahrbringenden Folgefehlern kommen die die beabsich tigte Einfehlertoleranz au er Kraft setzen Die Relevanz dieser Effekte in einem konkreten System l sst sich nur schwer quan titativ absch tzen siehe auch Anhang F Im Anhang D der DIN EN 61508 6 27 wird dazu das sogenannte Beta Faktor Modell bem ht das die Ausf lle gemeinsamer Ursache als B mal ins Verh ltnis setzt zur gefahrbringenden Ausfallrate eines Kanals g Ohne eine genaue FMEA kann f r reale SRP CS allerdings bestenfalls gesch tzt werden DIN EN ISO 13849 1 bietet dazu eine Checkliste aus acht wichtigen Gegenma nahmen an die mit 5 bis 25 Punkten bewertet werden physikalische Trennung der Signalpfade unterschiedlicher Kan le 15 Punkte Diversit t in der Technologie der Gestaltung oder den physikalischen Pri
166. nicht berzubewerten Ergeben sich tats chlich f r einen Kanal weni ger als drei Jahre sollten die Bauteile durch solche mit h herer Zuverl ssigkeit ausgetauscht werden da sonst noch nicht einmal PL a erreicht werden kann Mehr als 100 Jahre mittlere Lebens dauer sind nicht un blich tragen aber wegen der Kappung nicht mehr zum PL bei da in der Bauteilzuverl ssigkeit bereits der H chstwert von 100 Jahren in Rechnung gestellt wird Sind mehrere Kan le an einer Steuerung beteiligt so ist zun chst nicht klar welcher Wert stellvertretend f r das ganze System herangezogen werden soll Nat rlich k nnte man hier vorsich tigerweise den kleineren Wert nehmen zu immer noch sicheren aber besseren Ergebnissen f hrt allerdings folgende Mittelungs formel C1 und C2 bezeichnen hierbei die beiden Kan le die symmetrisiert werden 2 A A EEE 2 MEU i MTTF o Bei ausgeglichenen Kan len entspricht der so ermittelte MTTF Kennwert der MTTF eines Kanals Bei unausgewogenen Kan len ergibt sich eine mittlere MTTF die minimal zwei Drittel des besseren Wertes betragen kann Hier kann zus tzlich der Effekt auftreten dass der bessere Kanal vorher auf 100 Jahre MTTF gekappt wurde und der symmetrisierte Wert dadurch weniger als 100 Jahre betr gt Es ist daher in der Regel effektiver m glichst Kan le ausgeglichener Zuverl ssigkeit zu realisieren Das Resultat dieses Verfahrens ist in jedem Fall unabh ngig von der Zahl un
167. nktion O Reaktion en beim Erkennen eines Fehlers der Sicherheitsfunktion Ansprechzeit Haufigkeit der Bet tigung ggf eine Priorit t falls mehrere Sicherheitsfunktionen gleichzeitig aktiv sein k nnen Festlegung sicherheitsbezogener Parameter z B der maximal zul ssigen Geschwindigkeit erforderlicher Performance Level PL 28 Motor verz gert berwachung Bremsrampe und STO nach Stillstand oder STO nach Ablauf einer Verz gerungszeit Stopp Kategorie 1 nach DIN EN 60204 1 Motor verz gert berwachung Bremsrampe und SOS nach Stillstand oder SOS nach Ablauf einer Verz gerungszeit Stopp Kategorie 2 nach DIN EN 60204 1 SOS Safe Operating Stop Sicherer Betriebshalt Motor steht still und widersteht externen Kr ften Sicher begrenzte Beschleunigung Das berschreiten eines Beschleunigungsgrenzwerts wird verhindert Safely Limited Speed Sicher begrenzte Geschwindigkeit Das berschreiten eines Geschwindigkeitsgrenzwerts wird verhindert Safely Limited Torque Sicher begrenztes Moment Das berschreiten eines Drehmoment Kraftgrenzwerts wird verhindert Sichere Bewegungsrichtung Die nicht beabsichtigte Bewegungsrichtung des Motors wird verhindert Safe Motor Sichere Motortemperatur Das berschreiten eines Motortemperaturgrenzwerts wird Temperature verhindert Safe Brake Control Sichere Bremsenansteuerung Sichere Ansteuerung einer externen Bremse Safe Cam Sicherer Nocken Wahrend sich die Motorposition in ei
168. nktion an der kompletten Maschine geh rt allerdings eine Reihe weiterer Aspekte wie z B die Bemessung von Nachl ufen und Sicherheitsabst nden 7 3 Validieren des PL der SRP CS Dieser Abschnitt beschreibt die Pr fung einzelner SRP CS Die Vorgehensweise zur Pr fung einer Kombination mehrerer SRP CS zu einer Sicherheitsfunktion wird in Abschnitt 7 5 erl utert F r die SRP CS muss der PL Quantifizierung der Ausfallwahr scheinlichkeit abgesch tzt werden In den folgenden Abschnitten werden die Validierungsschritte der Teilaspekte benannt die in die Berechnung des PL einflie en Dies sind zum einen quanti fizierbare Aspekte wie MTTF Werte f r einzelne Bauteile DC CCF und die Kategorie und zum anderen qualitative Aspekte wie das Verhalten der Sicherheitsfunktion unter Fehlerbedingungen sowie sicherheitsbezogene Software systematische Ausf lle und das funktionale Verhalten unter Umgebungsbedingungen Im Anschluss an die Beurteilung der Einzelaspekte wird beschrie ben wie die Absch tzung des PL kontrolliert werden kann 7 3 1 Validieren der Kategorie Ziel der Kategorievalidierung ist die Best tigung aller gestellten Anforderungen an die durch die SRP CS realisierte Kategorie siehe Abschnitt 6 2 Dazu notwendige Dokumente sind insbe sondere Spezifikationen der SRP CS Konstruktionsbeschreibungen Blockdiagramme bzw Strukturbeschreibungen Schaltpl ne Fehlerlisten Um eine Aussage dar ber treffen zu k
169. nktion entscheidende Faktoren In DIN EN ISO 13849 1 werden vier Elemente betont Entwicklungswerkzeuge Zur Entwicklung sind geeignete und f r den Einsatz bew hrte Werkzeuge gefordert In der Regel werden f r SRASW zerti fizierte Werkzeuge f r Sicherheitskomponenten eingesetzt Merkmale wie die Vermeidung und Aufdeckung von seman tischen Fehlern Einhaltung von Sprachteilmengen oder berwachung von Programmierrichtlinien entlasten den Programmierer und erh hen die Softwarequalit t 61 Bibliotheken mit Softwarefunktionen Die Systemgestaltung sollte vorhandene oder mitgelieferte Bibliotheken ber cksichtigen und validierte Funktionen soweit praktikabel einsetzen Es gilt Je mehr das Pro gramm auf bereits validierten oder sogar zertifizierten Funk tionen basiert umso weniger projektspezifische Softwareteile sind vom Inbetriebnehmer oder einer externen Organisation noch selbst zu validieren Der Systemintegrator ist gut bera ten f r typische wiederkehrende Funktionen entsprechende Bausteine Module mit dem notwendigen Aufwand nach DIN EN ISO 13849 1 selbst zu entwickeln sodass sie auch von unabh ngigen Personen regelm ig und ohne Fehler wieder verwendbar bzw pr fbar sind Auch einzelne Bibliotheksfunktionen erfordern Spezifikation Gestaltung Testplan Validierung usw O Geeignete Programmiersprachen F r SRASW werden applikationsorientierte Sprachen z B gem DIN EN 61131 3 33 empfohlen Selbst diese
170. nnnnnnnnnnnnnnnnnnnssnnnnnnnnnssnnsnsnsnnnnnnnnnssnssssnsssssnsnsssssssssnnnnnnn 249 Anhang SU CHOC AS a casses ananas da nee een A d arm see nee eee este ta tin adore ie annees 253 Vorwort Vor zehn Jahren erschien der BIA Report 6 97 Kategorien fur sicherheitsbezogene Steuerungen nach EN 954 1 der sich im Laufe der Zeit als Bestseller herausstellte Mehr als 12000 deutsch und 6000 englischsprachige gedruckte Exemplare wurden seitdem versendet noch h her sind die Zahlen der Downloads auf den Internetseiten des BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Selbst ins Japanische ist der Report bersetzt worden In diesen zehn Jahren werden nun schon sicherheitsrelevante Steuerungen von Maschinen ob mechanisch pneumatisch hydraulisch oder elektrisch nach DIN EN 954 1 erfolgreich in f nf Kategorien eingeteilt Mit dem Vormarsch programmier bar elektronischer Systeme ergab sich aber die Notwendig keit einer grundlegenden Revision dieser Norm Diese schwie rige Aufgabe hat nun mit der Publikation der Norm DIN EN ISO 13849 1 2007 07 ihren Abschluss gefunden Wesentliche Neuerung ist die Einbeziehung wahrscheinlichkeitstheore tischer Ans tze zur sicherheitstechnischen Beurteilung und Aus legung von Steuerungen Dieser Ansatz mit der Betrachtung von Ausfallwahrscheinlichkeiten von Bauteilen ist in der elektrischen Sicherheits Grundnormen Reihe DIN EN IEC 61508 verankert Mit dem Ans
