Suchen

Maschinensicherheit

Die drei Standards der Maschinensicherheit: EN ISO 13849, EN 62061 und IEC 61508

| Autor/ Redakteur: Thomas Steffens, David Schepers* / Reinhard Kluger

Die zum Teil komplexen Normen im Bereich der Maschinensicherheit sind für Maschinenbauer nicht immer einfach. Wir geben einen Einblick und zeigen Entwicklungstendenzen beim Regelwerk für den Bereich „Sicherheit von Maschinen“ auf.

Firmen zum Thema

Die IEC 61508 gilt als Basisnorm.
Die IEC 61508 gilt als Basisnorm.
( TÜV Rheinland )

Die Grundlage für Funktionale Sicherheit im Bereich „Sicherheit von Maschinen“ war lange Zeit die EN 954-1. Die Verwendung elektronischer, programmierbarer Systeme für Sicherheitsfunktionen war durch diese Norm jedoch nicht abgedeckt. Des Weiteren hatte sie keinen definierten Bezug zu Sicherheitsfunktionen, die Kategorien stellten nur Anforderungen an „sicherheitsrelevante Teile von Steuerungen“ und der Zusammenhang zur notwendigen „Safety Performance“ für eine Sicherheitsfunktion war nicht definiert.

Die Erkenntnis, dass die EN 954-1 nicht mehr ausreichend den Stand der Technik repräsentierte, führte letztlich dazu, dass im Verlauf der vergangenen Jahre viele verschiedene und zum Teil komplexe Normen entworfen bzw. überarbeitet wurden. Die wichtigsten im Bereich der Maschinensicherheit sind die IEC 61508, EN 62061 und die EN ISO 13849-1.

Die IEC 61508 als Basisnorm

Die international akzeptierte IEC 61508 richtet sich als Basisnorm gleichermaßen an Systemintegratoren und Entwickler. Sie ist ein sehr umfangreicher, anwendungsneutraler aber technologiebabhängiger Standard, der aus sieben Teilen besteht. Die ersten drei Teile sind normativ, die verbleibenden informativ. In der IEC 61508 wird der Stand der Technik von sicherheitstechnischen Systemen beschrieben, die elektrische, elektronische oder programmierbare elektronische Systeme (E/E/PES) enthalten. Sie kann für die Entwicklung aller sicherheitstechnischen Systeme, Anlagen und Komponenten angewendet werden, für die kein anwendungsspezifischer Standard existiert, sofern die verwendete Technologie der in der IEC 61508 beschriebenen entspricht. Die IEC 61508 ist nicht unter der Maschinenrichtlinie harmonisiert, wird jedoch häufig herangezogen, wenn kein entsprechender harmonisierter Standard zur Verfügung steht. Weiterhin existieren verschiedene harmonisierte Normen, welche auf die IEC 61508 verweisen.

Die IEC 61508 fordert die Anwendung eines Managements zur Funktionalen Sicherheit über den gesamten Lebenszyklus eines Sicherheitssystems. Daraus ergibt sich die Forderung einer lückenlosen Dokumentation, um die einzelnen Lebenszyklen jederzeit reproduzieren zu können. Dabei wird sowohl der Lebenszyklus einer gesamten Anlage als auch der einer Produktentwicklung betrachtet.

Die in der Abbildung dargestellten vier Schwerpunkte werden in der IEC 61508 behandelt.
Die in der Abbildung dargestellten vier Schwerpunkte werden in der IEC 61508 behandelt.
( TÜV Rheinland )

Die oben genannten Forderungen dienen schwerpunktmäßig der Vermeidung von systematischen Fehlern bei der Produktentwicklung und bei der Konzeption von Sicherheitssystemen. Dabei wird sowohl die Hard- als auch die Software betrachtet. Die erforderliche Effektivität dieser Maßnahmen orientiert sich an dem festgelegten Sicherheitsintegritätslevel (SIL), also an das erforderliche Maß zur Risikoreduzierung.

