IEC 62061, ISO und wie geht es weiter?

Transkript

1 IEC 62061, ISO und wie geht es weiter? FB Unfallverhütung/Produktsicherheit

2 Normensituation: Funktionale Sicherheit Maschinenindustrie Prozessindustrie Elektrik Hydraulik Pneumatik Mechanik IEC IEC EN ISO IEC Elektrik Elektronik programm. Elek. (E/E/PE) 2

3 Grundkonzepte IEC und EN ISO Zur Anwendung der Normen Beispiele aktueller Entwicklungen und Ausblick 3

4 IEC Safety Integrity Level EN ISO Performance Level 4

5 Sicherheits-Integritätslevel nach IEC Sicherheits- Integritätslevel SIL X niedrige Anforderungsrate mittlere Wahrscheinlichkeit die entworfene Funktion auf Anforderung nicht auszuführen PFD hohe Anforderungsrate bzw. kontinuierliche Anforderung mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFH XXXXXX 4 >= 10-5 bis < 10-4 >= 10-9 bis < >= 10-4 bis < 10-3 >= 10-8 bis < >= 10-3 bis < 10-2 >= 10-7 bis < >= 10-2 bis < 10-1 >= 10-6 bis < 10-5 Im Maschinenschutz nur SIL 1 bis SIL 3 5

6 Definition SIL (hohe/kont. Anforderung) & Beziehung zum PL EN ISO Wahrscheinlichkeit (Häufigkeit) eines gefahrbringenden Ausfalls pro Stunde (PFH) PL a b c d e SIL EN IEC keine besonderen Sicherheitsanforderungen Absicherung niedriger Risiken Absicherung hoher Risiken (4) 6

7 IEC Safety Integrity Level Sicherheits-Lebenszkylus EN ISO Performance Level iterat. Gestaltungsprozess 7

8 Sicherheits-Lebenszyklus Management der funk tiona len Sicherheit: Abschnitt 4 Management der funktionalen Sicherheit Test Gefährdungs- & Risikoanalyse Spezifikation der Anforderungen für die sicherheitsbezogenen Steuerungsfunktionen: Abschnitt 5 Leitfaden im Anhang A: Methodologie zur Bestimmung des SIL sicherheitsbezogene SRECS-Steuerungsfunktion ausd rückt in Form des zu ereichenden SIL SRECS-Entwurf und Entwicklung (einschließlich der Realisierung von SRECS- Teilsystemen): Abschnitt 6 SRECS-Integration und Test: Unterabsc hnitt 6.12 Spezifikation Entwurf & Entwicklung SRECS-Entwurf (Hardware und Software) im Sinne des erreichten SIL Integration Benutzung Benutzer- und Instandhaltungsinformationen des SRECS: Abschnitt 7 Instandhaltung Validierung des SRECS: Abschnitt 8 Validierung Modifikation Anforderungen zur nachfolgenden SRECS- Modifikation: Abschnitt 9 8

9 Iterativer Prozess zur Gestaltung von SRP/CS nach von Risikoanalyse (EN ISO ) Auswahl der SF Festlegung: Anforderungen an SF Bestimmung PLr Design, Identifikation SRP/CS Bestimmung PL Kategorie MTTF d DC avg CCF Software und systematische Fehler zur Risikoanalyse ja PL PLr ja Validierung ja Alle SF? nein nein nein 9

10 IEC Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix EN ISO Performance Level iterat. Gestaltungsprozess Risikograph 10

11 Risikoeinschätzung über Risikoelemente Risiko bezogen auf die betrachtete Gefährdung ist eine Funktion von Ausmaß des möglichen Schadens durch die betrachtete Gefährdung und Wahrscheinlichkeit des Eintritts dieses Schadens - Häufigkeit/Dauer der Exposition - Eintrittswahrscheinlichkeit - Möglichkeit der Vermeidung/ Begrenzung des Schadens EN ISO , Bild 2 11

12 Risikoabschätzung und SIL-Bestimmung Klasse der Schwere sehr schwer (Tod, ) schwer reversibel oder leicht irreversibel reversibel (Mediziner) reversibel (Erste Hilfe) Klasse der Wahrscheinlichkeit bis Häufigkeit/Dauer (F) bis Wahrscheinlichk. (W) bis Vermeidung (P) Σ bis Punkte 12

13 Risikoabschätzung und SIL-Bestimmung Klasse der Schwere Klasse der Wahrscheinlichkeit Schwere (S) Klasse (K) SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 (AM) SIL 1 SIL 2 SIL 3 2 (AM) SIL 1 SIL 2 1 (AM) SIL 1 13

14 Risikograph nach EN ISO S1: Leichte, reversible Verletzung S2: Schwere Verletzung, Tod F1: Seltene bis weniger häufig und/oder kurze Exposition F2: Häufige bis dauernde und/oder lange Exposition P1: Gefahrabwendung möglich unter bestimmten Bedingungen P2: Gefahrabwendung kaum möglich 14