171. nzipien der Kan le 20 Punkte 55 e Schutz gegen m gliche Uberbelastungen 15 Punkte und Verwendung bew hrter Bauteile 5 Punkte Ausfalleffektanalyse in der Entwicklung zur Aufdeckung potenzieller Ausfalle infolge gemeinsamer Ursache 5 Punkte Schulung der Konstrukteure Monteure hinsichtlich CCF und ihrer Vermeidung 5 Punkte O Schutz vor durch Verunreinigung mechanische und fluidische Systeme bzw elektromagnetische Beeinflussung elektrische Systeme ausgel ste Ausf lle infolge gemeinsamer Ursache 25 Punkte e Schutz vor durch ung nstige Umgebungsbedingungen aus gel ste Ausf lle infolge gemeinsamer Ursache 10 Punkte Die f r eine Gegenma nahme genannten Punkte sollen nur vollst ndig oder gar nicht vergeben werden eine halbe Umsetzung der Gegenma nahmen wird nicht durch Punkte belohnt allerdings k nnen subsystemweise unterschiedliche Ma nahmenb ndel gegen CCF wirken Werden alle acht Gegen ma nahmen erf llt w rde sich eine maximale Summe von 100 Punkten ergeben Allerdings fordert DIN EN ISO 13849 1 nur eine Mindestsumme von 65 Punkten und dies auch nur f r Legende PFH PL Performance Level Abbildung 6 10 S ulendiagramm MTTF jedes Kanals zur RER M TTF j e d es Ka na Is PL Bestimmung aus der Kategorie inklusive M TTF j e d es Ka na Is d Ma nahmen gegen CCF dem DC und der MTTF 56 SRP CS in den Kategorien 2 3 und 4 Bei Kategorie 2 Systemen geht es d
172. och sein wie die gefahrbringende Ausfallrate der davon ber wachten Komponenten im Zweifel l sst sich dieser Vergleich kanalweise durchf hren sodass der MTTF Wert des gesam ten Testkanals nicht kleiner sein sollte als der halbe MTTF Wert des Funktionskanals O Die Wirksamkeit einer bestimmten Testmafsnahme z B Fehlererkennung durch den Prozess kann sehr stark von der Anwendung abh ngig sein und durchaus zwischen 0 und 99 schwanken Hier ist bei der Auswahl eines der DC Eckwerte besondere Sorgfalt notwendig Es kann vorkommen dass Komponenten oder Bl cke durch mehrere Tests berwacht werden oder dass auf verschiedene Teile unterschiedliche Tests wirken und hieraus ein Gesamt DC f r die Komponente oder den Block ermittelt werden muss Anhang E gibt einige Hilfestellungen zu diesen Fragen Speziell bei programmierbaren elektronischen Systemen ist eine Vielzahl komplexer Fehler denkbar sodass auch an die Komplexit t der Tests entsprechende Anforderungen gestellt werden Hier verlangt DIN EN ISO 13849 1 falls mehr als 60 DC f r die programmierbare oder komplexe Logik gefordert werden mindestens eine Ma nahme f r variante Speicher invariante Speicher und die Verarbeitungseinheit soweit vorhanden mit mindestens je 60 DC Sind die DC Werte aller Bl cke schlie lich bekannt wird der DC vg Wert f r das System mit der N herungsformel 4 berechnet Diese gewichtet die einzelnen DC mit der zugeh rigen M
173. ocontrollerkanals zu berwachen Auf zwei Details zu systematischen Ausf llen die im ersten Fall mit der Applikation und im zweiten Fall mit dem Entwurfsprozess zusammenh ngen sei besonders hingewiesen Bei der Gestaltung des Hydrauliksystems f r Planschneide maschinen ist der Papierstaubanfall zu ber cksichtigen So kann z B mit Papierstaub verunreinigtes Hydraulik l die sichere Funktion einer Planschneidemaschine gef hrden Aus diesem Grund muss im Besonderen auf eine gute Filtrierung des Druckmediums geachtet werden Weiterhin muss das externe Einbringen von Papierstaub in das Hydrau liksystem durch z B Abstreifringe an Kolbenstangen und Tankbel ftungsfilter verhindert werden Neu gt ffnen hol Speichern gt Schieten Adi Bibliothek c Drucken Hille 2 Wizard A FE Zusammenfassung Eingabemasken aa 8 5 5 Projekte El PR Planschneide Maschine Diversit s E SF Ortsbindung der H nde des Bedieners Dokumentation PL CH Kanal E BL Schlie erkontakt des Tasters 51 EL 51 13 14 B BL Olins konitakt des Taster 2 EL 52 21 22 BL Mikrocontroller K1 EL Mikrocontroller EL Peripherie BL Hilsschutz K3 EL Hilfsechutz K3 BL H lssch ltz K4 EL Hilfssch tz K4 BL Hydraulik ventd 144 EL Hydraulik went 144 BL Hydraulikventi 242 EL Hydrauikventil 2 2 m m m i m Subsystem Kategorie MTTFd DCavg CCF BL S
174. offen wurden Letztendlich dient der gesamte Prozess der Risikominderung dazu die Art und auch die Qualit t der zu treffenden Schutzma nahme bzw Schutzeinrichtung zu bestimmen Das Verfahren zur Risikominderung beginnt mit der Festlegung der Grenzen der Maschine Neben den r umlichen Grenzen und der zeitlichen Nutzung einer Maschine sind insbesondere die Verwendungsgrenzen zu ber cksichtigen Dazu geh ren die bestimmungsgem e Verwendung z B zul ssige Materialien die verarbeitet werden d rfen der Maschine einschlie lich aller Betriebsarten und der unterschiedlichen Eingriffsm glichkeiten Au erdem muss die vern nftigerweise vorhersehbare Fehl anwendung der Maschine ber cksichtigt werden Anschlie end folgt die Identifizierung der Gef hrdungen bei der samtliche Phasen der Lebensdauer einer Maschine zu ber ck sichtigen sind neben dem Automatikbetrieb insbesondere die Betriebsarten die manuelle Eingriffe erfordern z B f r das Einrichten das Pr fen das Teachen Programmieren die Inbetriebnahme die Maschinenbeschickung die Produktentnahme die Fehlersuche und Fehlerbeseitigung die Reinigung die Instandhaltung Weitere Details zu diesem Prozessschritt sind in DIN EN ISO 12100 1 und DIN EN 14121 1 4 zu finden F r die systematische Identifizierung der Gef hrdungen gibt es verschiedene Verfahren Beispiele finden sich in ISO DTR 14121 2 5 Dar ber hinaus sind m gliche Gef hrdung
175. oller und K2 ASIC zugef hrt Erf llen diese Signale die Anfor derungen an die Gleichzeitigkeit nach der relevanten Norm DIN EN 574 setzen beide Verarbeitungskan le die Ausg nge Hilfs sch tze K3 bis K6 f r eine g ltige Schnittanforderung Die beiden Verarbeitungskan le arbeiten synchron und werten auch interne Zwischenzust nde der zyklischen Signalverarbeitung gegenseitig aus Abweichungen von definierten Zwischenzust n den f hren zum Stopp der Maschine Ein Verarbeitungskanal wird durch einen Mikrocontroller K1 und der andere durch einen ASIC K2 gebildet K1 und K2 f hren w hrend des Betriebs im Hinter grund Selbsttests durch Fehler in den Stellteilen S1 S2 und in den Hilfssch tzen K3 bis K6 mit zwangsgef hrten R cklesekontakten werden durch Kreuz vergleich in den Verarbeitungskan len erkannt ber die Druckschalter 153 und 251 werden Ausf lle der Ventile 1V3 1V4 und 2V1 2V2 bemerkt Ein Ausfall der Ventile oder ein H ngenbleiben im offenen Zu stand von 1V4 bzw 2V2 wird durch eine stark verz gerte Ruckzug geschwindigkeit der Hydraulikzylinder bemerkt Durch geeignete Auswertung der Drucksignale Druckabfallzeit erfolgt dies auch steuerungstechnisch Ein Ausfall der Ventile oder ein H ngenbleiben im offenen Zu stand von 1V3 bzw 2V1 wird unmittelbar durch die berwachung des Signalwechsels der Druckschalter 153 bzw 251 bemerkt Denn dann w rde ein Druck signalisiert obwohl kein Druck anstehen d rf
176. ommene Gebrauchsdauer von 20 Jahren ist er f r die weitere Berechnung nicht relevant T W 23 15 Jahre 8 N 86 400 Zyklen Jahr Die MTTF Werte f r die Ventile 1V3 1V4 2V1 und 2V2 k nnen nach dem Verfahren guter ingenieurm iger Praxis aus der Norm K rzel N selbst abgeleitet werden wenn die dort genannten Voraussetzungen eingehalten werden In der Summe f r einen Kanal 51 52 K1 K3 K4 1V4 2V2 ergibt sich nach Abschnitt 6 2 13 eine MTTF von 31 4 Jahren also hoch 1 1 1 1 1 1 1 1 1 t t t t t 0 9 MTTF 232 Jahre 232 Jahre 806 Jahre 232 Jahre 232 Jahre 150 Jahre 150 Jahre 31 4 Jahre Da der zweite Kanal die gleiche MTTF aufweist entf llt die sonst erforderliche Symmetrisierung Die Validierung der angenommenen DC Werte wird ebenfalls in Kapitel 7 n her beschrieben F r K1 und K2 werden z B hochwertige Selbsttests durch Software und Kreuzvergleich inklusive der f r Rechnersysteme erforderlichen speziellen Ma nahmen f r variante und invariante Speicher und die Verarbeitungseinheit durchgef hrt In der Summe ergibt sich f r den SRP CS nach Abschnitt 6 2 14 ein DC von 98 6 Jahren der unter Ausnutzung der 5 Toleranz im Bereich von hoch liegt 232 Jahre 232jJahre 806 Jahre 232Jahre 232 Jahre 150 Jahre 150 Jahre De oo 10 s 1 1 1 1 1 1 1 99 99 90 99 99 99 99 232 Jahre 232jJahre 806
177. orien 2 3 und 4 nachgewiesen werden dass bezogenen Anforderungen an die sicherheitsbezogenen Teile ausreichende Ma nahmen gegen CCF getroffen wurden Dies der Steuerung erreicht wurden siehe Block 7 Abbildung 4 1 geschieht anhand eines Punktesystems f r acht typische meist Weitere Details dazu finden sich im Kapitel 7 technische Gegenma nahmen bei dem mindestens 65 von 100 m glichen Punkten erreicht werden m ssen Anhang F 21 4 4 K nftige Entwicklung von DIN EN ISO 13849 1 Nach Erscheinen der berarbeiteten EN ISO 13849 1 im Novem ber 2006 gibt es eine dreijahrige Ubergangsfrist in der die Vor gangerfassung EN 954 1 parallel gultig bleibt Damit ist einer der meistgenannten Kritikpunkte der Umfang der Neuerungen die erst ihren Weg in die K pfe der Entwickler und Anwender finden m ssen entkr ftet Dieser Prozess wird wie zuletzt durch den BIA Report 6 97 vom BGIA auch diesmal durch frei verf gbare Anwendunsshilfen unterst tzt Dies erfolgt sowohl in Form erkl render und mit Beispielen versehener Literatur als auch durch das Freeware Programm SISTEMA Sicherheit von Steue rungen an Maschinen das die Berechnung und Dokumentation von PL und PL unterst tzt siehe Anhang H Bereits kostenlos verf gbar ist der vom BGIA entworfene Performance Level Calculator 16 der das S ulendiagramm in Form einer Dreh scheibe mit der der PL jederzeit einfach und genau ermittelt werden kann detailliert darstellt