Save the Date: Anwendertreff Maschinensicherheit Erfahren Sie auf dem Anwendertreff Maschinensicherheit am 25. September 2019, wie Sie die funktionale Sicherheit Ihrer Maschinen und Anlagen normengerecht gewährleisten: Der Kongress unterstützt Konstrukteure, Entwickler, Hersteller und Betreiber dabei, die funktionale Sicherheit ihrer Maschinen und Anlagen so zu gestalten, dass sie den Anforderungen der Maschinenrichtlinie genügt, auch in einer smarten Fabrikumgebung.
Mehr Infos: Anwendertreff Maschinensicherheit

Weitere Schwerpunkte sind die Anforderungen zur Beherrschung von zufälligen und systematischen Fehlern während des Betriebs. Die Bewertung der Maßnahmen zur Fehlerbeherrschung erfolgt durch einen probabilistischen Ansatz. Sie fordert für jede definierte Sicherheitsfunktion die Bestimmung der sicherheitstechnischen Verfügbarkeit, die durch die gefährliche Versagenswahrscheinlichkeit PFD und die gefährliche Versagensrate PFH ausgedrückt wird. Weitere zu bestimmende Kenngrößen in diesem Kontext sind die Hardware Fehler Toleranz (HFT) und der Anteil der ungefährlichen Fehler (Safe Failure Fraction – SFF).

Die für ein System zu erfüllenden Grenzwerte der PFD und PFH werden durch den Sicherheitsintegritätslevel (SIL) definiert. Er legt das erforderliche Maß zur Risikoreduzierung fest. In der IEC 61508 sind vier abgestufte Level SIL 1 bis SIL 4 definiert, welche die Grenzwerte für die PFD und PFH festlegen. Diese müssen von allen an der Sicherheitsfunktion beteiligten Systemen und Komponenten über den gesamten Lebenszyklus eingehalten werden. Die sicherheitstechnischen Kenngrößen PFD und PFH beschreiben letztendlich die Effektivität der realisierten Maßnahmen zur Fehlerbeherrschung (Safety Integrity).

Als zusätzliche Anforderung an die Hardware und deren Diagnose müssen die Grenzen des Anteils der ungefährlichen Fehler (SFF) in Abhängigkeit von der Architektur (Hardware Fehler Toleranz) und der Komplexität der Hardware (Ausfälle eindeutig bestimmbar?) eingehalten werden.

Alle zuvor beschriebenen Schwerpunkte der IEC 61508 beschreiben den Stand der Technik bezüglich der Fehlervermeidung, der Fehlerbeherrschung, der Qualitätssicherung und der Dokumentation für ein Sicherheitssystem bzw. eine zu entwickelnde Sicherheitskomponente.

Ausgehend von den neuen Ansätzen der IEC 61508 entstehen zunehmend Sektoranwendungsnormen, welche die Anforderungen der Funktionalen Sicherheit folgerichtig in den verschiedenen Anwendungsfeldern umsetzen.

Die IEC 61508 gilt als Basisnorm.
Die IEC 61508 gilt als Basisnorm.
( TÜV Rheinland )

Die EN 62061 als Sektoranwendungsnorm

Die EN 62061 „Funktionale Sicherheit von elektrischen, elektronischen und programmierbaren Steuerungen von Maschinen“ wurde als Sektoranwendungsnorm für den Bereich „Sicherheit von Maschinen“ entwickelt und richtet sich schwerpunktmäßig an Maschinenkonstrukteure, Hersteller von Steuerungssystemen und Systemintegratoren von Anlagen. Sie beschreibt dort die Aspekte der Funktionalen Sicherheit bei Verwendung von elektrischen, elektronischen oder programmierbaren elektronischen Systemen (E/E/PES) für den Bereich „Sicherheit von Maschinen“. Die Anwendung dieser Norm in Übereinstimmung mit den dort beschriebenen Anwendungsbereichen kann die Erfüllung der relevanten grundsätzlichen Sicherheitsanforderungen vermuten lassen. Sie ist seit Ende 2005 eine harmonisierte Norm und kann somit für den Nachweis der Übereinstimmung zur MRL angewendet werden.

Im Gegensatz zur IEC 61508 behandelt sie nur diejenigen Aspekte des Sicherheitslebenszyklus, die in Bezug zur Zuweisung der Sicherheitsanforderungen bis hin zur Validierung der Sicherheit stehen. Für die Konstruktion von Maschinen setzt diese Norm voraus, dass verwendete programmierbare elektronische Teilsysteme mit den relevanten Anforderungen der IEC 61508 übereinstimmen. Anforderungen für niedrig komplexe Teilsystemsysteme werden durch die EN 62061 vollständig definiert.

Hinsichtlich der Forderung nach einem Management zur Funktionalen Sicherheit sind die daraus resultierenden Anforderungen denen der IEC 61508 vergleichbar. Es wird großen Wert auf eine strukturierte und geplante Entwicklung gelegt, um so den Anforderungen der Fehlervermeidung zu genügen.