15 IEC Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess EN ISO Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess 15

16 SRECS Entwurfs- und Entwicklungsprozess 1. Identifikation SRECS für jede SRCF Zerlegung in Funktionsblöcke 2. Zerlegung der SRCF in Funktionsblöcke und Erstellung Konzept für Architektur des SRECS Architektur 3. Detaillierung der Sicherheitsanforderungen jedes Funktionsblocks 4. Zuordnung der Funktionsblöcke zu SRECS-Teilsystemen Verifikation 5. Verifikation 16

17 SRECS Entwurfs- und Entwicklungsprozess: Realisierung Auswahl 6A. Auswahl vorhandenes Teilsystem 6B. Entwurf und Entwicklung Teilsystem Entwurf & Entwicklung komplexe Bauteile & 7. Entwurf der Diagnosefunktion(en) Teilsysteme IEC

18 Iterativer Prozess zur Gestaltung von SRP/CS nach von Risikoanalyse (EN ISO ) Auswahl der SF Festlegung: Anforderungen an SF Bestimmung PLr Design, Identifikation SRP/CS Bestimmung PL Kategorie MTTF d DC avg CCF Software und systematische Fehler zur Risikoanalyse ja PL PLr ja Validierung ja Alle SF? nein nein nein 18

19 IEC Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen EN ISO Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) 19

20 Strukturelle Einschränkungen nach IEC Anteil sicherer Ausfälle (SFF) Fehlertoleranz der Hardware <60% nicht erlaubt SIL 1 SIL 2 60 % - < 90 % SIL 1 SIL 2 SIL 3 90 % - < 99 % SIL 2 SIL 3 SIL 3 99 % SIL 3 SIL 3 SIL 3 Anteil sicherer Ausfälle (SFF) in Abhängigkeit von der Fehlertoleranz der Hardware erforderlich 20

21 Vorgesehene Architekturen nach EN ISO Kategorie B und 1: Kategorie 2: Kategorie 3 und 4: DC 60 % ab Kategorie 2 21

22 IEC Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen Strukturmodelle EN ISO Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) Säulendiagramm 22

23 Strukturmodelle vereinfachter Rechenansatz der IEC einkanalig zweikanalig ohne Diagnose mit Diagnose 23

24 Vereinfachte Bestimmung des Performance-Levels (13849) 24

25 IEC Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen Strukturmodelle Software EN ISO Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) Säulendiagramm Software 25

26 Entwurf und Entwicklung von Software bei PL e wenn nicht diversitär Anwendungssoftware (LVL) IEC Embedded Software (FVL) IEC (7) Parametrierung 26

28 Abgrenzung von IEC & EN ISO gemäß Vorwort TECHNOLOGIE IEC EN ISO Nichtelektrik, z. B. Hydraulik Elektromechanik, z. B. Relais und/oder einfache Elektronik komplexe Elektronik, z. B. programmierbar Kombination verschiedener Technologien nicht betrachtet alle Architekturen und bis zu SIL 3 alle Architekturen und bis zu SIL 3 Beschränkungen wie oben, nichtelektrische Teile nach EN ISO X beschränkt auf vorgesehene Architekturen und bis zu PL = e beschränkt auf vorgesehene Architekturen und bis zu PL = d Beschränkungen wie oben Entspricht in Bezug auf EN ISO eher dem Stand des Entwurfs pren ISO (Juni 2004). 28

29 Nichtelektrik, z.b. Hydraulik Elektromechanik, z.b. Relais und/oder einfache Elektronik komplexe Elektronik, z.b. programmierbar Embedded Software (SRESW) Anwendungssoftware (SRASW) Kombination verschiedener Technologien IEC nicht enthalten alle Architekturen und bis zu SIL 3 bis zu SIL 3 bei Entwicklung nach IEC Entwicklung nach IEC bis zu SIL 3 Beschränkungen wie oben, nichtelektrische Teile nach EN ISO EN ISO enthalten alle Architekturen und bis zu PL = e alle Architekturen und bis zu PL = e bis zu PL = e (PL = e ohne Diversität: Entwicklung nach IEC , Abschnitt 7) bis zu PL = e Beschränkungen wie oben 29

30 C 160/57 und C241/27: Amtsblatt der Europäischen Union Harmonisierte Normen der Richtlinie 98/37/EG 30

31 Neu: Technischer Report zu IEC und EN ISO Guidance on the application of ISO & IEC in the design of safety-related control systems for machinery Erarbeitet von einer Liaison-Gruppe aus Mitgliedern beider Normenkreise. Erscheint als IEC/TR bzw. ISO/TR Enthält allgemeine Aussagen zur Anwendung der beiden Normen und ein nach beiden Normen berechnetes Beispiel. 31