178. prozess f r SRP CS z B nicht explizit auf die Phase der Instandhaltung eingeht so wird diese Phase ber erforderliche Inhalte in der Benutzer information ber cksichtigt Maschinensteuerung CS SRP CS als Subsystem Abbildung 6 2 SRP CS und Subsysteme innerhalb der Maschinensteuerung 38 SRP CS als Subsystem Abbildung 6 3 Lebenszyklen von Maschine und SRP CS Herstellung Verwendung Einrichten Teachen Programmieren Transport Zusammenbau und Installation oder Umr sten Betrieb Reinigung Inbetriebnahme Fehlersuche Instandhaltung AuRerbetriebnahme Demontage und Lebenszyklus der sofern die Sicherheit betroffen ist Entsorgung Maschine nach DIN EN ISO 12100 1 Spezifikation der Sicherheits Validierte funktionen peas Software ezogene Validierun ce Prozess der su Validierung Risikominderung nach EE DIN EN ISO 12100 1 Er ms gestaltung wenn Steuerung iene als Schutzma nahme Ss Software V Modell Abschnitt 6 3 Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF Bestimmen des erforderlichen PL PL Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DC CCF Software und systematische Fehler Fehlerlisten sas sai Sass ostra una fesait ER Ae y ra Anhang C Dokumente Analyse Abschnitt 7 1 4 Abschnitt 7 1 5 Kriterien f r Fehlerausschluss Anhang C
179. pruch weiterhin alle Technologien angemessen und vor allem praktikabel zu klassifizieren wurden die Kategorien erfolgreich in das umfassendere Konzept des Performance Level eingebettet 1 Fr her Berufsgenossenschaftliches Institut f r Arbeitssicherheit BIA Dem Normensetzer ist es nicht zuletzt durch die intensive Mit wirkung erfahrener Experten des BGIA gelungen die Nach folgenorm DIN EN ISO 13849 1 so zu gestalten dass sie bei aller Komplexit t der Materie praktisch anwendbar bleibt Sie liegt seit Mai 2007 harmonisiert vor Ein Positionspapier siehe Anhang Seite 249 des Verbandes Deutscher Maschinen und Anlagenbau e V VDMA unterst tzt ausdr cklich ihre Anwendbarkeit im deut schen Anlagen und Maschinenbau Deshalb ist nun der richtige Zeitpunkt f r einen neuen vollst ndig berarbeiteten BGIA Report zu sicherheitsrelevanten Steuerungen von Maschinen gekommen Mit den zunehmend komplexeren Technologien in der Sicherheitstechnik ndern sich auch die Anforderungen und Erwartungshaltungen an Anwendunsshilfen Der vorliegende Report und auch die im BGIA entwickelte Software SISTEMA Sicherheit von Steuerungen an Maschinen versuchen die Br cke zwischen alter und neuer Norm zu schlagen Sie bieten dem Leser bzw Anwender einen einfachen Einstieg in die neuen Methodiken Ein Team von 20 Autoren hat die Texte und vor allem die so wichtigen Schaltungsbeispiele erarbeitet diskutiert und validiert und f hrt
180. r Pneumatik Hydraulikdruck zu ber cksichtigen siehe Abschnitt 5 2 8 und Anhang G der Norm So k nnen z B Spannungsausfall Spannungsschwankungen und ber bzw Unterspannung den sicheren Zustand einer Maschine gef hrden Dies trifft insbesondere auf das Hochhalten von Lasten mit elektrischen und hydraulischen Antrieben Vertikalachsen zu Solche St rungen k nnen ihre Ursachen in Bauteilfehlern innerhalb der SRP CS haben dann werden ihre Auswirkungen auf den Performance Level in der Verifikation ber cksichtigt Liegen die Ursachen jedoch im Versorgungsnetz begr ndet oder wurde die Netz Trenneinrichtung Hauptschalter der Maschine bet tigt so entziehen sich diese Vorf lle einer quantitativen Ber cksichtigung und k nnen nur als systematische Ausf lle teilweise sogar als Betriebszustand betrachtet werden die vom SRP CS beherrscht werden m ssen sodass der sichere Zustand erreicht und oder aufrechterhalten wird Die Anforde rungen auf einen geringeren PL zu reduzieren z B weil der Ausfall der Energieversorgung selten vorkommt ist nicht zul ssig da die f r die Risikobeurteilung relevanten Parameter S F und P durch die Ber cksichtigung eines Energieausfalls nicht ver ndert werden Beispiel 2 Versagen von Pneumatik bzw Hydraulikventilen DIN EN ISO 13849 2 Tabelle B 1 Grundlegende Sicherheitsprin zipien der Pneumatik und Tabelle B 2 Bew hrte Sicherheits prinzipien der Pneumatik legt u a fest das
181. r eine qualit tssichernde Entwicklung z B nach DIN EN ISO 900x nach relevanten Produktstandards z B DIN EN 61131 2 f r SPS durchgef hrt hat Dies wird f r die meisten Standardkomponenten zutreffen Im Folgenden wird an einigen Stellen diversit re SRESW vorausgesetzt Als diversit r werden hier die SRESW zweier Komponenten bezeichnet wenn O es sich um unterschiedliche Komponenten mit unterschied lichen Betriebssystemen zweier verschiedener Hersteller handelt oder O wenn es sich um unterschiedliche Komponenten aus ver schiedenen Baureihen Produktfamilien desselben Herstellers handelt f r die vom Hersteller best tigt wird dass sie sich in der SRESW signifikant voneinander unterscheiden Beispiele bei SPS eine Komponente ist eine Kompakt SPS z B 16 bit CPU propriet res Betriebssystem die zweite Komponente ist eine Modular SPS z B 32 bit CPU Embedded Windows oder als weiteres Beispiel eine SPS und ein programmier bares Schaltrelais Sofern der Hersteller die Diversit t nicht best tigt wird in allen anderen F llen zwei gleiche SPS oder zwei vergleichbare aus derselben Baureihe vom selben Hersteller die SRESW beider Komponenten als nicht diversit r und somit homogen angenommen Falls f r die Erreichung des erforderlichen DC notwendig muss der Hersteller zus tzlich den DC der fehlererkennenden beherrschenden Ma nahmen die in der SRESW implementiert sind best tigen Die MTTF der Kompo
182. rden um z B die Auswirkungen von Spannungsausfall Spannungsschwankungen berspannung und Unterspannung zu beherrschen Einige der erforderlichen Ma nahmen sind schon in dem gew hlten Entwurf zu erkennen u a Cat 4 DC hieh gt Es ewe O N of danger ladure per hour 17 ev Calculator PLC Ma ap CA A ee EN ISO 13849 1 Kat 2 DC niedrig mittel niedrig Verwendung des Ruhestromprinzips hierdurch ist sicher gestellt dass der energielose Zustand nicht zu einem Ansteuersignal f hren kann z B bei einem Drahtbruch Ausfallerkennung durch automatische Tests hier werden in den beiden Steuerungskan len jeweils verschiedene Tests ausgefuhrt die fruhzeitig Fehler erkennen konnen und jeweils unabh ngig vom Nachbarkanal den sicheren Zustand selbst einleiten k nnen Testung durch redundante Hardware hierdurch k nnen mit hilfe der konstruktionsbedingten Diversit t zus tzlich Fehler durch Umwelteinfl sse beherrscht werden die sich in den einzelnen Kan len nicht gleichartig auswirken Verwendung von Hilfssch tzen mit zwangsgef hrten Kontak ten durch das R cklesen entsprechender Kontakte k nnen gef hrliche Ausf lle der Hilfssch tze und unter Umst nden anderer Schaltungsteile erkannt werden Abbildung 6 18 PL Bestimmung mithilfe von SISTEMA Datei Bearbeiten Ansicht Hilfe e berwachung des Programmablaufs der ASIC wird z B genutzt um den Programmablauf des Mikr
183. reinfachte PL Bestimmung durch das S ulendiagramm Bussysteme als Verbindungsmittel Entwicklung sicherheitsbezogener Software Software ohne Fehler Schnittstelle zur Gesamtsicherheit Softwarespezifikation System und Modulgestaltung f r das sicherheitsbezogene Pflichtenheft oooooononoononcononnccnnnnnnnnnncnnnnononnnnnnno Endlich prostata mas Pr fe was sich ewig bindet Modultest Integrationstest und Validierung Struktur der normativen Anforderungen Passende Softwarewerkzeuge Ungeliebt aber wichtig Dokumentation und Konfigurationsmanagement Software ist st ndig im Fluss Modifikation Anforderungen an die Software von Standardkomponenten in SRP CS ueueeeesssssssssnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnennnnnn Kombination von SRP CS als Subsysteme 0000080 PL Bestimmung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL SicherheltsfunktiONeN oooooocccccncncnnnccnnnncnnncncncccnoncnnnnnss A e A Funktionsbeschreibung nennen Sicherheitsbezogenes Blockdiagramm Eingangsgr en zur
