Prüfstellen-Info 926 Einführung in die Bestimmung des Performance Level nach EN ISO :2015

Transkript

1 Prüfstellen-Info 926 Einführung in die Bestimmung des Performance Level nach EN ISO 3849-:205 Die Information dient als Hilfestellung für Maschinenhersteller zur Umsetzung der EN ISO 3849-:205 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil Allgemeine Gestaltungsleitsätze

2 Information 926 Einführung in die Performance Level Bestimmung nach EN ISO 3849-:205 Inhalt Anforderungen an die Sicherheit von Steuerungen Bestimmung des Performance Level PL Sicherheitsfunktionen ermitteln Erforderlichen Performance Level PL r je Sicherheitsfunktion bestimmen Sicherheitsbezogenes Blockdiagramm erstellen und die Struktur ermitteln MTTF D -Werte ermitteln Diagnosedeckungsgrad bestimmen Abschätzung von Ausfällen aufgrund gemeinsamer Ursache Bestimmung der PFH-Werte und Abschätzung des PL Vergleich des erforderlichen Performance Level mit dem Performance Level Zusammenfassung Literatur... 4 A Tabelle : Zusammenfassung der Anforderungen für Kategorien... 5 A2 A3 A4 Auszug aus Tabelle C. der EN ISO 3849-: MTTF D und B0 D Wert guter ingenieurmäßiger Praxis... 7 Tabelle F.: Verfahren zur Quantifizierung für Maßnahmen gegen Fehler gemeinsamer Ursache (CCF)... 8 Auszug aus Tabelle K. der EN ISO Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFH D ) und der zugehörige Performance Level (PL)

3 Anforderungen an die Sicherheit von Steuerungen Die Norm EN ISO 3849:205 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen ist die am häufigsten angewendete Norm zur Festlegung und Bewertung der Sicherheitsanforderungen an die Steuerungen von Maschinen. Sie ist als Anerkannte Regel der Technik wirksam und stellt bei Einhaltung die Vermutungswirkung hinsichtlich der Erfüllung der Forderungen der Maschinenrichtlinie sicher. Durch diese Norm sind auf den Maschinenhersteller neue Aufgaben in Bezug auf die Vorgängernorm EN 954 entstanden. So ändert sich die Klassifizierung der Sicherheitsniveaus von den Kategorien, die die Struktur der Steuerung in den Vordergrund stellen, hin zu den sogenannten Performance Leveln (PL). Aufgrund des neuen Ansatzes, erlaubt es die EN ISO 3849 auf Sicherheitsfunktionsebene unterschiedliche Strukturen bzw. unterschiedliche Technologien miteinander zu kombinieren und zu bewerten. Diese technologieübergreifende Anwendbarkeit ist ein wesentlicher Vorteil im Vergleich mit der IEC 6206 Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme. Um entscheiden zu können, ob eine Maschine ohne Sicherheitsmängel konstruiert wurde, fordert die Maschinenrichtlinie konkretisiert durch einschlägige Normen eine Risikoanalyse, um die Gefährdungen ermitteln zu können. Ein Großteil der Gefährdungen kann durch inhärente sichere Konstruktion, z.b. durch feste trennende Schutzeinrichtungen, gemindert werden. Es bleibt ein Anteil von Gefährdungen, die weitere technische Schutzmaßnahmen erfordern. Diese werden teilweise durch Sicherheitsfunktionen in einer Steuerung realisiert, z.b. ein Lichtgitter anstatt einer festen trennenden Schutzeinrichtung. Hierbei sind inhärent konstruktive Maßnahmen gegenüber zusätzlichen sicherheitstechnischen Maßnahmen zu bevorzugen. Die wesentlichen Gründe hierfür liegen in einer Kostenreduzierung und in einer Minimierung des Manipulationsanreizes. Wie erwähnt, werden technische Schutzmaßnahmen häufig durch Sicherheitsfunktionen in einer Steuerung verarbeitet. Der Performance Level (PL) gibt dabei ein Wahrscheinlichkeitsintervall dafür an, dass eine Sicherheitsfunktion versagt und es zu einer Gefährdung kommt. Die konkrete durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde wird mit PFH D bezeichnet. Die Wahrscheinlichkeitsintervalle werden durch die Buchstaben a bis e ausgedrückt, wobei ein Performance Level (PL) von a eine höhere Wahrscheinlichkeit des Versagens der Sicherheitsfunktion darstellt, als ein Performance Level (PL) von e. Bild zeigt grob die Schritte, die zur Ermittlung des Performance Level nötig sind. Anhand dieser Schritte wird im Anschluss das Vorgehen mit Hilfe von Beispielen beschrieben. 3