32 IEC/TR : Details aus dem Inhalt (1) Corrigenda in beiden Normen werden auf den Report hinweisen. Tabelle 1 im Vorwort wird ersatzlos gestrichen. Methoden der beiden Normen sind unterschiedlich, können aber eine vergleichbare Risikominderung erreichen. Es kann IEC und/oder ISO zur Anwendung kommen. Für sicherheitsbezogene Steuerungssysteme mit Nichtelektrik kann die Anwendung der ISO passender sein. Möchte der Kunde Sicherheitsintegrität als SIL, kann die Anwendung der IEC passender sein. 32

33 IEC/TR : Details aus dem Inhalt (2) Aktivitäten beide Normen zusammenzuführen, bedingen eine ausreichende Erfahrung mit der praktischen Anwendung. Jedes komplexe Teilsystem in Übereinstimmung mit IEC kann in SRECS oder SRP/CS integriert werden. Eine Mischung der Anforderungen aus beiden Normen ist nicht zulässig. Die Unterschiede der Ergebnisse des berechneten Steuerungsbeispiels liegen innerhalb der erwarteten Fehlergrenzen. Die beiden Normen handhaben den ß-Faktor (CCF) leicht unterschiedlich. 33

34 Hilfsmittel zur Anwendung der DIN EN ISO BGIA-Report 2/2008 (auch in englisch) Einführung und Hinweise zur Norm als Lehrbuch und Nachschlagewerk gedacht 38 mit SISTEMA berechnete Schaltungsbeispiele Softwaretool SISTEMA dynamische Bestimmung des PL Option DC-Zwischenstufen erste Hersteller-Datenbanken (12) Download 34

36 Beispiel einer "Koexistenz": DIN EN ISO /A1 (Entwurf): Textilmaschinen Die Teile des Steuer- und Regelsystems, die sich auf die Verriegelungseinrichtung und andere Sicherheitsvorschriften aller in diesem Abschnitt beschriebenen Wicklerarten beziehen, müssen einen Performance Level von mindestens PL = d nach ISO :2006 oder einen Sicherheits- Integritätslevel von SIL = 2 nach IEC 62061:2005 aufweisen. 36

37 Verderben (gute) Zahlen bisherige gute Praxis? Die Produktnorm IEC definiert Typen zur Klassifikation von BWS. Ein Typ beschreibt neben dem erforderlichen Verhalten im Fehlerfall auch produktspezifische Anforderungen (Detektionsvermögen, EMV, Abstrahlwinkel usw.). Im Rahmen der Produktnorm wird somit auch die erforderliche systematische Eignung risikoabhängig beschrieben. Die gängigsten Typen sind: Typ 2 Lichtschranken, Lichtgitter Typ 3 Laserscanner Typ 4 Lichtschranken, Lichtgitter 37

38 DKE Tagung zur IEC Verderben (gute) Zahlen bisherige gute Praxis? Eine erforderliche Risikominderung wurde in der Vergangenheit beim Einsatz von BWS in der Regel analog zu den Kategorien nach EN bestimmt. Produkte des Typs 2 oder des Typs 3 erreichen von der Ausfallwahrscheinlichkeit her (jedoch) oft einen "besseren" SIL Die Konsequenzen? 38

39 DKE Tagung zur IEC Verderben (gute) Zahlen bisherige gute Praxis? 10-8 Typ 2 BWS mit unzureichender systematischer Eignung zur Absicherung höchster Risiken im Maschinenschutz!?? Nach EN 62061: können Intervalle für den Proof-Test, die kürzer als 10 Jahre sind, für viele Maschinenanwendungen unvernünftig kurz sein. Proof-Tests bedingen ausführliche und umfassende Überprüfungen, und... z. B. Anweisungen für den Proof-Test. 39

40 Verderben (gute) Zahlen bisherige gute Praxis? Erste Diskussionen im MT zur IEC und IEC Mögliche Lösung: Anforderungen zur minimalen Safety Permance und gleichzeitig Beschränkung des maximalen SIL/PL Type Safety performance according to IEC and/or ISO PL b SIL 1 and/or PL c SIL 2 and/or PL d SIL 3 and/or PL e Anmerkung: In Diskussion 40

41 DKE Tagung zur IEC Auswirkungen der zweiten Edition der IEC auf IEC Zur Diskussion: Beschränkung auf Route 1 H nach IEC Zur Diskussion: Rasches Amendment 41

42 DKE Tagung zur IEC Vermutungswirkung der Vorgängernorm EN Vorschlag durch CEN/SMS: Verlängerung bis (anstatt ) Begründung: Fehlende Bauteilwerte Entscheidung durch Europäische Kommission nach: Beratung mit Experten Diskussion in der Machinery Working Group am 7./

43 DKE Tagung zur IEC Beschlüsse von IEC/TC44 in Peking Die Liaison Gruppe soll Empfehlungen für eine zukünftige Norm aus der Zusammenlegung von IEC and ISO unter einem ISO- und IEC-Doppellogo geben. Die Empfehlungen sollen einer neuen Arbeitsgruppe (JWG) als Basis für eine Zusammenlegung von IEC und ISO dienen. 43