184. rerer Sicherheitsfunktion en SF am Anfang des Gestaltungs und Bewertungsprozesses Dieses Vorgehen ist in Abbildung 4 1 durch die Bl cke 1 bis 3 dargestellt und wird im Kapitel 5 ausf hrlicher beschrieben Die Frage lautet Wie sieht der Beitrag der sicher heitsbezogenen Teile der Steuerung zur Reduzierung des Risikos einer Gef hrdung an einer Maschine aus Eine Maschine soll zun chst derart gebaut sein dass f r den Nutzer keine Gef hrdung mehr auftreten kann inh rente Sicherheit Zweiter Schritt ist anschlie end das Risiko f r jede noch auftretende Gef hrdung zu reduzieren Dies kann man durch Schutzma nahmen erreichen die heute meistens von der Steuerung durchgef hrt werden Damit diese Schutzma nahmen man spricht bei der technischen Umsetzung auch von Schutz einrichtungen abh ngig vom Risiko eine bestimmte Qualit t erreichen ist die Risikobeurteilung ein wesentlicher Schritt Die Schutzeinrichtung f hrt dann als sicherheitsbezogener Teil einer Steuerung die Sicherheitsfunktion vollst ndig oder zumindest teilweise aus Sie kann zum Beispiel den unerwarteten Anlauf verhindern wenn ein Bediener einen Gefahrenraum betritt Da es an einer Maschine durchaus mehrere Sicherheitsfunktionen geben kann z B f r Automatik und Einrichtbetrieb ist eine sorgf ltige Betrachtung jeder einzelnen Gef hrdung und der mit ihr verbundenen Sicherheitsfunktion sehr wichtig Die Sicherheitsfunktion kann von Teilen der Steuerung oder
185. ringendere Aufgaben oder ist bereits in einem anderen Unternehmen t tig Hier zahlt es sich f r die Sicherheit aber auch Wirtschaftlichkeit der Maschinen oder Maschinenanlage aus wenn die Software die oben genann ten Merkmale aufweist Lesbarkeit Struktur Verst ndlichkeit und auch das Merkmal einfach und fehlervermeidend modifi ziert werden zu k nnen unabh ngig vom jeweils verf gbaren Programmierer Im Prinzip muss man nach einer Modifikation wieder dort im Entwicklungsprozess also im V Modell einsteigen wo etwas ge ndert wurde Abbildung 6 11 z B Bei ge nderter Codierung sind Modul und Integrationstest sowie die Validierung erneut durchzuf hren Musste gar die Spezifikation ge ndert werden ist diese eben falls erneut zu verifizieren z B durch Review Gegenlesen eines r Kollegen in damit sich keine Fehler an anderer Stelle der Spezifikation einschleichen Dementsprechend m ssen alle Entwicklungs und Verifikationsma nahmen sowie die Validierung der betroffenen Sicherheitsfunktionen wiederholt werden Bei dem beschriebenen Aufwand ist es verstandlich dass der Einfluss einer Modifikation auf die Sicherheitsfunktionen syste matisch zu untersuchen und zu dokumentieren ist Da Modifi kationen einen erheblichen Effekt auf die korrekte Ausfuhrung der Sicherheitsfunktion haben konnen sollte fruhzeitig ein geeig netes Verfahren festgelegt werden gegebenenfalls einschlie lich der Benennung verantwortlicher
186. rkannt wurde Wann immer m glich muss dieser Ausgang einen sicheren Zustand einleiten Dieser muss aufrechterhalten bleiben bis der Fehler behoben ist Ist die Einleitung eines sicheren Zustandes nicht m glich z B durch Verschwei en des Kontaktes eines Schaltgliedes muss der Ausgang die Warnung vor der Gef hrdung bereitstellen F r die vorgesehene Architektur der Kategorie 2 Abbildung 6 6 ber cksichtigt die Berechnung der MTTF und DC nur die Bl cke des Funktionskanals d h I L und O und nur indirekt die MTTF der Bl cke des Testkanals d h TE und OTE F r die MTTF des Funktionskanals sind Werte von niedrig bis hoch erlaubt DC muss mindestens niedrig sein Ausreichende Ma nahmen gegen CCF m ssen angewendet werden siehe Abschnitt 6 2 15 und Anhang F Der Test darf selbst nicht zu einer Gef hrdungssituation f hren z B aufgrund einer Erh hung der Ansprechzeit Die Testein richtung darf als Bestandteil des Funktionskanals oder getrennt davon vorgesehen sein In einigen F llen ist die Kategorie 2 nicht anwendbar da sich der Test der Sicherheitsfunktionen nicht bei allen Bauteilen durchf hren l sst Da die Sicherheitsfunktion zwischen den Tests unbemerkt ausfallen kann ist die Testh u figkeit ein kritischer Parameter Au erdem k nnte die Testein richtung selbst fr her als der Funktionskanal ausfallen Bei der vereinfachten Quantifizierung des PL mithilfe der vorgesehenen Architektur und des S ulendiagra
187. roduktidentifikationen der zu pr fenden SRP CS Identifikation der Sicherheitsfunktionen mit Zuordnung der beteiligten SRP CS Fehlerlisten Abschnitt 7 1 3 und Gestaltungsaspekte Anhang C Kapitel 6 Validierungsplan Validierungsleits tze Abschnitt 7 1 2 Abschnitt 7 1 1 Dokumente Abschnitt 7 1 4 Analyse Abschnitt 7 1 5 Kriterien f r Fehlerausschluss Anhang C Ist die Analyse ausreichend Sicherheitsfunktionen Performance Level PL Kategorie MTTF De dd systematische Fehler Software Kombination Integration Ist die Pr fung vollst ndig Validierungsbericht Abschnitt 7 1 7 Abbildung 7 2 bersicht zum Verifikations und Validierungsablauf nach DIN EN ISO 13849 2 78 Liste der Dokumente mit Anforderungsbeschreibungen Spezifikationen auch bekannt als Spezifikation der Sicher heitsanforderungen SRS Safety Requirements Specification O anzuwendende Pr fgrundlagen Normen und firmeninterne Festlegungen z B eigene Standards Designregeln und Programmierrichtlinien durchzuf hrende Analysen und Pr fungen einschlie lich Identifikation der Pr fspezifikationen O anzuwendende Fehlerlisten weitere Bezugsdokumente z B QM Handbuch Verfahrens anweisungen f r die Analysen und Pr fungen verantwortliches Personal Pr fer Abt
188. rund von Plausibilitatsprufungen ber zur ckgelesene zwangsgef hrte Kontakte der Hilfssch tze angemessen Die im Rahmen der Validierung der Kategorie bereits kontrollierten Plausibilit tspr fungen dienen auch an dieser Stelle als Nach weis der korrekten Funktion 83 O Validieren der Ma nahmen gegen CCF Mit 65 Punkten f r Ma nahmen gegen Ausf lle infolge gemein samer Ursache werden die Mindestanforderungen erf llt Zus tzlich wirken in Teilen der Steuerung weitere Ma nahmen F r die Umsetzung der Ma nahme physikalische Trennung zwischen den Signalpfaden werden 15 Punkte ber cksichtigt Die richtige Umsetzung der Ma nahme ist anhand der Analyse von Entwicklungsunterlagen wie z B Schaltpl nen und durch Pr fungen an der Hardware zu zeigen O Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle Die Einhaltung grundlegender und bew hrter Sicherheitsprin zipien wirkt stark gegen systematische Ausf lle Die Aktivit ten zur Validierung der Kategorie beinhalten ebenfalls die ber pr fung der Einhaltung beider Sicherheitsprinzipien Somit k nnen die Ergebnisse der dort durchgef hrten Analysen und Pr fungen auch in diesem Abschnitt zur Beurteilung heran gezogen werden Neben den Pr fungen erfolgt entwicklungsbegleitend eine Inspektion der Dokumentation in der die angewandten grund legenden und bew hrten Sicherheitsprinzipien und die Ma nahmen zur Beherrschung und Vermeidung systematis
189. rungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 4 bew hrte Sicherheitsprinzipien verwenden und so gestaltet werden dass O ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion f hrt und der einzelne Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt wird z B unmittelbar beim Einschalten oder am Ende eines Maschinenzyklus Ist diese Erkennung nicht m glich dann darf die Anh ufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunk tion f hren in der Praxis kann die Betrachtung einer Fehler kombination f r zwei Fehler ausreichend sein Da es sich um die Kategorie mit der h chsten Widerstandsf hig keit gegen Fehler handelt h chster Beitrag zur Risikoreduzie rung m ssen sowohl die MTTF jedes Kanals als auch der DC hoch sein und ausreichende Ma nahmen gegen CCF angewendet werden Weil die Unterschiede zur Kategorie 3 prim r in der MTTF und im DC liegen ist die vorgesehene Architektur f r Kate gorie 4 Abbildung 6 8 hnlich derjenigen f r Kategorie 3 Allerdings symbolisieren die durchgezogenen Linien f r die ber wachung den h heren DC ve 6 2 8 Bl cke und Kan le Zur vereinfachten Quantifizierung der Ausfallwahrscheinlichkeit ist eine Darstellung der sicherheitsrelevanten Steuerung in Form von abstrahierten Bl cken und Kan len hilfreich Die Bezeich nung Bl cke hat in diesem Zus