4 Sicherheitsfunktion ermitteln Erforderlichen Performance Level PL r bestimmen Sicherheitsbezogenes Blockschaltbild erstellen und Struktur ermitteln MTTF D -Wert ermitteln Diagnosedeckungsgrad DC bestimmen Ausfälle gemeinsamer Ursache CCF abschätzen Bestimmung der PFH D -Werts und Abschätzung des Performance Levels PL 8 9 Vergleich des Performance Levels PL mit dem erforderlichen Performance Level PL r Validierung des Steuerungssystems durch Analyse und Prüfung (EN ISO :202) Bild : Schritte zur Bestimmung des Performance Levels 2 Bestimmung des Performance Level PL 2. Sicherheitsfunktionen ermitteln Bevor ein PL bestimmt werden kann, müssen alle Sicherheitsfunktionen die durch eine Steuerung realisiert werden, ermittelt werden. Dieses erfolgt am besten direkt aus der Risikobeurteilung, wo die technischen Schutzmaßnahmen festgelegt wurden. Typische Sicherheitsfunktionen sind z.b. Funktionen zum Stillsetzten beim Öffnen einer verriegelten Schutzeinrichtung und Verhinderung des unerwarteten Anlaufs. Eine weitere wichtige Sicherheitsfunktion ist die sicher reduzierte Geschwindigkeit im Tippbetrieb. Nach der Ermittlung aller Sicherheitsfunktionen der Maschine wird je Sicherheitsfunktion der erforderliche Performance Level PL r bestimmt. 2.2 Erforderlichen Performance Level PL r je Sicherheitsfunktion bestimmen Der erforderliche oder auch required Performance Level (PL r ) wird je Sicherheitsfunktion bestimmt. Der PL r ist quasi der Ziel-Wert oder Soll-Wert der Sicherheitsfunktion und beschreibt mit welcher Wahrscheinlichkeit ein gefährliches Versagen einer Sicherheitsfunktion noch zulässig ist. Für bestimmte Sicherheitsfunktionen ist der erforderliche Performance Level PL r in C- Normen bereits festgelegt worden. So z.b. in der EN 00 Sicherheit von Maschinen Sicherheitsanforderungen an Konstruktion und Bau von Druck- und Papierverarbeitungsmaschinen. Für noch nicht normativ bewertete Sicherheitsfunktionen, kann der PL r über den Risikograph (Bild 2) bestimmt werden. Der Risikograph ist ein Hilfsmittel zur Einschätzung der notwendigen Risikominderung. Der PL r wird hierbei anhand der Kriterien Schwere der Verletzung S, Häufigkeit und der Dauer der Gefährdungsexposition F und der Möglichkeit 4

5 zur Vermeidung der Gefährdung P bestimmt. Außerdem kann zusätzlich die Eintrittswahrscheinlichkeit eines Gefährdungsereignisses mit berücksichtigt werden. Bild 2: Risikograph Schwere der Verletzung (S): Bei der Einschätzung des Risikos durch einen Ausfall einer Sicherheitsfunktion werden nur leichte Verletzungen (üblicherweise reversible) und schwere Verletzungen (üblicherweise irreversibel und Tod) berücksichtigt, symbolisiert durch die Bezeichnung S und S2. Um eine Entscheidung treffen zu können, sollten die üblichen Auswirkungen der Unfälle und normale Heilungsprozesse bei der Bestimmung von S und S2 in Betracht gezogen werden. Zum Beispiel würden Quetschungen und/oder Fleischwunden ohne Komplikationen als S klassifiziert, wohingegen eine Amputation oder der Tod mit S2 einzustufen wären. 5

6 Häufigkeit und/oder Dauer der Gefährdungsexposition (F): Häufigkeit und Dauer der Gefährdungsexposition werden bewertet mit: F selten bis weniger häufig und/oder die Dauer der Gefährdungsexposition ist kurz F2 häufig bis dauernd und/oder die Dauer der Gefährdungsexposition ist lang Eine feste Grenze zur Auswahl zwischen F und F2 kann nicht angegeben werden. Erfolgt der Eingriff in den Gefahrenbereich häufiger als einmal alle 5 min, sollte F2 gewählt werden. Die Entscheidung sollte auf F fallen, wenn die gesamte Expositionsdauer nicht größer als /20 also 5% der Betriebsdauer der Maschine ist und die Häufigkeit des Eingriffs in den Gefahrenbereich nicht höher als einmal alle 5 Minuten bzw. 4mal pro Stunde beträgt. Bei der Bewertung der Häufigkeit und Dauer ist es nicht zulässig zu unterscheiden, ob dieselbe oder unterschiedliche Personen der Gefährdung ausgesetzt werden. Möglichkeit zur Vermeidung der Gefährdung (P): An dieser Stelle soll bewertet werden, ob die Vermeidung einer Gefährdungssituation P unter bestimmten Bedingungen möglich, oder P2 kaum möglich ist. Bei der Festlegung dieses Parameters sind u.a. die physikalischen Eigenschaften einer Maschine und die mögliche Reaktion des Bedieners von Bedeutung. So hat der Bediener bei langsam auftretenden Gefährdungen die Möglichkeit, sich bei ausreichendem Bewegungsraum aus dem Gefahrenbereich zu entfernen (P). P2 ist zu wählen, wenn hoch dynamische Bewegungen stattfinden können und die Chance, den Unfall durch Ausweichen des Bedieners zu vermeiden, praktisch nicht gegeben ist. Eintrittswahrscheinlichkeit eines Gefährdungsereignisses Als ein weiteres Entscheidungskriterium kann zusätzlich die Eintrittswahrscheinlichkeit eines Gefährdungsereignisses berücksichtigt werden. Die Eintrittswahrscheinlichkeit ist aber meist nur schwer mit der erforderlichen statistischen Verlässlichkeit bestimmbar. Der Risikograph im Anhang A der EN ISO wurde unter Berücksichtigung einer hohen Eintrittswahrscheinlichkeit entwickelt. In begründeten Einzelfällen darf sie als niedrig bewertet werden. Dies führt dann dazu, dass der PL r im begründeten Fall um einen Level verringert werden kann. Hierbei stellt jedoch der PL r von a die untere Grenze dar. 2.3 Sicherheitsbezogenes Blockdiagramm erstellen und die Struktur ermitteln Sicherheitsbezogenes Blockdiagramm erstellen: In den meisten Fällen existiert bereits eine Maschine mit einem Schutzkonzept, in dem ein Beitrag zur Risikominimierung durch steuerungstechnische Maßnahmen realisiert ist. Dieses kann mit wenig Aufwand in ein sicherheitsbezogenes Blockdiagramm umgesetzt werden. Eine große Hilfe bei der Erstellung des sicherheitsbezogenes Blockdiagramms ist der Stromlaufplan. Bei der Erstellung des logischen Blockschaltbildes werden alle Bauteile betrachtet, die maßgeblich für die Ausführung der Sicherheitsfunktion verantwortlich sind. 6

