3.4 Zuverlässigkeit von Steuerungen (Control Reliability)

OSHA 1910.211

Enthält sinngemäß die folgenden Anforderungen: Ein Steuerungssystem muss so konstruiert sein, dass

  • ein innerhalb des Systems auftretender Fehler das Auslösen des normalen Stoppvorgangs nicht verhindert,
  • ein weiterer Maschinenzyklus nicht ausgeführt werden kann, bevor der Fehler nicht behoben ist und
  • der Fehler durch einen einfachen Test aufgedeckt, oder vom Steuerungssystem angezeigt werden kann.


ANSI B11.19-2003

Abschnitt 3.14 definiert Control Reliability sinngemäß wie folgt:

Control Reliability ist die Fähigkeit der Maschinensteuerung, der Schutzeinrichtung, anderer Steuerungskomponenten und der damit verbundenen Schnittstellen, einen sicheren Zustand herbeizuführen wenn ein Fehler auftritt, der ihre sicherheitsbezogene Funktionen betrifft.

Abschnitt E.6.1 präzisiert weiter:

Kann die wiederholte Ausführung eines Maschinenzyklusses

  • beim Auftreten eines schweren mechanischen Fehlers oder
  • bei gleichzeitigem Ausfall von mehreren Komponenten nicht verhindern.

Zum strukturellen Aufbau gibt die Norm folgenden Hinweis:

Control Reliability wird nicht durch einfache Redundanz gewährleistet. Es muss eine Überwachung stattfinden um sicherzustellen, dass die Redundanz wirksam bleibt.


ANSI B11.20

Auch in der ANSI B11.20, Abschnitt E.6.13, wird zur Steuerungsstruktur sinngemäß folgendes ausgesagt:

Schutz vor den Folgen des Ausfalls von Steuerungskomponenten sollte nicht allein von einfacher Redundanz abhängen. Ein Ausfall einer Komponente von zwei oder mehreren parallel oder seriell geschalteten Steuerungskomponenten kann bei einfacher, also nicht überwachter Redundanz, unbemerkt bleiben. Der Anschein eines sicheren Betriebs bleibt erhalten. Wenn nun in der Folge ein weiteres Element im anderen, redundanten Schaltkreis ebenfalls ausfällt, kann ein gefahrbringender Zustand eintreten. Eine Überwachung von redundanten Steuerungsstrukturen und die Aufdeckung und die sichere Reaktion auf solche Einzelfehler ist daher zwingend erforderlich.


ANSI / RIA R15.06-1999

Diese ANSI-Norm enthält weitere funktionale Anforderungen zur Control Reliability und auch Aussagen zu Fehlern aufgrund gemeinsamer Ursachen, wie z. B. Überspannung. Anmerkung: Der Begriff „gemeinsam“ bedeutet, dass diese Ursachen gleichzeitig und in gleicher Weise auf die redundant aufgebauten Steuerungskanäle einwirken können.

  • Die Überwachung muss ein Stoppsignal auslösen, wenn ein Fehler erkannt wird
  • Es muss eine Warnung ausgegeben werden, wenn die Gefährdung weiter bestehen bleibt, nachdem die Bewegung zum Stillstand gekommen ist.
  • Nachdem der Fehler erkannt wurde, muss ein sicherer Zustand aufrecht erhalten bleiben, bis der Fehler behoben ist.
  • Fehler mit gemeinsamer Ursache (z. B. Überspannung) müssen berücksichtigt werden, wenn die Wahrscheinlichkeit des Auftretens eines solchen Fehlers hoch ist.
  • Ein Einzelfehler sollte zum Zeitpunkts seines Auftretens erkannt werden. Wenn dies nicht praktikabel ist, sollte der Fehler bei der nächsten Inanspruchnahme der Sicherheitsfunktion erkannt werden.


Vergleich der ANSI, IEC/EN-Anforderungen an sicherheitsgerichtete Steuerungen

Es existiert keine exakte Übereinstimmung in der Definition von Funktionaler Sicherheit oder Control Reliability in der US- und IEC/EN-Normenwelt. Relativ nahe an die OSHA / ANSI Anforderungen kommen die Anforderungen der Kategorie 3 der EN ISO 13849-1:

  • Die sicherheitsbezogenen Teile von Steuerungen und/ oder ihre Schutzeinrichtungen als auch ihre Bauteile müssen in Übereinstimmung mit den zutreffenden Normen so gestaltet, gebaut, ausgewählt und kombiniert werden, dass sie den zu erwartenden Einflüssen standhalten können.
  • Bewährte Sicherheitsprinzipien müssen bei der Konstruktion angewendet werden. Sicherheitsbezogene Teile müssen so gestaltet sein, dass:
    • ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt, und
    • wann immer in angemessener Weise durchführbar, der einzelne Fehler erkannt wird

Das Verhalten im Fehlerfall einer sicherheitsgerichteten Steuerung nach Kategorie 3 wird wie folgt spezifiziert:

  • Wenn ein einzelner Fehler auftritt, bleibt die Sicherheitsfunktion immer erhalten.
  • Einige, aber nicht alle Fehler werden erkannt.*
  • Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion führen.*

*) Die Risikobewertung gibt an, ob der volle oder teilweise Verlust der Sicherheitsfunktion(en), der sich aus den Fehlern ergibt, tragbar ist.


Hinweis
 

Die PC-Software SISTEMA des Instituts für Arbeitsschutz (IFA) dient zur automatischen Berechnung und Bewertung der funktionalen Sicherheit von Steuerungssystemen gemäß EN ISO 13849-1. Sie ist eine ideale Ergänzung zu Safexpert und als Freeware kostenlos unter www.leuze.de/sistema downloadbar. Weitere Informationen siehe Kapitel 2.4.1.