190. s bei der Kon struktion und Herstellung von pneumatischen Bauteilen auf die Anwendung geeigneter Werkstoffe und Herstellungsverfahren und geeignetes Vermeiden einer Verunreinigung der Druckluft geach tet werden muss Diese Anforderungen beziehen sich vor allem auf die Auswahl der Werkstoffe der Herstellungs und Behand lungsverfahren unter Ber cksichtigung von z B Spannungen Haltbarkeit Reibung Verschlei Korrosion und Temperatur bzw auf die Ber cksichtigung von hoch wirksamer Filtration der Druckluft Abscheidung von Feststoffen und Wasser Weiterhin ist in Tabelle C 1 Grundlegende Sicherheitsprinzipien der Hydrau lik festgelegt dass bei der Konstruktion von hydraulischen Bau teilen auch auf die richtige Dimensionierung und Formgebung geachtet werden muss Dies bezieht sich z B vor allem auf Span nung Dehnung Erm dung Oberfl chenrauheit Toleranzen und Herstellungsverfahren Dennoch k nnen bei selten geschalteten fluidtechnischen Bauele menten aufgrund der konstruktiven Eigenschaften Spalt zwischen Schieber und Geh use erh hte Haftkr fte entstehen Bei Pneumatikventilen mit Weichdichtungen k nnen die Dichtungen durch chemische Einfl sse der Schmiermittel l mit Additiven in der Druckluft eingebracht durch Kompressor ler oder Initialschmierung bei l ngerem Verbleiben in einer Schaltstellung quellen oder der Schmierfilm kann durch die Dichtkantenpressung kollabieren und somit die Haft
191. sbezogenen Software besonders wichtig Wo f r das Verst ndnis notwendig sind Aufbau und Ablauf der Software grafisch dargestellt Erg nzt werden Vorgaben ber die einzuset zende Programmiersprache hier ANSI C mit compilerspezifischen Spracherweiterungen und die Entwicklungswerkzeuge z B Compiler Versionsverwaltung Konfigurationsmanagement alle bereits mit langj hriger positiver Erfahrung im Einsatz Ebenso werden die Programmierrichtlinien und Methoden zur tool gest tzten statischen Analyse f r die Verifikation der Codierung festgelegt Die Planung von Modul und Integrationstest wird ebenfalls schon in diesem Dokument festgeschrieben Nach einem erneuten Review z B durch den Entwicklungsleiter Software wird das Pflichtenheft als Vorgabe f r die Codierung freigegeben In diesem Review wird auch verifiziert ob die Anfor derungen der Softwarespezifikation erf llt sind Nun beginnt die eigentliche Codierung unter Ber cksichtigung der Programmierrichtlinie Die Programmierrichtlinie schreibt neben Regeln f r die bessere Lesbarkeit des Codes u a auch die eingeschr nkte Verwendung von kritischen Sprachkonstrukten vor Die Einhaltung der Programmierrichtlinie wird mitlaufend zur Codierung durch entsprechende Tools gew hrleistet F r die semantische inhaltliche Verifikation des fertigen Codes gegen das Pflichtenheft f hrt der Programmierer mit Kollegen ein Walk Through durch bei dem gleichzeitig der Programmablauf und d
192. sbezogener Software ist mit Ausnahme der unten beschriebenen Embedded L sung im PL e das vereinfachte V Modell anzuwenden siehe Abbil dung 6 11 Die letzte Entwicklungsaktivit t hierbei ist die Soft warevalidierung Zu pr fen ist ob die Anforderungen der sicherheitsbezogenen Softwarespezifikation an das funktionale Verhalten sowie die Leistungskriterien z B zeitbezogene Vor gaben korrekt umgesetzt wurden Die Validierung betrach tet hier keine Interna der Software mehr sondern das externe Verhalten am Ausgang der kompletten auf die Hard ware integrierten Software bei nderungen an deren Eing ngen Die Software wird dabei als Black box betrachtet die Validie rung hierzu ist der sogenannte Black Box Test Bei sicherheitsrelevanter Anwendungssoftware SRASW m ssen 0 Tests sicherstellen dass die sicherheitsbezogenen Ein gangs und Ausgangssignale korrekt verwendet werden F r PL d und e wird bei der Validierung auch eine erweiterte Testfallaus f hrung auf der Basis von Grenzwertanalysen empfohlen Hierbei wird auch die Reaktion auf vorher analytisch bestimmte und im Test durchgef hrte Fehlerf lle beobachtet um so die Fehler erkennung und beherrschung durch die Software zu testen Einzelne Softwarefunktionen die als Sicherheits Funktionsbau steine bereits zertifiziert oder qualit tsgesichert validiert wurden m ssen nicht nochmals gepr ft werden Allerdings ist die bereits erfolgte Validi
193. seaeeeeessssseeseseeeeeseeeeeseeeas 6 Gestaltung sicherer Steuerungen sia eue nn A Pe PS ER o e A nn A GLI Entwick Shall ee a ee 6 1 2 Systematische Ausf lle vincia tidad ideo 6 1 3 FIEONOMIe arcada 6 2 Quantifizierung der Ausfallwahrscheinlichkeit u use 62 1 Vorgesehene Architekturen s een re een EZ se O E a E E E E E EE EE A EEA AAA E EEA E a Katecore D ersinnen a Eee re A CA a S sce A RE ER A AN E 625 TEETE O O o E a O leere A A o A RES OR OI ee a PS E E on EL Aleron ies 628 Blocke und Kanale PARA e nn a NRE a 6 2 9 S cherheilsbez genes Blockdiagramm aiii 6 2 10 Fehlerbetrachtungen und Fehlerausschluss ncavassissiaiecanssnehe sea st haseamsecsuauaaivebsmaaadennnoneeeadeushes 6 2 11 Mittlere Zeit bis zum gelanrbringenden AUStall MITE uses entame 6 2 12 Datenquellen f r Einzelbautelle a i ccrssausccdaininasnwnssinesdedeanneteoonetesneiesddaneenenaewersaseeeatadansendubenenebeeneaaniaananesnuanqueladicdewnwand 6 2 13 FMEA versus Parts Count V randa eo 6 2 14 Diagnosedeckungsgrad von Test und berwachungsma nahmen DC 6 2 15 Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF 6 2 16 6 2 17 6 3 6 3 1 6 3 2 6 3 3 6 3 4 6 3 5 6 3 6 6 3 7 6 3 8 6 3 9 6 3 10 6 4 6 5 6 5 1 6 5 2 6 5 3 6 5 4 6 5 5 6 5 6 6 5 7 6 5 8 6 5 9 6 5 10 6 5 11 7 1 7 1 1 7 1 2 7 1 3 7 1 4 1 1 5 7 1 6 7 1 7 1 2 1 3 Fool 7 3 2 1 3 3 7 3 4 195 7 3 6 7 3 7 7 4 1 3 7 6 7 6 1 7 6 2 7 6 3 Ve
194. sonderen sicherheitstechnischen Ma nah men erforderlich Daher kann die MTTF jedes Kanals niedrig oder mittel sein Definition von niedrig und mittel siehe weiter unten Tritt ein Bauteilausfall auf kann er zum Verlust der Sicherheitsfunktion f hren Es sind keine berwachungsma nahmen gefordert d h auch kein DC Auch Ausf lle infolge gemeinsamer Ursache k nnen bei einkanaligen Steuerungen nicht ber cksichtigt werden daher werden keine Anforderungen hinsichtlich CCF gestellt Wegen dieser sehr rudiment ren Widerstandsf higkeit gegen Ausf lle ist der maximal erreichbare PL von Kategorie B Syste men grunds tzlich auf PL b beschr nkt Die vorgesehene Architektur f r Kategorie B in Abbildung 6 5 entspricht einem einkanaligen System mit Eingabe Input Verarbeitungs Logik L und Ausgabeebene Output O 48 Abbildung 6 5 Vorgesehene Architektur f r Kategorie B und Kategorie 1 0 Ausgang gt Verbindung 6 2 4 Kategorie 1 Zusatzlich zu den Anforderungen fir Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 1 unter Verwendung sicherheitstechnisch bew hrter Bauteile und Prinzipien gestaltet und gebaut werden Ein bew hrtes Bauteil f r eine sicherheitsbezogene Anwendung ist ein Bauteil das entweder in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen in hnlichen Anwendungen verwendet oder O unter Anwendung von
195. spruchsfrei logisch aufgebaut leicht verst ndlich und nachvollziehbar sein In den nachfolgenden Beschreibungen der V amp V Aktivit ten finden sich detaillierte Informationen zu allen Dokumenten 7 1 5 Analyse Die Beurteilung der SRP CS bzw von Teilaspekten erfolgt zu n chst durch Analyse Dabei soll anhand der Durchsicht von Unterlagen und ggf durch den Einsatz von Analysewerkzeugen z B Schaltungssimulatoren Tools zur statischen und dyna mischen Softwareanalyse oder FMEA Tools festgestellt wer den ob die spezifizierten Anforderungen erreicht wurden Die Beurteilung der Aspekte MTTF DC und CCF erfolgt ausschlie lich durch Analyse auf der Basis vorliegender Unterlagen 7 1 6 Pr fung Pr fungen m ssen immer dann durchgef hrt werden wenn die alleinige Begutachtung durch Analyse nicht ausreichend ist um zu zeigen dass die Anforderungen erf llt werden Das Pr fen muss systematisch geplant und in logischer Weise ausgef hrt werden zumeist anhand real ausf hrbarer Entwicklungsstufen wie z B Prototypen Funktionsmuster oder Software Code Die Pr fungen m ssen so nah wie m glich an der vorgesehenen Betriebskonfiguration durchgef hrt werden unter welchen Umgebungsbedingungen ist vorher festzulegen Eine manuelle oder automatische Durchf hrung ist m glich Die Messunsicherheiten bei der Validierung durch Pr fung m ssen angemessen sein DIN EN ISO 13849 2 gibt Hinweise auf einzuhaltende Grenzen Zu den Analyse