7 Das sicherheitsbezogene Blockdiagramm beinhaltet alle an der Sicherheitsfunktion beteiligten logischen Einheiten (Bauteile) weshalb auch vom logischen Blockschaltbild gesprochen wird. Im Allgemeinen besteht ein sicherheitsbezogenes Blockdiagramm meist aus den drei Blöcken, Eingabe, Logik und Ausgabe. In der Praxis existieren meist mehrere Bauteile, die den Blöcken Eingabe, Logik und Ausgabe zugeordnet werden. Beispiel: Bild 3 verdeutlicht anhand einer Beispielschaltung den Aufbau eines sicherheitsbezogenen Blockschaltbildes. Die Beispielschaltung soll den Ausschnitt eines Schaltplans darstellen, der auf die Bauteile zur Umsetzung einer Not-Halt-Funktion begrenzt wurde. Die Schaltung dient lediglich zur Veranschaulichung der Erstellung eines sicherheitsbezogenen Blockdiagramms und ist nicht der Praxis entliehen. K Ausschnitt Stromlaufplan Logik Not- Halt Eingänge Sicherheitsbaustein K K2 K. K2 K. Ausgänge K K 2 K. M Sensor Logik Aktor K K. Not-Halt Stellteil Sicherheitsbaustein K2 logisches Blockschaltbild TEST Bild 3: Beispiel zur Erstellung des logischen Blockschaltbildes aus dem Stromlaufplan Das Beispiel soll in den weiteren Kapiteln weitergeführt werden. Daher eine kurze Beschreibung der Sicherheitsfunktion, eine Beschreibung der Funktionsweise und weitere Annahmen. Sicherheitsfunktion: Bei Auslösen des Not-Halt Stellteils soll der Motor M unmittelbar stillgesetzt werden, dass Stillsetzten erfolgt durch galvanische Trennung der Spannungsversorgung. Funktionsweise: Das Auslösen des Not-Halt-Stellteils wird vom Sicherheitsbaustein erkannt und die Schütze K und K2 geschaltet. Das Schütz K besitzt eine Kontakterweiterung auf K., welches mit dem Schütz K2 zur Abschaltung des Motors führt. Alle Schütze werden durch den Sicherheitsbaustein überwacht, so dass ein Fehler in den Schützen erkannt wird. Bauteil Merkmale: Das Not-Halt-Stellteil entspricht dem Stand der Technik und wurde nach Herstellerangaben 7

8 installiert. Durch konstruktive Maßnahmen kann begründet für das Not-Halt-Stellteil ein Fehlerausschluss angenommen werden. Für den Sicherheitsbaustein wird angenommen, dass der Hersteller in seiner Dokumentation folgenden Angaben entsprechend der EN ISO liefert: PL=e, Kategorie 4, PFH D =4,9 x 0-9. Die Schütze entsprechen ebenfalls dem Stand der Technik und sind nach Herstellerangaben installiert. Sie gelten als bewährte Bauteile. Erforderlicher Performance Level PL r : Es wird angenommen, dass auf Basis des Risikographen für die Not-Halt Funktion ein PL r = d gefordert wird (vergleiche Bild 2). Struktur ermitteln: Die Struktur wird aus dem sicherheitsbezogenen Blockdiagramm entsprechend den normativ vorgesehenen Architekturen und deren Systemverhalten zugeordnet (siehe Anhang Tabelle ). Beispiel: Es wird empfohlen, für die Berechnung des Performance Levels das kostenfreie Softwareprogramm SISTEMA zu verwenden. Es ist aber auch möglich die Berechnung ohne Hilfsmittel durchzuführen. Im ersten Schritt ist eine Unterteilung des Blockdiagrammes in sogenannte Subsysteme notwendig. Im Anschluss muss jedem Subsystem eine Kategorie zugeordnet werden. Übertragen auf das sicherheitsbezogene Blockdiagramm in Bild 3, ergeben sich die in Bild 4 dargestellten Subsysteme. Subsystem : Das Not-Halt Stellteil mit Fehlerausschluss Subsystem 2: Der Sicherheitsbaustein entspricht nach Herstellerangaben Kategorie 4 Subsystem 3: Die Schütze wirken in zwei getrennten Kanälen. Ein Fehler in einem der Kanäle führt nicht zum Verlust der Sicherheit. Außerdem wird über die Testung ein Fehler erkannt. Aus diesen Gründen entspricht das Subsystem 3 mindestens der Kategorie 3. Bild 4: Aufteilung des sicherheitsbezogenem Blockdiagramms in Subsysteme 8

