IEC 62061, ISO 13849 und wie geht es weiter?

IEC 62061, ISO 13849 und wie geht es weiter? Thomas.Boemer@dguv.de FB Unfallverhütung/Produktsicherheit

Normensituation: Funktionale Sicherheit Maschinenindustrie Prozessindustrie Elektrik Hydraulik Pneumatik Mechanik IEC 62061 IEC 61511 EN ISO 13849 IEC 61508 Elektrik Elektronik programm. Elek. (E/E/PE) 2

Grundkonzepte IEC 62061 und EN ISO 13849 Zur Anwendung der Normen Beispiele aktueller Entwicklungen und Ausblick 3

IEC 62061 Safety Integrity Level EN ISO 13849 Performance Level 4

Sicherheits-Integritätslevel nach IEC 62061 Sicherheits- Integritätslevel SIL X niedrige Anforderungsrate mittlere Wahrscheinlichkeit die entworfene Funktion auf Anforderung nicht auszuführen PFD hohe Anforderungsrate bzw. kontinuierliche Anforderung mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFH XXXXXX 4 >= 10-5 bis < 10-4 >= 10-9 bis < 10-8 3 >= 10-4 bis < 10-3 >= 10-8 bis < 10-7 2 >= 10-3 bis < 10-2 >= 10-7 bis < 10-6 1 >= 10-2 bis < 10-1 >= 10-6 bis < 10-5 Im Maschinenschutz nur SIL 1 bis SIL 3 5

Definition SIL (hohe/kont. Anforderung) & Beziehung zum PL EN ISO 13849-1 Wahrscheinlichkeit (Häufigkeit) eines gefahrbringenden Ausfalls pro Stunde (PFH) 10-4 10-5 3 10-6 10-6 10-7 10-8 PL a b c d e SIL EN 62061 IEC 61508 keine besonderen Sicherheitsanforderungen Absicherung niedriger Risiken 1 2 3 Absicherung hoher Risiken (4) 6

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus EN ISO 13849 Performance Level iterat. Gestaltungsprozess 7

Sicherheits-Lebenszyklus 62061 Management der funk tiona len Sicherheit: Abschnitt 4 Management der funktionalen Sicherheit Test Gefährdungs- & Risikoanalyse Spezifikation der Anforderungen für die sicherheitsbezogenen Steuerungsfunktionen: Abschnitt 5 Leitfaden im Anhang A: Methodologie zur Bestimmung des SIL sicherheitsbezogene SRECS-Steuerungsfunktion ausd rückt in Form des zu ereichenden SIL SRECS-Entwurf und Entwicklung (einschließlich der Realisierung von SRECS- Teilsystemen): Abschnitt 6 SRECS-Integration und Test: Unterabsc hnitt 6.12 Spezifikation Entwurf & Entwicklung SRECS-Entwurf (Hardware und Software) im Sinne des erreichten SIL Integration Benutzung Benutzer- und Instandhaltungsinformationen des SRECS: Abschnitt 7 Instandhaltung Validierung des SRECS: Abschnitt 8 Validierung Modifikation Anforderungen zur nachfolgenden SRECS- Modifikation: Abschnitt 9 8

Iterativer Prozess zur Gestaltung von SRP/CS nach 13849-1 von Risikoanalyse (EN ISO 12100-1) Auswahl der SF Festlegung: Anforderungen an SF Bestimmung PLr Design, Identifikation SRP/CS Bestimmung PL Kategorie MTTF d DC avg CCF Software und systematische Fehler zur Risikoanalyse ja PL PLr ja Validierung ja Alle SF? nein nein nein 9

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix EN ISO 13849 Performance Level iterat. Gestaltungsprozess Risikograph 10

Risikoeinschätzung über Risikoelemente Risiko bezogen auf die betrachtete Gefährdung ist eine Funktion von Ausmaß des möglichen Schadens durch die betrachtete Gefährdung und Wahrscheinlichkeit des Eintritts dieses Schadens - Häufigkeit/Dauer der Exposition - Eintrittswahrscheinlichkeit - Möglichkeit der Vermeidung/ Begrenzung des Schadens EN ISO 14121-1, Bild 2 11