Ebenso wie die IEC 61508 fordert die EN 62061 Maßnahmen zur Fehlerbeherrschung von zufälligen und systematischen Fehlern und Maßnahmen zur Fehlervermeidung. Unterschiedlich ist, dass sie ihren Schwerpunkt mehr auf die Anwendung legt. So sind in der EN 62061 beispielsweise erhöhte EMV-Anforderungen für Sicherheitssysteme zu finden und ein Verweis auf die EN 60204 1 für die Festlegung der Umgebungsanforderungen.

Für den Entwurf und Entwicklung von Anwendungssoftware referenziert die EN 62061 die IEC 61508 3 als Basis für die Anforderungen bei Verwendung von Programmiersprachen mit uneingeschränktem Sprachumfang (FVL). Bei Verwendung von Programmiersprachen mit eingeschränktem Sprachumfang (LVL) legt sie definierte Anforderungen fest mit dem Ziel der Vermeidung von systematischen Fehlern.

Es werden darüber hinaus der Entwurf und die Entwicklung von Software zur Parametrisierung und Konfiguration von Sicherheitssystemen betrachtet. Die Norm geht hierbei sowohl auf proprietäre Werkzeuge als auch auf die Möglichkeit der Verwendung eines PCs als Werkzeug zur Parametrisierung ein.

Die EN 62061 kann als eine weitere hilfreiche Ergänzung für die Beurteilung von Sicherheitssystemen in der Maschinensicherheit betrachtet werden. Abgeleitet von der IEC 61508 konzentriert sie sich hierbei auf die Anwendung und kann nicht eigenständig für die Entwicklung von komplexen Sicherheitsbauteilen angewendet werden.

Die EN 62061 klärt prinzipiell die Frage: Wie kann man aus einzelnen Geräten ein Steuerungssystem aufbauen, das die Sicherheitsanforderungen für die vorgesehene Anwendung erfüllt?

Normen der Funktionalen Sicherheit (Entstehungssituation)
Normen der Funktionalen Sicherheit (Entstehungssituation)
( TÜV Rheinland )

Die EN ISO 13849-1

Die EN ISO 13849-1, welche die frühere Basis für funktionale Sicherheit im Maschinenwesen die EN 954-1 – ersetzt, muss nun als harmonisierte Norm im Sinne der Maschinenrichtlinie für den Bereich „Sicherheit von Maschinen“ angewendet werden. Die Anwendung dieser Norm in Übereinstimmung mit den dort beschriebenen Anwendungsbereichen kann die Erfüllung der relevanten grundsätzlichen Sicherheitsanforderungen vermuten lassen.

Sie richtet sich sowohl an Konstrukteure von Maschinen als auch an Entwickler sicherheitsrelevanter Komponenten.

Die EN ISO 13849-1 versucht den komplexen probabilistischen Ansatz der IEC 61508 mit dem deterministischen Konzept der Kategorien aus der EN 954-1 auf Basis der Risikoanalyse zu vereinen. Sie ist auf SRP/CSs (Safety Relevant Part of Control Systems) aller Arten von Maschinen anzuwenden, ungeachtet der verwendeten Technologie und Energie (z. B. elektrisch, hydraulisch, pneumatisch, mechanisch).

Als praxisgerechter Ansatz, zugeschnitten auf den Bereich „Sicherheit von Maschinen“, dient sie als Leitfaden für die Gestaltung und Beurteilung von Sicherheitssystemen. Um dies zu ermöglichen und die Beurteilung des erreichten Performance Level (PL a bis PL e) zu erleichtern, definiert die Norm ein Verfahren auf der Basis der Klassifizierung von Strukturen, welche vorberechneten Markov-Modellen entsprechen. Diese besitzen unterschiedliche Eigenschaften und spezifizieren Reaktionen im Fall eines Fehlers. Der PL ergibt sich aus der Sicherheitskategorie (wie in der EN 954-1), ergänzt um die weiteren relevanten Aspekte der Funktionalen Sicherheit im Maschinenschutz:

  • Maßnahmen zur Vermeidung von systematischen (Design-)Fehlern (Qualitätsmanagement)
  • Verfügbarkeit der Hardware: MTTFd (Mean Time to Dangerous Failure) muss ausreichend groß sein (PL abhängig).
  • Maßnahmen zur Erkennung und Beherrschung von Fehlern und Ausfällen: DC (Diagnostic Coverage)
  • Maßnahmen gegen Ausfälle gemeinsamer Ursache: CCF (Common Cause Failure)

Die Normen IEC 61508, EN 62061 und EN ISO 13849-1 sind teilweise ineinander überführbar bzw. ergänzen sich. So sind die Anforderungen der EN ISO 13849-1 für programmierbare elektronische Systeme, mit der Methode der EN 62061 für den Entwurf und die Entwicklung von E/E/PES kompatibel. Dabei wird auch die Entwicklung von Software, wie Embedded Software, Applikationssoftware und Software zur Parametrisierung betrachtet. Die EN ISO 13849-1 setzt dabei voraus, dass verwendete programmierbare elektronische Teilsysteme für PL = e mit den relevanten Anforderungen der IEC 61508 –3 übereinstimmen.