9 2.4 MTTF D -Werte ermitteln In den folgenden Schritten geht es um die Ermittlung des MTTF D -Werts. Der MTTF D -Wert ist eine statistische Größe, die die mittlere Zeit bis zu einem Gefahr bringenden Ausfall eines Bauteils darstellt (Mean Time To Dangerous Failure). Der MTTF D -Wert wird je Bauteil und Subsystem bestimmt. Beispiel: Subsystem : Für das Not-Halt-Stellteil kann entsprechend der Herstellerangaben ein Fehlerausschluss gemacht werden. Daher ist eine Bestimmung des MTTF D -Wert nicht erforderlich (MTTF D Not-Halt = nicht relevant). Subsystem 2: Für den Sicherheitsbaustein, gibt der Hersteller Werte an (Kategorie 4; PL=e; PFH D =4,90 x 0-9 ). Bei Angabe des PFH D -Werts ist eine Bestimmung des MTTF D -Werts nicht zwingend erforderlich, da mit dem PFH-Wert gerechnet werden kann (siehe Kapitel 2.7). Sollte dennoch der MTTF D -Wert für andere Applikationen erforderlich sein, so kann er über die Tabelle in Anhang K der Norm bestimmt werden (siehe Tabelle K. und Kapitel 2.7). Subsystem 3: Schütze unterliegen einem Verschleiß, so auch die Schütze K, K. und K2. Für alle verschleißbehafteten Bauteile wird der sogenannte B 0D -Wert angegeben. Der B 0D - Wert gibt die Anzahl von Schaltzyklen an, bis 0% der Bauteile gefährlich ausgefallen sind. Gibt der Hersteller keinen B 0D -Wert an, so kann die Tabelle im Anhang C. der EN ISO für eine Auswahl von Bauteilen diese Werte liefern. Dieses Verfahren guter ingenieurmäßiger Praxis sollte nur angewendet werden, wenn keine Herstellerangaben vorliegen. Für unser Beispiel nutzen wir das Verfahren guter ingenieurmäßige Praxis. Die Tabelle C. im Anhang liefert für Schütze mit nominaler Last einen B 0D -Wert von Zyklen. Diesen nutzen wir zur weitern Berechnung. Über die Formel MTTF D = B 0D 0, n op kann der MTTF D -Wert über den B 0D -Wert ermittelt werden. n op ist dabei die mittlere Anzahl der jährlichen Betätigungen und berechnet sich nach folgender Formel: n op = d op h op 3600 s h t Zyklus h op ist die mittlere Betriebszeit in Stunden je Tag; d op ist die mittlere Betriebszeit in Tagen je Jahr; t Zyklus ist die mittlere Zeit zwischen dem Beginn zweier aufeinander folgenden Zyklen des Bauteils (z. B. Schalten eines Ventils) in Sekunden je Zyklus. Die Werte zur Berechnung der mittleren Anzahl der jährlichen Betätigungen (n op ) sind entsprechend der Erfahrung über den Einsatz der Maschine anzunehmen. In diesem Beispiel wird davon ausgegangen, dass die Maschine im Durchschnitt 220 Tage pro Jahr (d op ), 6 Stunden pro Arbeitstag (h op ) betrieben wird. Die Schütze werden nicht nur durch die Not-Halt-Funktion geschaltet sondern z.b. auch beim Öffnen einer verriegelten Schutzeinrichtung oder beim betriebsmäßigen STOPP. So wird davon ausgegangen, das die 9