Risikoabschätzung und SIL-Bestimmung Klasse der Schwere sehr schwer (Tod, ) schwer reversibel oder leicht irreversibel reversibel (Mediziner) reversibel (Erste Hilfe) Klasse der Wahrscheinlichkeit bis Häufigkeit/Dauer (F) bis Wahrscheinlichk. (W) bis Vermeidung (P) Σ bis Punkte 12

Risikoabschätzung und SIL-Bestimmung Klasse der Schwere Klasse der Wahrscheinlichkeit Schwere (S) 4 5-7 Klasse (K) 8-10 11-13 14-15 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 3 (AM) SIL 1 SIL 2 SIL 3 2 (AM) SIL 1 SIL 2 1 (AM) SIL 1 13

Risikograph nach EN ISO 13849-1 S1: Leichte, reversible Verletzung S2: Schwere Verletzung, Tod F1: Seltene bis weniger häufig und/oder kurze Exposition F2: Häufige bis dauernde und/oder lange Exposition P1: Gefahrabwendung möglich unter bestimmten Bedingungen P2: Gefahrabwendung kaum möglich 14

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess EN ISO 13849 Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess 15

SRECS Entwurfs- und Entwicklungsprozess 1. Identifikation SRECS für jede SRCF Zerlegung in Funktionsblöcke 2. Zerlegung der SRCF in Funktionsblöcke und Erstellung Konzept für Architektur des SRECS Architektur 3. Detaillierung der Sicherheitsanforderungen jedes Funktionsblocks 4. Zuordnung der Funktionsblöcke zu SRECS-Teilsystemen Verifikation 5. Verifikation 16

SRECS Entwurfs- und Entwicklungsprozess: Realisierung Auswahl 6A. Auswahl vorhandenes Teilsystem 6B. Entwurf und Entwicklung Teilsystem Entwurf & Entwicklung komplexe Bauteile & 7. Entwurf der Diagnosefunktion(en) Teilsysteme IEC 61508 17

Iterativer Prozess zur Gestaltung von SRP/CS nach 13849-1 von Risikoanalyse (EN ISO 12100-1) Auswahl der SF Festlegung: Anforderungen an SF Bestimmung PLr Design, Identifikation SRP/CS Bestimmung PL Kategorie MTTF d DC avg CCF Software und systematische Fehler zur Risikoanalyse ja PL PLr ja Validierung ja Alle SF? nein nein nein 18

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen EN ISO 13849 Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) 19

Strukturelle Einschränkungen nach IEC 62061 Anteil sicherer Ausfälle (SFF) Fehlertoleranz der Hardware 0 1 2 <60% nicht erlaubt SIL 1 SIL 2 60 % - < 90 % SIL 1 SIL 2 SIL 3 90 % - < 99 % SIL 2 SIL 3 SIL 3 99 % SIL 3 SIL 3 SIL 3 Anteil sicherer Ausfälle (SFF) in Abhängigkeit von der Fehlertoleranz der Hardware erforderlich 20

Vorgesehene Architekturen nach EN ISO 13849-1 Kategorie B und 1: Kategorie 2: Kategorie 3 und 4: DC 60 % ab Kategorie 2 21

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen Strukturmodelle EN ISO 13849 Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) Säulendiagramm 22

Strukturmodelle vereinfachter Rechenansatz der IEC 62061 einkanalig zweikanalig ohne Diagnose mit Diagnose 23

Vereinfachte Bestimmung des Performance-Levels (13849) 24

IEC 62061 Safety Integrity Level Sicherheits-Lebenszkylus SIL-Risikomatrix Entwurfs- und Entwicklungsprozess strukturelle Einschränkungen Strukturmodelle Software EN ISO 13849 Performance Level iterat. Gestaltungsprozess Risikograph Entwurfs- und Entwicklungsprozess vorgesehene Architekturen (Kategorien) Säulendiagramm Software 25

Entwurf und Entwicklung von Software 62061 13849 bei PL e wenn nicht diversitär Anwendungssoftware (LVL) IEC 61508-3 Embedded Software (FVL) IEC 61508-3 (7) Parametrierung 26

Grundkonzepte IEC 62061 und EN ISO 13849 Zur Anwendung der Normen Beispiele aktueller Entwicklungen und Ausblick 27