196. stimmte Ausf lle extrem unwahrscheinlich sind und ihr Beitrag zur Gesamtzuverl ssigkeit vernachl ssigbar klein ist Allerdings ist die Annahme von Fehlerausschl ssen an Bedin gungen gekn pft die im Detail in DIN EN ISO 13849 2 nieder gelegt und im Abschnitt 6 2 10 n her beschrieben sind Dem nach k nnen unter bestimmten Voraussetzungen z B Leitungs kurzschl sse oder bestimmtes mechanisches Versagen aufgrund der Konstruktion ausgeschlossen werden 6 2 12 Datenquellen f r Einzelbauteile Eine der in diesem Zusammenhang meistgestellten Fragen betrifft die Beschaffung verl sslicher Ausfalldaten f r die sicherheitsrelevanten Komponenten Hier ist der Hersteller z B mit seinem technischen Datenblatt allen anderen Quellen vorzuziehen Viele Komponentenhersteller z B in der Elektro mechanik oder Pneumatik haben bereits signalisiert dass solche Daten k nftig erh ltlich sein werden Aber auch wenn es noch keine Herstellerangaben gibt lassen sich typische Bei spielwerte aus etablierten Datensammlungen siehe Anhang D ermitteln Da dort allerdings meist nicht zwischen ungef hrlichen und gefahrbringenden Ausf llen unterschieden wird kann als einfache N herung davon ausgegangen werden dass im Mittel nur die H lfte aller Ausf lle gefahrbringend ist Im Bewusstsein der Verf gbarkeitsproblematik f r Zuverl ssigkeitswerte listet DIN EN ISO 13849 1 einige typische Werte auf die allerdings sehr konservativ abgesch tzt sind un
197. t deren Anwendung an zahlreichen Beispielen aus den Bereichen Elektromechanik Fluidtechnik Elektronik und programmierbarer Elektronik darunter auch Steuerungen gemischter Technologie Der Zusammenhang der Norm mit den grundlegenden Sicher heitsanforderungen der Maschinenrichtlinie wird aufgezeigt und m gliche Verfahren zur Risikoabsch tzung werden vorgestellt Auf der Basis dieser Informationen erlaubt der Report die Aus wahl des erforderlichen Performance Level PL f r steuerungs technische Sicherheitsfunktionen Die Bestimmung des tats ch lich erreichten Performance Level PL wird detailliert erl utert Auf die Anforderungen zum Erreichen des jeweiligen Perfor mance Level und seine zugeh rigen Kategorien auf die Bauteil zuverl ssigkeit Diagnosedeckungsgrade Softwaresicherheit und Ma nahmen gegen systematische Ausf lle sowie Fehler gemein samer Ursache wird im Detail eingegangen Hintergrundinfor mationen zur Umsetzung der Anforderungen in die steuerungs technische Praxis erg nzen das Angebot Zahlreiche Schaltungs beispiele zeigen bis auf die Ebene der Bauteile hinunter wie die Performance Level a bis e mit den Kategorien B bis 4 in den jeweiligen Technologien technisch umgesetzt werden k nnen Sie geben dabei Hinweise auf die verwendeten Sicherheits prinzipien und sicherheitstechnisch bew hrte Bauteile Zahl reiche Literaturhinweise dienen einem tieferen Verst ndnis der jeweiligen Beispiele Der Report zeigt dass di
198. t gefahrbringende Bewegun gen erzeugen sowie den jeweiligen einzelnen PL Das zuge h rige Blockschaltbild ist in Abbildung 5 8 siehe Seite 30 dargestellt Bei der sp teren Bestimmung des PL f r die Sicherheits funktion m ssen die PL Werte der folgenden Bl cke z B nach Tabelle 6 6 ber cksichtigt werden Not Halt Gerat 03 Logik Antrieb 21 Antrieb 35 Antrieb 47 1 Fehlerm glichkeiten der elektrischen Installation werden den jeweiligen Bl cken zugeordnet 29 Abbildung 5 8 Not Halt der Gesamtmaschine ung nstigster Fall Not Halt Ger t 01 Antrieb 21 Not Halt Ger t 02 Not Halt Ger t 03 Antrieb 35 Not Halt Ger t 04 Antrieb 47 Die Beispiele zeigen dass sich bei der Definition einer Sicher heitsfunktion eine lokale Sichtweise empfiehlt bei der ber ck sichtigt wird O An welchem Ort befinden sich zum betrachteten Zeitpunkt Personen Welche Bewegungen stellen am Standort der Person en Gef hrdungen dar Welche Schutzeinrichtungen m ssen die Sicherheitsfunktion ausl sen Ggf sind mehrere alternativ benutzbare Schutzein richtungen zu ber cksichtigen 5 4 Bestimmung des erforderlichen Performance Level PL F r jede vorgesehene Sicherheitsfunktion muss ein erforderlicher Performance Level PL 1 festgelegt werden im technischen Sinne der Sollwert Die Anforderungen ergeben sich aus der notwendigen Risikominderung bei deren Festlegung u a ein ggf bekanntes
199. t von Maschinen Das gesamte Verfahren zur Identifizierung von Gef hrdungen sowie zur Risikoeinsch tzung und Risikobewertung der einzel nen Gef hrdungen wird im neuen Entwurf der DIN EN ISO 14121 4 und ihrem technischen Report ISO DTR 14121 2 5 beschrie ben Auf der Basis dieser beiden grundlegenden Normen beschreibt die Normenreihe DIN EN ISO 13849 1 2007 6 und DIN EN ISO 13849 2 2003 7 die erforderliche Risikominderung bei Gestaltung Aufbau und Integration von sicherheitsbezogenen Teilen von Steuerungen und Schutzeinrichtungen gleich ob elek trischer elektronischer hydraulischer pneumatischer oder mechanischer Natur Mit dieser Norm wird eine allgemein anwendbare Systematik f r Steuerungen von Maschinen und oder deren Schutzeinrichtungen vorgelegt Die in der Norm be schriebenen Performance Level erweitern den aus DIN EN 954 1 bekannten Kategoriebegriff Die sicherheitstechnischen Archi tekturen sind nun durchaus flexibler einsetzbar Wesentlicher Pluspunkt der Norm DIN EN 954 1 ist die oben bereits skizzierte technologieunabh ngige Behandlung von sicherheitsbezo genen Teilen von Steuerungen Diese Vorgehensweise wurde in DIN EN ISO 13849 1 2007 beibehalten und wesentlich erweitert Nun sind ber die Einf hrung des Performance Levels Kombina tionen verschiedener Steuerungsstrukturen mit verschiedenen Technologien einfach realisierbar Damit bietet die neue Norm auf weniger als 100 Seiten alles Notwendige in einem Guss Die
200. t werden Mehr Personen sehen meist mehr Fehler Im Rahmen dieses BGIA Reports k nnen die Anforderungen im Einzelnen sowie ihre mehr oder weniger wirksamen Auspr gungen leider nicht vollst ndig diskutiert werden Daher sollen nur einige besondere F lle angesprochen werden H ufig realisiert eine zusammengeh rende Software der SRP CS mehrere Sicherheitsfunktionen SFx mit jeweils unter schiedlichen PL z B SF1 und SF2 mit PL c SF3 mit PL e Beim Entwicklungszyklus den Werkzeugen oder der Wirk samkeit der Aktivit ten z B bei Modifikationen wird man in der Praxis aber kaum zwischen den Sicherheitsfunktionen unterschiedlicher PL differenzieren k nnen In diesem Fall richten sich die Anforderungen zur Fehlervermeidung daher nach dem h chsten PL hier e O Redundante SRP CS von denen nur ein Kanal programmier bar ist Obwohl die programmierbare Elektronik nur einen Kanal darstellt entspricht die Gesamtstruktur der Kate gorie 3 oder 4 Mit diesen Strukturen werden h ufig Sicher heitsfunktionen h herer PL wie z B d oder e realisiert Dementsprechend gelten die Anforderungen des h chsten PL auch f r die Software dieses einen Kanals siehe auch Abschnitt 6 3 10 Safety Related Embedded Software SRESW Zusatz zunehmende Wirksamkeit PL c d Referenz PLe gt Safety Related Application Software SRASW Zusatz zunehmende Wirksamkeit PLc d unde Abbildung 6 12 Abstufung der Anforderungen an
201. te Alle Maschinenzust nde werden durch beide Verarbeitungskan le berwacht Durch den zyklischen Ablauf eines Schnittes werden alle Systemzust nde ebenfalls zyklisch durchlaufen und Fehler k nnen somit aufgedeckt werden 6 5 4 Sicherheitsbezogenes Blockdiagramm Die Schaltungsbeschreibung in Verbindung mit dem Schaltplan und ggf weiteren beschreibenden Dokumenten ausf hrliche Spezifikation erm glicht die Bestimmung einer Steuerungs kategorie und die Abbildung der realen Schaltung auf ein abstra hiertes sicherheitsbezogenes Blockdiagramm Abbildung 6 16 In diesem Beispiel wird sehr schnell deutlich dass die Sicherheits funktion zweikanalig abgearbeitet wird daher kommt Kategorie 3 oder 4 in Betracht Wegen der hochwertigen Testma nahmen die auch Fehlerkombinationen beherrschbar machen liegt Kate gorie 4 nahe Der konkrete Nachweis hierzu erfolgt als Verifika tionsschritt in Kapitel 7 ebenso wie die berpr fung der quan titativen Anforderungen an MTTF DC und CCF siehe unten Bei der Umsetzung in das sicherheitsbezogene Blockdiagramm sind die Erl uterungen in Abschnitt 6 2 8 und 6 2 9 hilfreich Es hat sich bew hrt dazu den Signalpfad beginnend an der Aktor seite zu verfolgen indem man sich fragt Wie wird die gefahr bringende Bewegung angesteuert bzw unterbunden und dann ber die Logik bis zu den Sensoren zu gelangen In diesem Beispiel ist zu beachten dass die Stellteile S1 und S2 nicht zuein