10 Schütze alle 3 min. schalten (t Zyklus = 80 s). Daraus berechnet sich eine mittlere Anzahl der jährlichen Betätigungen n op = n op = 220 Tage 6 h 3600 s h 80 s = Mit den Werten aus der Tabelle C. und der berechneten Anzahl von Operationen ergibt sich für die Schütze K, K. und K2 ein MTTF D -Wert von je 84 Jahren. MTTF D K = MTTF D K. = MTTF D K2 = Jahre 0, Nach der Ermittlung der MTTF D -Werte je Bauteil muss der MTTF D -Wert je Kanal bestimmt werden. Alle Systeme der Kategorie 3 und 4 bestehen aus zwei Kanälen. In unserem Beispiel besteht der erste Kanal aus den Schützen K und K. und der zweite Kanal aus dem Schütz K2. Für den ersten Kanal wird mit Hilfe der folgenden allgemeinen Formel der MTTF D -Wert des Kanals bestimmt. = MTTF D MTTF Di 2 i= n i= = = + MTTF D Kanal MTTF Di MTTF D K MTTF D K. Daraus ergibt sich ein MTTF D Kanal 92 Jahre. Im zweiten Kanal ist nur das Schütz K2 vorhanden, so dass im Prinzip MTTF D K2 = MTTF D Kanal2 = 84 Jahre wäre. Die EN ISO begrenzt aber den MTTF D -Wert pro Kanal auf 00 Jahre, so dass jetzt MTTF D Kanal2 = 00 Jahre ist. Bisher wurde der MTTF D -Wert je Bauteil und Kanal ermittelt. Zur Ermittlung des MTTF D - Werts des Subsystems, wird die sogenannte Symmetrierungsformel angewendet. Mit ihr werden Redundante Systeme mit unterschiedlichen MTTF D -Werten je Kanal berechnet. MTTF D = 2 3 [MTTF DKanal + MTTF DKanal2 ] MTTF + DKanal MTTF DKanal2 Mit den oben ermittelten Werten ergibt sich für das Subsystem 3 ein MTTF D Sub3 96 Jahren. 2.5 Diagnosedeckungsgrad bestimmen Der Diagnosedeckungsgrad (DC) ist ein Maß für die Wirksamkeit der Fehlererkennung einer Sicherheitsfunktion und ist bei Strukturen der Kategorie 2 bis 4 zu beachten. Durch Überwachung (Tests) der an der Sicherheitsfunktion beteiligten Bauteile kann ein Versagen oder ein Defekt der Bauteile erkannt werden. Der DC kann aus dem Verhältnis der Ausfallrate der erkannten gefährlichen Ausfälle und der Ausfallrate aller Ausfälle berechnet 0

11 werden. Zur Bestimmung des durchschnittlichen Diagnosedeckungsgrad (DC avg ) einer sicherheitsbezogenen Steuerung wird die folgende Formel angewendet. DC MTTF + DC 2 DC avg = D MTTF + + DC n D2 MTTF Dn MTTF D MTTF D2 MTTF Dn Als Hilfe, welcher Diagnosedeckungsgrad unter welchen Umständen anzuwenden ist, gibt die EN ISO in der Tabelle in Anhang E Auskunft. Beispiel: Das Subsystem entspricht der Kategorie. Eine Fehlererkennung ist nicht vorhanden. In einem Kategorie -System ist der Diagnosedeckungsgrad DC grundsätzlich null. Aufgrund des angewendeten Fehlerausschlusses ist der Diagnosedeckungsgrad für das Subsystem jedoch nicht relevant. Für das Subsystem 2, bestehend aus dem Sicherheitsbaustein, gibt der Hersteller PL=e und Kategorie 4 an. Dieses wird nach Tabelle K. nur erreicht, wenn der DC größer 99% ist. Für das Subsystem 3, bestehend aus den Schützen, ist eine Diagnose (Testung) über den Sicherheitsbaustein realisiert. Eine Fehlfunktion der Schütze, die zwangsgeführte Kontakte besitzen, wird durch den Sicherheitsbaustein erkannt und die Stopp-Funktion eingeleitet. Der einzelne Fehler im Schütz wird bei der nächsten Anforderung der Sicherheitsfunktion erkannt. Aus diesem Grund kann von einer direkten Überwachung entsprechend der Tabelle in Anhang E der Norm, und damit einem Diagnosedeckungsgrad von 99%, ausgegangen werden. Der durchschnittliche Diagnosedeckungsgrad DC avg berechnet sich für das Subsystem 3 wie folgt: DC K DC K. DC K2 MTTF + DC avgsub3 = D K MTTF + D K. MTTF D K2 = + + MTTF D K MTTF D K. MTTF D K2 99% 84 Jahre + 99% 84 Jahre + 99% 84 Jahre = 99 % 84 Jahre + 84 Jahre + 84Jahre Einen DC avg Sub3 = 99% bewertet die EN ISO mit hoch. Die Bewertungskriterien sind in der folgenden Tabelle dargestellt. Bewertung Bereich keine DC < 60% niedrig 60% DC <90% mittel 90% DC < 99% hoch 99% DC