Abgrenzung von IEC 62061 & EN ISO 13849-1 gemäß Vorwort TECHNOLOGIE IEC 62061 EN ISO 13849-1 Nichtelektrik, z. B. Hydraulik Elektromechanik, z. B. Relais und/oder einfache Elektronik komplexe Elektronik, z. B. programmierbar Kombination verschiedener Technologien nicht betrachtet alle Architekturen und bis zu SIL 3 alle Architekturen und bis zu SIL 3 Beschränkungen wie oben, nichtelektrische Teile nach EN ISO 13849-1 X beschränkt auf vorgesehene Architekturen und bis zu PL = e beschränkt auf vorgesehene Architekturen und bis zu PL = d Beschränkungen wie oben Entspricht in Bezug auf EN ISO 13849-1 eher dem Stand des Entwurfs pren ISO 13849-1 (Juni 2004). 28

Nichtelektrik, z.b. Hydraulik Elektromechanik, z.b. Relais und/oder einfache Elektronik komplexe Elektronik, z.b. programmierbar Embedded Software (SRESW) Anwendungssoftware (SRASW) Kombination verschiedener Technologien IEC 62061 nicht enthalten alle Architekturen und bis zu SIL 3 bis zu SIL 3 bei Entwicklung nach IEC 61508 Entwicklung nach IEC 61508-3 bis zu SIL 3 Beschränkungen wie oben, nichtelektrische Teile nach EN ISO 13849-1 EN ISO 13849-1 enthalten alle Architekturen und bis zu PL = e alle Architekturen und bis zu PL = e bis zu PL = e (PL = e ohne Diversität: Entwicklung nach IEC 61508-3, Abschnitt 7) bis zu PL = e Beschränkungen wie oben 29

C 160/57 und C241/27: Amtsblatt der Europäischen Union Harmonisierte Normen der Richtlinie 98/37/EG 30

Neu: Technischer Report zu IEC 62061 und EN ISO 13849-1 Guidance on the application of ISO 13849-1 & IEC 62061 in the design of safety-related control systems for machinery Erarbeitet von einer Liaison-Gruppe aus Mitgliedern beider Normenkreise. Erscheint als IEC/TR 62061-1 bzw. ISO/TR 23849. Enthält allgemeine Aussagen zur Anwendung der beiden Normen und ein nach beiden Normen berechnetes Beispiel. 31

IEC/TR 62061-1: Details aus dem Inhalt (1) Corrigenda in beiden Normen werden auf den Report hinweisen. Tabelle 1 im Vorwort wird ersatzlos gestrichen. Methoden der beiden Normen sind unterschiedlich, können aber eine vergleichbare Risikominderung erreichen. Es kann IEC 62061 und/oder ISO 13849-1 zur Anwendung kommen. Für sicherheitsbezogene Steuerungssysteme mit Nichtelektrik kann die Anwendung der ISO 13849-1 passender sein. Möchte der Kunde Sicherheitsintegrität als SIL, kann die Anwendung der IEC 62061 passender sein. 32

IEC/TR 62061-1: Details aus dem Inhalt (2) Aktivitäten beide Normen zusammenzuführen, bedingen eine ausreichende Erfahrung mit der praktischen Anwendung. Jedes komplexe Teilsystem in Übereinstimmung mit IEC 61508 kann in SRECS oder SRP/CS integriert werden. Eine Mischung der Anforderungen aus beiden Normen ist nicht zulässig. Die Unterschiede der Ergebnisse des berechneten Steuerungsbeispiels liegen innerhalb der erwarteten Fehlergrenzen. Die beiden Normen handhaben den ß-Faktor (CCF) leicht unterschiedlich. 33

Hilfsmittel zur Anwendung der DIN EN ISO 13849-1 BGIA-Report 2/2008 (auch in englisch) Einführung und Hinweise zur Norm als Lehrbuch und Nachschlagewerk gedacht 38 mit SISTEMA berechnete Schaltungsbeispiele Softwaretool SISTEMA dynamische Bestimmung des PL Option DC-Zwischenstufen erste Hersteller-Datenbanken (12) Download www.dguv.de/bgia/13849 34

