2.4.2 EN IEC 62061 „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer und elektronischer und programmierbarer elektronischer Steuerungssysteme“

Diese Norm enthält Anforderungen und Empfehlungen für den Entwurf, die Integration und die Validierung von sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen Steuerungssysteme (SRECS) für Maschinen, die während der Arbeit nicht von Hand tragbar sind. Im Gegensatz zur EN ISO 13849-1 legt sie keine Anforderungen für die Leistungsfähigkeit von nicht-elektrischen (z. B. hydraulischen, pneumatischen, elektromechanischen) sicherheitsbezogenen Steuerungselementen für Maschinen fest. Im Gesamtrahmen der EN ISO 12100 dient sie alternativ zur EN ISO 13849-1 zur Spezifikation der zur Risikoreduzierung erforderlichen sicherheitstechnischen Leistungsfähigkeit von sicherheitsbezogenen elektrischen Steuerungssystemen. Als sektorspezifische Norm unterhalb der IEC 61508 betrachtet die EN IEC 62061 für den Anwendungsbereich Maschinen den gesamten SRECS Lebenszyklus von der Konzeptphase bis zur Ausserbetriebnahme. Die sicherheitstechnische Leistungsfähigkeit wird durch sogenannte Safety Integrity Level (SIL) beschrieben.


Sicherheits-Integritätslevel (SILCL) gemäß EN IEC 62061
 

Sicherheits-Integritäts-Level Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHd)
3 ≥ 10-8 bis < 10-7
2 ≥ 10-7 bis < 10-6
1 ≥ 10-6 bis < 10-5

 

Risikoabschätzung und Festlegung des SIL

Im informativen Anhang A der EN IEC 62061 ist beispielhaft ein Verfahren zur qualitativen Risikoabschätzung und Festlegung des SILCL dargestellt. Dieses Verfahren ist für jede spezielle Gefährdung durchzuführen, für die mit Hilfe eines SRECS eine entsprechende Risikominderung erzielt werden soll. Es basiert auf der in der EN ISO 12100 vorgestellten Methode und verwendet zur Beurteilung die Risikoparameter.
 

S Schwere des möglichen Schadens bzw. Verletzung
F Häufigkeit und Dauer der Exposition
W Wahrscheinlichkeit des Auftretens eines gefahrbringenden Ereignisses
P Möglichkeit der Vermeidung oder Begrenzung des Schadens


Für jede spezielle Gefährung werden die einzelnen Risikoparameter betrachtet und je nach Ausprägung (z. B. Schwere, Häufigkeit, Wahrscheinlichkeit) mit einer entsprechenden Zahl bewertet.
 

Schwere S   Häufigkeit der Exposition F   Wahrscheinlichkeit des Auftretens W   Möglichkeit der Vermeidung P
irreversibel: Tod, Verlust eines Auges oder Arms 4   ≤ 1h 5   sehr hoch 5   unmöglich 5
irreversibel: gebrochene Gliedmaßen, Verlust eines Fingers 3   > 1h bis ≤ 1 Tag 5   wahrscheinlich 4   selten 3
reversibel: Behandlung durch Mediziner erforderlich 2   > 1 Tag bis ≤ 2 Wochen 4   möglich 3   wahrscheinlich 1
reversibel: Erste Hilfe erforderlich 1   > 2 Wochen bis ≤ 1 Jahr 3   selten 2      
      > 1 Jahr 2   vernachlässigbar 1      

Tabelle 4.3-1: Klassifikation der Risikoparameter gemäß EN IEC 62061
 

Die Klasse der Wahrscheinlichkeit des Schadens K ergibt sich aus der Addition der Zahlen für die Häufigkeit der Exposition F, der Wahrscheinlichkeit des Auftretens W und der Möglichkeit der Vermeidung P (K = F + W + P). Mit den beiden Parametern S und K geht man anschließend in eine Matrix zur Festlegung des SILCL. Der Schnittpunkt der Zeile S mit der zutreffenden Spalte K zeigt ob und welcher Handlungsbedarf besteht.
 