12 2.6 Abschätzung von Ausfällen aufgrund gemeinsamer Ursache Die Abschätzung der Ausfälle aufgrund gemeinsamer Ursache auch Fehler gemeinsamer Ursache (Common Cause Failure = CCF) genannt hat keinen direkten Einfluss auf die Abschätzung des PL. Es handelt sich dabei um die Überprüfung von notwendigen Maßnahmen, die auf redundante Systeme und Systeme mit Testung, also Subsystemen der Kategorien 2, 3 und 4, anzuwenden sind. Ziel ist der Nachweis, dass durch einen Fehler nicht gleichzeitig beide Kanäle eines redundanten Systems oder der Kanal und die Testeinrichtung ausfallen. Der Nachweis erfolgt über die Tabelle im Anhang F der Norm (siehe Tabelle F.). Dabei sind mindestens 65 Punkte zu erreichen. 2.7 Bestimmung der PFH-Werte und Abschätzung des PL Der PFH D -Wert steht für Probability of dangerous Failure per Hour (Wahrscheinlichkeit eines Gefahrbringenden Ausfalls pro Stunde). Die PFH D -Werte der einzelnen Subsysteme lassen sich addieren. Dem entsprechend müssen die PFH D -Werte aller Subsysteme bekannt sein, damit der Performance Level PL abgeschätzt werden kann Beispiel: Für das Not-Halt-Stellteil in Subsystem haben wir einen Fehlerausschluss gemacht. Dieses entspricht einem PFH D Sub = 0. Für den Sicherheitsbausteins in Subsystem 2 wurde vom Hersteller der PFH D -Wert mit PFH D Sub2 =4,90 x 0-9 angegeben. Für das Subsystem 3 ist eine Ermittlung des PFH D -Werts notwendig. Dieser ist am einfachsten über die Tabelle in Anhang K der Norm zu bestimmen (siehe Tabelle K.). In Kapitel 2.3 wurde für das Subsystem 3 die Kategorie 3 festgelegt. Die Architekturen der Kategorien 3 und 4 unterscheiden sich nicht. Der Unterschied zwischen den beiden Kategorien liegt in den dazugehörigen Diagnosedeckungsgraden (siehe auch Anhang A, Tabelle ). Aus diesem Grund hat das Subsystem 3 im Beispiel eine Struktur der Kategorie 4 (DC avg Sub3 = 99%; hoch) und nicht wie anfänglich angenommen Kategorie 3. In Kapitel 2.4 wurde ein MTTF D von 96 Jahren berechnet. Mit diesen Werten kann aus der Tabelle in Anhang K der Norm, der zugehörige PFH D -Wert abgeschätzt werden. Dieses wird in der folgenden Grafik (Bild 5) verdeutlicht. In unserem Beispile wurde ein Diagnosedeckungsgrad hoch und somit Kategorie 4 ermittelt. Ein MTTF D -Wert von 96 Jahre ist in der Tabelle nicht aufgeführt. In einem solchem Fall, wird der niedrigere Wert (also 9 Jahre) zur Bestimmung des PFH D -Werts verwendet. Der PFH D -Wert für das Subsystem 3 lautet dem entsprechend PFH D Sub3 = 2,74*0-8. Die Berechnung des PFH D -Werts der gesamten Sicherheitsfunktion erfolgt, wie bereits erwähnt, über Addition der einzelnen PFH-Werte. PFH D Gesamt = PFH D Sub + PFH D Sub2 + PFH D Sub3 PFH D Gesamt = 0 + 4, , = 3,

13 Um den Performance Level abzuschätzen geht man wieder in die Tabelle des Anhang K und schaut, welcher Wert größer oder gleich dem PFH D -Wert des Gesamtsystems ist und liest den zugehörigen PL ab. In unserem Beispiel ist der nächstgrößere PFH D -Wert also 3,4 x 0-8 und entspricht damit einem PL von e. Da der PL unter der Anwendung eines Fehlerausschlusses ermittelt wurde, ist eine Bewertung der Steuerung mit einem PL von e nicht zulässig, da normativ ein Fehlerausschluss nur bis Performance Level PL = d zulässig ist. Bild 5: Ermittlung des PFH D -Werts 2.8 Vergleich des erforderlichen Performance Level mit dem Performance Level Im letzten Schritt wird geprüft, ob unsere Sicherheitsfunktion die Anforderung erfüllt, das der erforderliche Performance Level kleiner oder gleich dem Performance Level ist (PL r PL). In unserem Beispiel war für die Sicherheitsfunktion PL r =d über den Risikograph gefordert (siehe Kapitel 2.2 und 2.3). Die Schaltung aus Bild 3 entspricht, wie in Kapitel 2.4, 2.5 und 2.7 berechnet einem PL=d. Damit ist der erreichte Performance Level der Schaltung gleich dem erforderliche Performance Level. Die Anforderungen der EN ISO werden also für die Not-Halt-Sicherheitsfunktion erfüllt. 3 Zusammenfassung Es wurde anhand eines Beispiels die Bestimmung des Performance Level für eine Not-Halt- Sicherheitsfunktion gezeigt. In der Praxis sind Sicherheitsfunktionen meist in vergleichbaren oder identischen sicherheitsbezogenen Steuerungen aufgebaut. So würden in der Praxis 3

14 über den Sicherheitsbaustein weitere Sicherheitsfunktionen, wie z.b. das Stillsetzen von Antrieben beim Öffnen einer verriegelten Schutzeinrichtung, realisiert. Entsprechend können weitere Sicherheitsfunktion mit geringem Aufwand bestimmt und berechnet werden. Nachdem die realisierte Steuerung unter Beachtung der allgemeinen Gestaltungsgrundsätze für sicherheitsbezogenes Steuerungen entwickelt wurde, ist eine Validierung erforderlich. Sollte ein programmierbarer Sicherheitsbaustein eingesetzt werden, so ist auch die Validierung des eingesetzten Softwareprogramms notwendig. Die Schritte zur Validierung sind nicht Bestandteil dieses Infoblattes und sind EN ISO : Validierung zu entnehmen. 4 Literatur Folgende Literatur wurde zur Erstellung des Infoblatt herangezogen: EN ISO 3849-:205 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil : Allgemeine Gestaltungsleitsätze, DIN Deutsches Institut für Normung e.v., Beuth Verlag GmbH, 0772 Berlin Änderung der DIN EN ISO 3849-; Die wesentlichen Neuerungen aus 205 im Überblick; Michael Hauke, Ralf Apfeld, Thomas Bömer, Michael Huelke, Paul Rempel, Björn Ostermann; Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA), Sankt Augustin (Oktober 205) BGIA-Report 2/2008 Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 3849, Michael Hauke, Michael Schaefer, Ralf Apfeld, ; Deutsche Gesetzlich Unfallversicherung, Sankt Augustin Sichere Maschinen in Europa Teil 4 Sicherheitsrelevante Steuerungen, von der Kategorie zum Performance Level ; Berthold Heinke; Verlag Technik & Information, Bochum, Oktober 2009 Praktische Erfahrungen mit der DIN EN ISO 3849-, Ralf Apfeld, Thomas Bömer, Dr. Michael Huelke, Dr. Michael Schäfer, Openautomation 6/09 4