202. te Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L 38 Die zugeh rigen ffner Kontakte zur berwachung der SchlieRer Kontakte werden im jeweiligen Nachbarkanal berwacht Alle Signal f hrenden Anschlussleitungen sind entweder getrennt oder gegen mechanische Besch digung gesch tzt verlegt Die Programmierung der Software SRESW erfolgt entsprechend den Anforderungen f r PL d herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 Fehlervermeidende Ma nahmen bei der ASIC Entwicklung sind gem ASIC Entwicklungs Lebenszyklus V Modell des Norm entwurfs DIN IEC 61508 2 2006 39 durchgef hrt O Validieren der DC Werte F r K1 und K2 wird ein DC von 90 aufgrund von Selbst diagnose nachvollzogen Hierzu geh ren ein Kreuzvergleich von Eingangssignalen und Zwischenergebnissen von Mikrocontroller und ASIC eine zeitliche und logische Programmlauf ber wachung und die Erkennung von statischen Ausf llen und Kurz schl ssen Des Weiteren geh ren im Kanal mit dem Mikro controller ein CPU Test in dem alle verwendeten Befehle getestet werden sowie qualitativ ausreichende Tests von Arbeitsspeicher RAM und Festwertspeicher ROM dazu Im zweiten Kanal ASIC finden qualitativ vergleichbare Tests wie im Parallelkanal statt Durch Pr fungen muss gezeigt werden dass die beschriebenen Ma nahmen in hinreichendem Ma e umgesetzt wurden K3 K4 K5 und K6 wird eine DC von 99 zugemessen Dies ist aufg
203. tectable Ausfallarten und ihr Anteil an der Gesamtausfallrate des Bau teils bestimmt Durch Summation und Verh ltnisbildung ergibt sich schlie lich der DC Wert der entsprechenden Betrachtungs einheit i Aa gt a regen 3 ZA FLA A DC d Der von DIN EN ISO 13849 1 favorisierte Weg beruht auf einer begr ndeten konservativen Sch tzung des DC direkt auf Bauteil oder Blockebene und der anschlieRenden Berechnung des DC a aus den einzelnen DC Werten ber eine Mittelungs formel Viele Tests lassen sich typischen Standardma nahmen zuordnen fur die in Anhang E der Norm DC Schatzwerte gelistet sind Diese Ma nahmen sind in ein grobes Raster aus vier Eckwerten 0 60 90 und 99 eingeordnet Eine ausfuhrliche Liste der in der Norm genannten typischen Test ma nahmen findet sich in Anhang E die Anwendung ist u a im Beispiel einer Planschneidemaschinensteuerung siehe Abschnitt 6 5 erlautert Bei der Bestimmung des DC einer Komponente oder eines Blocks sind verschiedene Randbedingungen zu beachten Die Erkennung eines gefahrbringenden Ausfalls ist nur der Anfang Zum erfolgreichen Abschluss eines Tests ist die Einleitung eines sicheren Zustands aus dem heraus keine Gefahrdung mehr besteht erforderlich Dazu gehort ein wirksamer Abschaltpfad was z B bei einkanalig getesteten Systemen Kategorie 2 dazu f hrt dass ein zweites Abschalt element vorhanden sein muss Dieses ist n tig um den sicheren Zustand
204. tigen Grunds tzlich l sst sich sagen dass schon viele der grundlegenden und bew hrten Sicherheitsprinzipien gegen systematische Ausf lle wirken siehe Anhang C Diese sind gem DIN EN ISO 13849 2 zu ber cksichtigen und vervollst n digen Anhang G der Norm Im informativen Anhang G der Norm ist eine Liste von Ma nah men und damit indirekt auch von zu betrachtenden Einfl ssen aufgef hrt Die Ma nahmen gliedern sich in solche zur Ver meidung von Ausf llen G 3 und G 4 und solche zur Beherr schung G 2 Abbildung 6 4 gibt eine bersicht Die Ma nahmen zur Vermeidung von Ausf llen m ssen sich dabei durch alle Lebensphasen eines Produktes ziehen und werden demnach in diesem Report teilweise auch im Kapitel 7 unter dem Aspekt der Validierung angesprochen Obwohl nicht explizit aufgef hrt gilt Abbildung 6 4 Ma nahmen gegen systematische Ausf lle nach Anhang G der Norm Ursachen systematischer Ausf lle vor der Inbetriebnahme z B Herstellungsfehler Irrtum bei der Entwicklung falsche Auswahl falsche Dimensionierung fehlerhafte Software Irrtum bei der Integration falsche Auswahl fehlerhafte Verkabelung INTEGRATION zus tzlich es gerade bei nderungen Fehlerbehebung und bei der War tung entsprechende Sorgfalt walten zu lassen Oft sind gerade in diesen Phasen Details aus der Entwicklung nicht mehr gegen w rtig Ma nahmen zur Beherrschung von Ausf llen m ssen dagegen in ein Produkt impl
205. tstech nische Struktur illustrieren soll 6 5 3 Funktionsbeschreibung Um den Schaltplan zu verstehen ist eine Funktionsbeschreibung die Schaltungsstruktur und Signalpfade erl utert unumg ng lich Dadurch soll es m glich sein den funktionalen Ablauf bei der Ausf hrung der Sicherheitsfunktion unter Umst nden in verschiedenen Kan len und die realisierten Testma nahmen zu erkennen 67 Abbildung 6 15 Prinzipschaltplan der elektronischen Ansteuerung eines hydraulischen Messerantriebes und eines hydraulischen Pressbalkens wesentliche Bauelemente Pressbalken Messerantrieb 1A AAN 2A A A MTATA MW 2 2 DAA YY W W ee gefahrbringende gefahrbringende Bewegung Bewegung wve cop EAN no DIN 153 Y 251 pa 1V3 TALLA be zen K5 1V1 CITE Mikrocontroller ASIC Datenaustausch Ausgang Ausgang 1V4 2V2 1V3 2V1 KL KEO KE eC 68 Funktionsbeschreibung Die Betatigung der Stellteile S1 und S2 der Zweihandschaltung startet die gefahrbringenden Bewegungen Bearbeitungszyklus des Pressbalkens und des Messers Wird wahrend dieses Zyklus auch nur ein Stellteil der Zweihandschaltung losgelassen oder erfolgt ein Signalwechsel in der Peripherie der Maschine nicht wie durch die Steuerung erwartet stoppt der Zyklus und die Maschine geht in den sicheren Zustand Mit Dr cken der Stellteile S1 und S2 werden die ansteigenden Flanken der Signale beiden Verarbeitungskan len K1 Mikrocon tr
206. tstehende Risiko im Fall eines Fehlers der SRP CS zu beachten siehe DIN EN 954 1 Abschnitt 6 3 bzw DIN EN ISO 13849 1 Abschnitt 6 1 Diese Anforderung k nnte in dem betrachteten Beispiel zur Festlegung der erforderlichen Kategorie 3 nach DIN EN 954 1 gef hrt haben Aus diesen berlegungen ergibt sich dass beim bergang von einer erforderlichen Kategorie nach DIN EN 954 1 in einen erforderlichen PL zus tzliche Informationen nowendig sein k nnen die in der Regel nicht mehr verf gbar sind Wird keine neue Risikoanalyse durchgef hrt bietet sich als Ausweg ein Worst case Ansatz mit gleichzeitiger Festlegung von PL und erforderlicher Kategorie an wie Tabelle 5 3 siehe Seite 32 zeigt Hierbei wird vorausgesetzt dass ggf zus tzliche Ma nahmen die entsprechend DIN EN 954 1 zu einer Auswahl der m glichen Kategorie anstelle der bevorzugten Kategorie gef hrt haben weiterhin wirksam sind 31 Erforderliche Kategorie nach DIN EN 954 1 1997 Tabelle 5 3 Worst case Ansatz zum bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem erforderlichen Performance Level PL 5 5 Erg nzende Schutzma nahmen Die Anforderungen an erg nzende Schutzma nahmen sind in DIN EN ISO 12100 2 3 Abschnitt 5 5 enthalten Im Hinblick auf die im vorliegenden Report behandelten steuerungstechnischen Fragestellungen sind hierunter insbesondere zu verstehen Oo Ma nahmen zum Stillsetzen im Notfall Oo Umk
207. u vermeiden z B wegen langsamer Maschinenbewegung Diese drei Fragen entscheiden ber den PL Details findet der Leser in Abschnitt 5 4 20 4 2 Gestaltung und technische Realisierung der Sicherheitsfunktionen Stehen die Anforderungen an die sicherheitsbezogenen Teile von Steuerungen fest folgen zun chst der Entwurf und danach dessen Realisierung Abschlie end wird berpr ft ob durch die geplante Realisierung Bl cke 4 und 5 in Abbildung 4 1 mit dem Istwert PL die erforderliche Risikominderung der Sollwert PL erreicht werden kann Block 6 in Abbildung 4 1 Die Schritte der Bl cke 4 und 5 sind im Kapitel 6 ausf hrlich beschrieben In der Tradition des BIA Reports 6 97 enth lt auch dieser Report im Kapitel 8 viele gerechnete Schaltungsbeispiele f r alle Steue rungstechnologien und jede Kategorie Ein ausf hrlich beschrie benes Schaltungsbeispiel begleitet zus tzlich die allgemeinen Ausf hrungen in den Kapiteln 5 6 und 7 Dadurch werden dem Entwickler die nachfolgend beschriebenen Methoden und Para meter anschaulich vermittelt Sicherheitsbezogene Teile von Steuerungen sind voraussichtlich nur so gut wie zun chst die Sinnf lligkeit ihrer Sicherheitsfunk tion Danach folgen als Qualit tskriterien die G te der verwen deten Bauteile Lebensdauer ihr Zusammenspiel Dimensionie rung die Wirksamkeit der Diagnose z B Selbsttests und die Fehlertoleranz Fehlersicherheit der Struktur Aus diesen Para metern besti