  Klasse der Wahrscheinlichkeit des Schadens (K)
Schwere (S) 3 bis 4 5 bis 7 8 bis 10 11 bis 13 14 bis 15
4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3
3 - (AM) SIL 1 SIL 2 SIL 3
2 - - (AM) SIL 1 SIL 2
1 - - - (AM) SIL 1
Legende
SIL 1, SIL 2, SIL 3 SIL-Sollwert für die sicherheitsgerichtete Steuerungsfunktion
(AM) Empfehlung der Anwendung anderer Maßnahmen (AM)
- kein Handlungsbedarf

Tabelle 4.3-2: Matrix zur Festlegung des SIL (Quelle: EN IEC 62061, Anhang A)


Entwurf und Integration eines SRECS gemäß EN IEC 62061

Ausgehend von der Risikoanalyse und Risikobeurteilung nach EN ISO 12100 ergibt sich die Notwendigkeit von Sicherheitsfunktionen als Maßnahme zur Risikominderung. Sicherheitsfunktionen die mit SRECS realisiert werden, werden zum Entwurf der Systemarchitektur in Teilsicherheitsfunktionen aufgeteilt. Diesen virtuellen Teilsicherheitsfunktionen werden dann reale Teilsystemelemente zugeordnet.

Dies sind entweder bereits fertig entwickelte Geräte, wie z. B. Sensoren, Steuerungen, Aktoren, oder komplexe, gemäß der vorliegenden Spezifikation gemäß IEC 61508 neu zu entwerfende Komponenten, bestehend aus Hardware mit Embedded-Software oder Anwendungs-Software. Nach dem Systementwurf wird das erreichte Sicherheits-Integritäts-Level (SILCL) ermittelt und verifiziert ob das Soll-SIL erreicht ist.

Ermittlung der erreichten Sicherheitsintegrität (SILCL) eines SRECS

Der erreichte SIL ist immer geringer oder gleich dem geringsten Wert der SILCLs eines der Teilsysteme.

Die Teilsysteme sind durch die Kenngrößen SILCL, PFHd und T1 sicherheitstechnisch beschrieben.

Kenngrößen der EN IEC 62061 Bedeutung
SILCL SIL-Anspruchsgrenze (maximaler SIL-Wert) eines Teilsystems (en: SIL claim limit)
PFHd Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde (en: probability of dangerous failure per hour)
T1 Gebrauchsdauer des Teilsystems (en: lifetime) bzw. Proof-Test Intervall wenn dieser Wert kleiner als die Gebrauchsdauer (Lebensdauer) ist. Anmerkung: Der Proof-Test dient zur Aufdeckung von Fehlern in SRECS und seinen Teilsystemen.


Teilsysteme können aus unterschiedlich verschalteten Teilsystemelementen (Geräten) mit folgenden Kenngrößen bestehen.
 

Kenngrößen der EN IEC 62061 Bedeutung
λ Ausfallrate (en: failure rate); Bei elektromechanischen Geräten wird die Ausfallrate vom Hersteller bezogen auf eine Anzahl Schaltspiele als B10-Wert angegeben. Die zeitbezogene Ausfallrate und die Lebensdauer müssen anhand der Schalthäufigkeit für die jeweilige Anwendung bestimmt werden.
SFF Anteil sicherer Ausfälle (en: Safe Failure Fraction)
T2 Diagnose-Testintervall (en: diagnostic test interval)
ß Anfälligkeit gegenüber Ausfällen in Folge gemeinsamer Ursache
DC Diagnosedeckungsgrad (en: diagnostic coverage)


Ein Kapitel der Norm beschreibt einen vereinfachten Ansatz zur Abschätzung der Wahrscheinlichkeit gefahrbringender Hardwareausfälle von Teilsystemen. Es werden hierbei 4 verschiedene Teilsystemarchitekturen (A, B, C, D) zu Grunde gelegt. Für jede dieser Architekturen sind die entsprechenden Berechnungsformeln für die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems (PFHd) angegeben. Der PFHd-Wert des sicherheitsgerichteten Steuerungssystems ermittelt sich aus der Addition der einzelnen PFHd-Werte der Teilsysteme.


Validierung
 

Kapitel 8 enthält Anforderungen zur Validierung des sicherheitsbezogenen elektrischen Steuerungssystems. Bei der Validierung wird durch Inspektion und Prüfung sichergestellt, dass das Design jeder Sicherheitsfunktion die entsprechenden Anforderungen der Spezifikation erfüllt.


Gültigkeit der EN IEC 62061
 

Die IEC 62061 wurde Ende 2004 verabschiedet und ohne Abänderung als europäische Norm angenommen. Die EN 62061 ist seit dem 31.12.2005 im EU-Amtsblatt als Norm mit Vermutungswirkung zur Erfüllung der Maschinenrichtlinie 2006/42/EG gelistet