15 niedrig bis mittel nicht relevant nicht relevant A Tabelle : Zusammenfassung der Anforderungen für Kategorien Kategorie Struktur Anforderungen Systemverhalten Prinzip zum Erreichen der Sicherheit max. PL MTTF D je Kanal DC avg CCF B SRP/CS(en) und/oder ihre Schutzeinrichtungen sowie ihre Bauteile müssen in Übereinstimmung mit den zutreffenden Normen so gestaltet, gebaut, ausgewählt, zusammengebaut und kombiniert werden, dass sie den zu erwartenden Einflüssen standhalten können. Grundlegende Sicherheitsprinzipien müssen verwendet werden. Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen. Überwiegend durch die Auswahl von Bauteilen charakterisiert. b niedrig bis mittel Keine Die Anforderungen von B müssen erfüllt sein. Bewährte Bauteile und bewährte Sicherheitsprinzipien müssen angewendet werden. Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlichkeit des Auftretens ist geringer als in Kategorie B. Überwiegend durch die Auswahl von Bauteilen charakterisiert. C hoch Keine 2 Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Die Sicherheitsfunktion muss in geeigneten Zeitabständen durch die Maschinensteuerung getestet werden. Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion zwischen den Tests führen. Der Verlust der Sicherheitsfunktion wird durch den Test erkannt. Überwiegend durch die Struktur charakterisiert. D niedrig bis hoch 5

16 Hoch, einschl. der Fehleranhäufung niedrig bis mittel 3 4 Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet werden, dass: ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt, und wenn immer in angemessener Weise durchführbar, der einzelne Fehler erkannt wird. Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet werden, dass: ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt, und der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird. Wenn diese Erkennung nicht möglich ist, darf eine Anhäufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Wenn ein einzelner Fehler auftritt, bleibt die Sicherheitsfunktion immer erhalten. Einige, aber nicht alle Fehler werden erkannt. Eine Anhäufung von unerkannten Fehlern kann zum Verlust der Sicherheitsfunktion führen. Wenn ein einzelner Fehler auftritt, bleibt die Sicherheitsfunktion immer erhalten. Die Erkennung von Fehleranhäufungen reduziert die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion (hohe DC). Die Fehler werden rechtzeitig erkannt, um einen Verlust der Sicherheitsfunktion zu verhindern. Überwiegend durch die Struktur charakterisiert Überwiegend durch die Struktur charakterisiert e e niedrig bis hoch hoch 6

17 A2 Auszug aus Tabelle C. der EN ISO 3849-: MTTF D und B 0D Wert guter ingenieurmäßiger Praxis Typische MTTF D (Jahre) oder B 0D (Zyklen) Werte Mechanische Bauteile Hydraulische Bauteile und n op Zyklen/Jahr Hydraulische Bauteile mit > n op Zyklen/Jahr Hydraulische Bauteile mit > n op Zyklen/Jahr Hydraulische Bauteile und n op < Zyklen/Jahr MTTF D = 50 Jahre MTTF D = 50 Jahre MTTF D = 300 Jahre MTTF D = 600 Jahre MTTF D = 200 Jahre Pneumatische Bauteile B 0D = Relais und Hilfsschütze mit geringer Last (mechanischer Belastung) B 0D = Relais und Hilfsschütze mit maximaler Belastung B 0D = Näherungsschalter mit geringer Last ) B 0D = Näherungsschalter mit maximaler Belastung B 0D = Schütze mit geringer Last ) B 0D = Schütze mit nominaler Last B 0D = Positionsschalter, wenn der Fehlerausschluss für die Zwangsöffnung möglich ist B 0D = Positionsschalter (mit separatem Aktor, Zuhaltung) B 0D = Not-Aus-Einrichtungen unabhängig von der Last, wenn der Fehlerausschluss für die Zwangsöffnung möglich ist Taster (z.b. Freigabetaster) unabhängig von der Last, wenn der Fehlerausschluss für die Zwangsöffnung möglich ist B 0D = B 0D = ) Geringe Last bedeutet z.b. 20% des Bemessungswertes; für weitere Informationen siehe EN ISO