Grundkonzepte IEC 62061 und EN ISO 13849 Zur Anwendung der Normen Beispiele aktueller Entwicklungen und Ausblick 35

Beispiel einer "Koexistenz": DIN EN ISO 11111-1/A1 (Entwurf): Textilmaschinen Die Teile des Steuer- und Regelsystems, die sich auf die Verriegelungseinrichtung und andere Sicherheitsvorschriften aller in diesem Abschnitt beschriebenen Wicklerarten beziehen, müssen einen Performance Level von mindestens PL = d nach ISO 13849-1:2006 oder einen Sicherheits- Integritätslevel von SIL = 2 nach IEC 62061:2005 aufweisen. 36

10-6 10-8 10-9 10-7 10-8 10-8 Verderben (gute) Zahlen bisherige gute Praxis? Die Produktnorm IEC 61496-1 definiert Typen zur Klassifikation von BWS. Ein Typ beschreibt neben dem erforderlichen Verhalten im Fehlerfall auch produktspezifische Anforderungen (Detektionsvermögen, EMV, Abstrahlwinkel usw.). Im Rahmen der Produktnorm wird somit auch die erforderliche systematische Eignung risikoabhängig beschrieben. Die gängigsten Typen sind: Typ 2 Lichtschranken, Lichtgitter Typ 3 Laserscanner Typ 4 Lichtschranken, Lichtgitter 37

DKE Tagung zur IEC 61508 10-6 10-8 10-9 10-7 10-8 Verderben (gute) Zahlen bisherige gute Praxis? Eine erforderliche Risikominderung wurde in der Vergangenheit beim Einsatz von BWS in der Regel analog zu den Kategorien nach EN 954-1 bestimmt. Produkte des Typs 2 oder des Typs 3 erreichen von der Ausfallwahrscheinlichkeit her (jedoch) oft einen "besseren" SIL. 10-8 Die Konsequenzen? 38

DKE Tagung zur IEC 61508 10-6 10-8 10-9 10-7 10-8 Verderben (gute) Zahlen bisherige gute Praxis? 10-8 Typ 2 BWS mit unzureichender systematischer Eignung zur Absicherung höchster Risiken im Maschinenschutz!?? Nach EN 62061: können Intervalle für den Proof-Test, die kürzer als 10 Jahre sind, für viele Maschinenanwendungen unvernünftig kurz sein. Proof-Tests bedingen ausführliche und umfassende Überprüfungen, und... z. B. Anweisungen für den Proof-Test. 39

10-6 10-8 10-9 10-7 10-8 10-8 Verderben (gute) Zahlen bisherige gute Praxis? Erste Diskussionen im MT zur IEC 61496-1 und IEC 62046 Mögliche Lösung: Anforderungen zur minimalen Safety Permance und gleichzeitig Beschränkung des maximalen SIL/PL Type 1 2 3 4 Safety performance according to IEC 62061 and/or ISO 13849-1 PL b SIL 1 and/or PL c SIL 2 and/or PL d SIL 3 and/or PL e Anmerkung: In Diskussion 40

DKE Tagung zur IEC 61508 Auswirkungen der zweiten Edition der IEC 61508 auf IEC 62061 Zur Diskussion: Beschränkung auf Route 1 H nach IEC 61508-2 Zur Diskussion: Rasches Amendment 41

DKE Tagung zur IEC 61508 Vermutungswirkung der Vorgängernorm EN 954-1 Vorschlag durch CEN/SMS: Verlängerung bis 31.12.2012 (anstatt 28.12.2009) Begründung: Fehlende Bauteilwerte Entscheidung durch Europäische Kommission nach: Beratung mit Experten Diskussion in der Machinery Working Group am 7./8.12.2009 42

DKE Tagung zur IEC 61508 Beschlüsse von IEC/TC44 in Peking 09.09 Die Liaison Gruppe soll Empfehlungen für eine zukünftige Norm aus der Zusammenlegung von IEC 62061 and ISO 13849-1 unter einem ISO- und IEC-Doppellogo geben. Die Empfehlungen sollen einer neuen Arbeitsgruppe (JWG) als Basis für eine Zusammenlegung von IEC 62061 und ISO 13849-1 dienen. 43