208. u vermeiden sind folgende V amp V Akti vit ten durchzuf hren 82 Inspektion der Konstruktionsdokumente die insgesamt die Sicherheitsfunktion beschreiben Abgleich der Kenndaten der Schnittstellen zwischen den SRP CS z B Spannungen Str me Dr cke Informations daten Signalpegel FMEA bezogen auf die Kombination bzw Integration Funktionstest Black Box Test erweiterter Funktionstest Kontrolle der vereinfachten Bestimmung des Gesamt PL aus den PLs der einzelnen SRP CS wie in Abschnitt 6 4 beschrieben 7 6 Verifikation und Validierung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e Begleitend zur allgemeinen Beschreibung der Verifikation und Validierung von Sicherheitsfunktionen werden in diesem Abschnitt die V amp V Aktivit ten am praktischen Beispiel einer Planschneidemaschine das schon in den Abschnitten 5 7 und 6 5 beschrieben wurde erl utert 7 6 1 Verifizieren des erreichten PL siehe auch Block 6 in Abbildung 7 1 Anhand einer Risikoanalyse wurde ermittelt dass f r die aus zuf hrende Sicherheitsfunktion SF2 ein erforderlicher Perfor mance Level PL e gilt In der Berechnung der Ausfallwahr scheinlichkeit unter Ber cksichtigung aller quantifizierbarer Aspekte wird dieser erreicht Auch werden alle Anforderungen an die qualitativen Aspekte wie das Verhalten der Sicherheitsfunk tion unter Fehlerbedingungen sicherheitsbezogene
209. uantitativen Bestimmung des PL Dazu werden weitere Kennwerte ben tigt die Bewertung der Bauteilzuverl ssigkeit MTTF der Tests DC und der Relevanz von Ausf llen infolge gemeinsamer Ursache CCF Abbildung 6 9 Allgemeines Beispiel eines sicherheitsbezogenen Blockdiagramms I1 und 01 bilden den ersten Kanal Serienschaltung w hrend 12 L und 02 den zweiten Kanal bilden Serienschaltung mit beiden Kan len wird die Sicherheitsfunktion redundant ausgef hrt Parallelschaltung T wird nur f r die Testung verwendet Serienschaltung Parallelschaltung Serienschaltung nur f r Testzwecke 6 2 10 Fehlerbetrachtungen und Fehlerausschluss In einer realen Steuerung ist die Zahl theoretisch m glicher Fehler schier unbegrenzt Es ist daher notwendig sich bei der Bewertung auf die relevanten Fehler zu beschr nken Bestimmte Fehler k nnen ausgeschlossen werden wenn Folgendes ber ck sichtigt wird O die technische Unwahrscheinlichkeit ihres Auftretens um Gr enordnungen geringere Wahrscheinlichkeit im Verh ltnis zu anderen m glichen Fehlern und der zu erreichenden Risikoreduzierung O die allgemein anerkannte technische Erfahrung unabh ngig von der betrachteten Anwendung und O die technischen Anforderungen in Bezug auf die Anwendung und auf die spezielle Gef hrdung Welche Bauteilfehler auftreten k nnen erl utert DIN EN ISO 13849 2 Dabei sind folgende Punkte zu beachten Die Fehlerlisten ste
210. ufbedingungen Leistungskriterien Leistungsdaten Ablauf zeitliches Verhalten der Sicherheitsfunktion mit Reaktionszeit H ufigkeit der Bet tigung d h Anforderungsrate Erholungszeiten nach Anforderung sonstige Daten einstellbare Parameter soweit vorgesehen Einordnung und Zuordnung von Priorit ten bei gleichzeitiger Anforderung und Bearbeitung mehrerer Sicherheitsfunktionen funktionales Konzept zur Trennung bzw Unabh ngigkeit R ckwirkungsfreiheit zu Nicht Sicherheitsfunktionen und weiteren Sicherheitsfunktionen 5 Vorgaben f r den SRP CS Entwurf 5 1 Zuweisung durch welche SRP CS und in welcher Technologie die Sicherheitsfunktion realisiert werden soll vorgesehene Betriebsmittel 5 2 Auswahl der Kategorie vorgesehene Architektur Struktur als sicherheitsbezogenes Blockdiagramm mit Beschreibung 5 3 Schnittstellenbeschreibung Prozessschnittstellen interne Schnittstellen Bedienerschnittstellen Bedien und Anzeigeelemente usw 5 4 Einschaltverhalten Umsetzung des erforderlichen Anlaufverhaltens und Wiederanlaufverhaltens 5 5 Leistungsdaten Zykluszeiten Reaktionszeiten usw 5 6 Verhalten des SRP CS bei Bauteilausf llen und fehlern Erreichen und Aufrechterhalten des sicheren Zustandes einschlie lich Zeitverhalten 5 7 Zu ber cksichtigende Ausfallarten von Bauteilen Baugruppen oder Bl cken und ggf Begr ndung f r Fehlerausschl sse 5 8 Konzept zur Umsetzung der Erkennung und Beherrschung von zuf lligen un
211. ung B 3 auf Seite 209 zeigt im Vergleich das Vorgehen bei einer Ausfalleffektanalyse Parts Count Verfahren f r den Mikrocontroller Block K1 basierend auf Ausfallraten A die der Datensammlung SN 29500 36 entnommen wurden angegeben in FIT d h 10 7 h Ausfallrate FIT nach SN 29500 Bauteil Widerstand Metallschicht Anzahl Gesamt Gesamtrate ausfallrate gefahrbringender FIT Ausfalle A FIT MTTF in Jahren als Kehrwert der Gesamtrate A Optokoppler mit Bipolar Ausgang 30 Mikrocontroller 20 E 0 Kondensator keine Leistung Diode universal 15 221 11416 22831 Schwingquarz Transistor Bipolar Kleinleistung Hilfsrelais kunststoffdicht Summe f r den Mikrocontroller Block K1 70 806 gt Die in der zweiten Spalte genannten Ausfallraten der Elemente wurden mithilfe der Datensammlung SN 29500 35 ermittelt was unter Berechnung der Ausfallwahrscheinlichkeit durch das K rzel D gekennzeichnet wird siehe Abschnitt 7 6 Die Validierung wird in der Fortsetzung dieses Beispiels in Abschnitt 7 6 n her beschrieben Da gleiche Elemente mehrfach auftreten k nnen dritte Spalte wird in der vierten Spalte die Gesamtausfallrate f r jeden Elementtyp errechnet Durch die globale N herung dass nur die H lfte der Ausf lle gefahrbringend ist ergibt sich der halbierte Wert in Spalte 5 Durch einfache Summation ergibt sich schlie lich die Gesamtrate gef
212. unktionen entwickelt werden m ssen In diesem Abschnitt ist mit dem Begriff Softwarefunktion modul auch immer ein Funktionsbaustein gemeint Das Software Gestaltungsdokument sollte Aufbau und Ablauf der Software durch Grafiken auch f r au en stehende Personen verst ndlich beschreiben Dies kann umso kompakter sein je mehr das Programm auf wieder verwendeten bereits validierten Softwarefunktionen basiert die schon an anderer Stelle doku mentiert sind In der Modulgestaltung werden zus tzlich die projektspezifisch neu zu erstellenden Softwarefunktionen ihre Schnittstellen und Testf lle f r deren Modultest spezifiziert System und Modulgestaltung k nnen bei weniger komplexen SRP CS zusammengefasst werden und ergeben das sicherheits bezogene Softwarepflichtenheft 6 3 4 Endlich programmieren Nun freut sich der Programmierer Endlich geht es zur eigent lichen Codierung Im Sinne der Fehlervermeidung sind hierbei drei Dinge zu beachten O Lesbaren und verst ndlichen Code schreiben damit dieser sp ter leichter getestet und fehlerfreier modifiziert werden kann Verbindliche Programmierrichtlinien helfen z B das Programm besser zu kommentieren und die Variablen bzw Bausteine selbsterkl rend zu benennen Defensiv programmieren das hei t immer mit internen oder externen Fehlern rechnen und diese aufdecken Kennt man z B das zeitliche Verhalten von Eingangssignalen so kann man mit dieser Erwartungshaltung Fehler d
213. zlich werden alle nach Abschnitt 6 3 2 der Norm f r PLc oder d geforderten fehlervermeidenden Ma nahmen festgelegt Die Spezifikation wird dann z B vom Projektleiter Sicherheit gegengelesen Review und gegebenenfalls werden nderungen eingepflegt Nach Freigabe der Spezifikation kann die System gestaltung beginnen Zur Softwarearchitektur Der Mikrocontroller erh lt kein Betriebssystem sondern es werden mehrere Tasks definiert die per Timerinterrupt durch eine einfache Taskverwaltung gesteuert in definierten Zeitabst nden zur Ausf hrung kommen Einige niederpriorit re Tasks sind f r die Standardfunktionen der Planschneidemaschine reserviert w hrend die hochpriorit ren Tasks die oben spezifizierten sicherheitsbezogenen Funktionen ausf hren Die Determiniertheit dieser Taskaufrufe ist f r die geforderte hohe Synchronit t der beiden Kan le und die kurzen Reaktionszeiten notwendig In Leerlaufzeiten der Tasks werden die zyklischen Selbsttests f r die Beherrschung zuf lliger Hard wareausf lle ausgef hrt Die Gestaltung der Softwarearchitektur und der erforderlichen Softwaremodule und Funktionen zur Realisierung der oben beschriebenen Software werden in einem weiteren Dokument dem Pflichtenheft zur System und Modulgestaltung zusam mengefasst F r die Fehlervermeidung w hrend des gesamten Lebenszyklus sind die geeignete Modularisierung und in diesem Fall auch eine deutliche Abgrenzung der SRESW zur nicht sicherheit
Download Pdf Manuals
Related Search