18 A3 Tabelle F.: Verfahren zur Quantifizierung für Maßnahmen gegen Fehler gemeinsamer Ursache (CCF) Nr. Maßnahme gegen Fehler gemeinsamer Ursache (CCF) Punkte Trennung/Abtrennung Physikalische Trennung zwischen den Signalpfaden z.b. Trennung der Verdrahtung/Verrohrung z. B. Ausreichende Luft- und Kriechstrecken auf gedruckten Schaltungen 5 2 Diversität Unterschiedliche Technologien/Gestaltung oder physikalische Prinzipien werden verwendet z.b. der erste Kanal in programmierbarer Elektronik und der zweite Kanal festverdrahtet, z. B. Art der Initiierung z.b. Druck und Temperatur Messung von Entfernung und Druck z.b. digital und analog Bauteile von unterschiedlichen Herstellern 20 3 Entwurf/Anwendung/Erfahrung 3. Schutz gegen Überspannung, Überdruck, Überstrom, usw Verwendung bewährter Bauteile 5 4 Beurteilung/Analyse Sind die Ergebnisse einer Ausfallart und Effektanalyse berücksichtigt worden, um Ausfälle infolge gemeinsamer Ursache in der Entwicklung zu vermeiden 5 5 Kompetenz/Ausbildung Sind Konstrukteure/Monteure geschult worden, um die Gründe und Auswirkungen von Ausfällen infolge gemeinsamer Ursache zu erkennen 5 6 Umgebung 6. Schutz vor Verunreinigung und elektromagnetischer Beeinflussung (EMC) gegen CCF in Übereinstimmung mit den angemessenen Normen Fluidische Systeme: Filtrierung des Druckmediums, Verhinderung von Schmutzeintrag, Entwässerung von Druckluft, z.b. in Übereinstimmung mit den Anforderungen des Herstellers für die Reinheit des Mediums, Elektrische Systeme: Wurde das System hinsichtlich elektromagnetischer Immunität geprüft, z.b. wie in zutreffenden Normen gegen CCF spezifiziert. Bei kombinierten fluidischen und elektrischen Systemen sollten beide Aspekte berücksichtigt werden. 6.2 Andere Einflüsse Wurden alle Anforderungen hinsichtlich Unempfindlichkeit gegenüber allen relevanten Umgebungsbedingungen wie Temperatur, Schock, Vibration, Feuchtigkeit (z.b. wie in den zutreffenden Normen festgelegt) berücksichtigt Gesamt 25 0 [max. erreichbar 00] Gesamtpunkte Maßnahmen, um Fehler gemeinsamer Ursache zu vermeiden 65 oder besser Anforderungen erreicht kleiner als 65 Verfahren gescheitert Auswahl zusätzlicher Maßnahmen 8

19 A4 Auszug aus Tabelle K. der EN ISO Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde [/h] (PFH D ) und der zugehörige Performance Level (PL) MTTF D für jeden Kanal [Jahre] Probability of Dangerous Failure per Hour (PFH D ) [/h] und der zugehörige Performance Level (PL) Kat. B PL Kat. PL Kat. 2 PL Kat. 2 PL Kat. 3 PL Kat. 3 PL Kat. 4 PL kein DC avg kein DC avg DC avg = niedrig DC avg = mittel DC avg = niedrig DC avg = mittel 0,4 0-5 a 7,8 0-6 b 5,4 0-6 b 3,2 0-6 b, c, a 6, b 4, b 2,8 0-6 c,8 0-6 c 2 9,5 0-6 b 5, b 4, b 2, c, c 3 8, b 5, b 3, b 2, c 9,2 0-7 d 5 7,6 0-6 b 4, b 3,0 0-6 b, c 7, d 6 7,3 0-6 b 4,2 0-6 b 2, c, c 6, d 8 6, b 3, b 2, c,4 0-6 c 5, d 20 5,7 0-6 b 3, b 2, c, c 4, d 22 5,9 0-6 b 2, c, c, c 4,2 0-7 d 24 4, b 2, c, c 9, d 3, d 27 4, b 2, c, c 8, d 3,0 0-7 d 30 3, b 2, c,2 0-6 c 6, d 2, d 9, e 33 3, b, c, c 5, d 2, d 8, e 36 3,7 0-6 b, c 9, d 5,6 0-7 d 2,0 0-7 d 7, e 39 2, c, c 8, d 4, d, d 7, 0-8 e 43 2, c, c 7, d 3, d, d 6, e 47 2, c, c 6, d 3, d, d 5, e 5 2, c,3 0-6 c 5, d 2, d,9 0-7 d 5, e 56 2, c, c 5,0 0-7 d 2, d, d 4, e 62, c 9, d 4, d 2,3 0-7 d 8, e 4, e 68, c 8,7 0-7 d 3, d, d 7, e 3, e 75, c 7,3 0-7 d 3, d, d 6, e 3,4 0-8 e 82, c 6,6 0-7 d 3,0 0-7 d, d 5, e 3, e 9, c 5, d 2,6 0-7 d,4 0-7 d 4, e 2, e 00,4 0-6 c 5, d 2, d,0 0-7 d 4, e 2, e DC avg = hoch 9

20 Fortführung der Tabelle K. des Anhang K der EN ISO MTTF D (Jahre) PFH D (durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde [/h]) Kat 4; DC avg = hoch; PL= e 00 2, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,