2.4.1 EN ISO 13849-1 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze“

Im Oktober 2006 wurde die EN ISO 13849-1 als Nachfolgenorm der EN 954-1 offiziell verabschiedet. Wie die EN 954-1 umfasst ihr Anwendungsbereich sicherheitsbezogene Teile von Steuerungen (SRP/CS) und alle Arten von Maschinen, ungeachtet der verwendeten Technologie und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch, usw.). Sie setzt auf den bekannten Kategorien der EN 954-1 auf, enthält spezielle Anforderungen für SRP/CS mit programmierbaren elektronischen Systemen. Mit der EN ISO 13849-1 erfolgt über den qualitativen Ansatz der EN 954-1 hinaus auch eine quantitative Betrachtung der Sicherheitsfunktionen. Zur Einteilung unterschiedlicher sicherheitstechnischer Leistungsfähigkeit werden in der EN ISO 13849-1 aufbauend auf den Kategorien sogenannte Performance Level (PL) definiert. Die fünf PL (a, b, c, d, e) stehen für unterschiedliche durchschnittliche Wahrscheinlichkeitswerte eines gefährlichen Ausfalls pro Stunde.

Performance Level (PL) gemäß EN ISO 13849-1

Performance Level (PL)Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (1/h)
a≥ 10-5 bis < 10-4
b≥ 3 x 10-6 bis < 10-5
c≥ 10-6 bis 3 x 10-6
d≥ 10-7 bis < 10-6
e≥ 10-8 bis < 10-7

Bestimmung des Performance Levels required PLr

Um den PLr für jede Sicherheitsfunktion des sicherheitsrelevanten Steuerungssystems zu definieren, ist eine Risikobeurteilung durchzuführen und zu dokumentieren. Der informative Anhang A der Norm stellt ein qualitatives Verfahren zur Abschätzung des Risikos und zur Ermittlung des PLr vor.

Risikoparameter:

S Schwere der Verletzung
S1 leichte (üblicherweise reversible Verletzung)
S2 ernste (üblicherweise irreversible Verletzung einschließlich Tod)
F Häufigkeit und/oder Dauer der Gefährdungsexposition
F1 selten bis weniger häufig und/oder die Zeit der Gefährdungsexposition ist kurz
F2 häufig bis dauernd und/oder die Zeit der Gefährdungsexposition ist lang
P Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens
P1 möglich unter bestimmten Bedingungen
P2 kaum möglich
Abb. 2.4.2-1: Risikograph zur Bestimmung des PL<sub>r</sub> für jede Sicherheitsfunktion (Quelle: EN ISO 13849-1) Abb. 2.4.2-1: Risikograph zur Bestimmung des PLr für jede Sicherheitsfunktion (Quelle: EN ISO 13849-1)

Legende

StartStartpunkt zur Bewertung des erforderlichen Beitrags der Sicherheitseinrichtung zur Risikominderung
L niedriger Beitrag zur Risikominderung
H hoher Beitrag zur Risikominderung
PLr Performance Level required

Ermittlung des erreichten Performance Level PL

Für die Ermittlung des Performance Levels von Bauteilen/ Geräten sind folgende sicherheitstechnische Kenngrößen notwendig:

Kenngrößen der EN ISO 13849-1Bedeutung
Cat.Kategorie (B, 1, 2, 3, 4), Struktureller Aufbau als Basis um einen bestimmten PL zu erreichen
PLPerformance Level (a, b, c, d, e)
MTTFd Mittlere Zeit bis zu einem gefährlichen Ausfall (en: mean time to dangerous failure)
B10d Anzahl von Zyklen bei denen 10% einer Stichprobe der betrachteten verschleissbehafteten pneumatischen oder elektromechanischen Komponenten gefährlich ausgefallen sind
DCDiagnosedeckungsgrad (en: diagnostic coverage)
CCFAusfall aufgrund gemeinsamer Ursache (en: common cause failure)
TM Gebrauchsdauer, Vorgesehener Verwendungszeitraum (en: mission time)

Als weitere zu betrachtende Parameter können auch betriebliche Gesichtspunkte wie Anforderungsrate und/oder die Testrate der Sicherheitsfunktion Einfluss auf das resultierende PL haben.

Hinweis

Die PC-Software SISTEMA des Instituts für Arbeitsschutz (IFA) dient zur Berechnung und Bewertung der funktionalen Sicherheit von Steuerungssystemen gemäß EN ISO 13849-1. Sie ist eine ideale Ergänzung zu Safexpert und als Freeware kostenlos unter www.leuze.de/sistema downloadbar.

Eine vereinfachte Methode zur Ermittlung des erreichten PL zeigt Abb. 2.4.2-3 . Sie veranschaulicht eine graphische Methode zur groben Abschätzung des PL anhand der genannten sicherheitstechnischen Kenngrößen der Komponenten (EN ISO 13849-1).

Die Kombination von Kategorie und DCavg bestimmt welche Spalte zu wählen ist. Dann wird gemäß der MTTFd eines jeden Kanals der jeweilige schraffierte Bereich in der Spalte bestimmt. Nun kann der sich ergebende PL an der vertikalen Achse abgelesen werden.

Abb. 2.4.2-3: Beziehung zwischen den Kategorien, DC<sub>avg</sub>, MTTF<sub>d</sub> jedes Kanals und des daraus resultierenden PL (Quelle: EN ISO 13849-1) Abb. 2.4.2-3: Beziehung zwischen den Kategorien, DCavg, MTTFd jedes Kanals und des daraus resultierenden PL (Quelle: EN ISO 13849-1)
MTTFd in Jahren
MTTFd jedes Kanals = niedrig 3 < MTTFd < 10
MTTFd jedes Kanals = mittel 10 < MTTFd < 30
MTTFd jedes Kanals = hoch
30 < MTTFd < 100
Diagnosedeckungsgrad DC
no DC < 60%
low 60% DC < 90%
medium
90% DC < 99%
high99% DC ≤ 100%

Abschätzung der Auswirkung des CCF

Dieser quantitative Prozess sollte für das gesamte System angewendet werden. Jede Komponente des sicherheitsbezogenen Teils der Steuerung sollte berücksichtigt werden.

Nachstehende Tabelle listet einen Auszug an Verfahren zur Quantifizierung für Maßnahmen gegen CCF.

Entwurf/Anwendung/Erfahrung
Schutz gegen Überspannung, Überdruck, Überstrom usw.
Verwendung bewährter Bauteile
Beurteilung/Analyse
Sind die Ergebnisse einer Ausfallart und Effektanalyse berücksichtigt worden, um Ausfälle infolge gemeinsamer Ursache in der Entwicklung zu vermeiden?
Kompetenz/Ausbildung
Sind Konstrukteure/Monteure geschult worden, um die Gründe und Auswirkungen von Ausfällen infolge gemeinsamer Ursache zu erkennen?

Validierung

Die Gestaltung einer sicherheitsrelevanten Steuerungsfunktion muss validiert werden. Die Validierung muss zeigen, dass das Design jeder Sicherheitsfunktion die entsprechenden Anforderungen erfüllt (Quelle: EN ISO 13849-2).

IFA Software SISTEMA

Die Software IFA Software SISTEMA finden Sie unter Downloads .