Um die Klassifizierung der drei Normen vergleichbar und miteinander kombinierbar zu machen, existiert eine direkte Beziehung zwischen den SIL der IEC 61508 bzw. EN 62061 und den PL der EN ISO 13849-1:

Zusammenhang zwischen PL und SIL
Zusammenhang zwischen PL und SIL
( TÜV Rheinland )

Da die Normen EN 62061 und EN ISO 13849 überlappende Anwendungsbereiche haben, wurde mit Hilfe einer Tabelle im Vorwort beider Normen versucht mögliche Unklarheiten für Prüfstellen und Hersteller zu beseitigen. Diese soll als gemeinsame Erklärung einen Überblick über die Anwendbarkeit und deren Grenzen für die jeweiligen Normen aus dem Bereich Maschinensicherheit geben.

Beide Normen können als Subset der Anforderungen der IEC 61508 angesehen werden, wobei die EN ISO 13849 zusätzliche Design-Einschränkungen besitzt.

Vorteile und Nachteile der Normen

Die in diesem Artikel beschriebenen Normen stellen dem Hersteller von Sicherheitskomponenten und Konstrukteur von Maschinen neue Verfahren zur Beurteilung der Sicherheitsintegrität von Komponenten und Systemen zur Verfügung, ohne ihre Anwendungsbereiche eindeutig gegeneinander abzugrenzen.

Die Frage welche Norm sich in welchem Anwendungsgebiet zukünftig durchsetzen wird, kann derzeit noch nicht beantwortet werden. Eine große Rolle spielen dabei aber sicherlich die hinter den Normen stehenden Interessensverbände. Darüber hinaus können die im Folgenden genannten Vor- und Nachteile der Normen eine wichtige Rolle für ihre Akzeptanz spielen:

Vorteile und Nachteile der Normen im Überblick
Vorteile und Nachteile der Normen im Überblick
( TÜV Rheinland )

Derzeitige Situation und Ausblick

Die EN ISO 13849 hat die frühere Norm zur Funktionalen Sicherheit, die EN 954-1, mittlerweile abgelöst. Da es sich bei der EN ISO 13849 um eine harmonisierte Norm handelt, kann sie zum Sicherheitsnachweis bei Anwendungen, die unter die MRL fallen, angewendet werden.

Die IEC 61508 dagegen ist keine harmonisierte Norm im Sinne einer Europäischen Richtlinie und kann allein nicht zum Nachweis der CE-Konformität verwendet werden. Verschiedene harmonisierte Normen verweisen jedoch auf die IEC 61508 und sie kann außerdem in Fällen angewendet werden, für die keine anwendungsspezifischen harmonisierten Normen existieren. Seit 2010 liegt dieser Standard nun in der zweiten Edition vor, um dem aktuellen Stand der Technik Rechnung zu tragen.

Die IEC 62061 ist seit 2005 als EN 62061 eine harmonisierte Norm und kann daher auch zum Nachweis der CE-Konformität verwendet werden.

Auf den ersten Blick erscheint es zunächst verwirrend, dass mit der EN ISO 13849 und der EN 62061 zwei Standards für das vermeintlich gleiche Anwendungsgebiet existieren. In diesem Zusammenhang sollten einerseits die unterschiedliche Entstehungsgeschichte als auch die Einschränkungen, denen die beiden Normen jeweils unterliegen, berücksichtigt werden. Welche der beiden Normenwerke ein Konstrukteur, Entwickler oder Systemintegrator zum Nachweis der CE-Konformität heranziehen sollte, hängt letztendlich von der konkreten Aufgabenstellung und gegebenenfalls (bezüglich der Produktentwicklung) auch von den Forderungen des Marktes ab. Sowohl die EN ISO 13849 als auch die EN 62061 haben bezogen auf bestimmte Anwendungsgebiete jeweils gewisse Vorzüge, da die beschriebenen vereinfachten Verfahren den Nachweis der CE-Konformität unter Umständen wesentlich erleichtern können.

Für komplexere sicherheitstechnische Komponenten, Systeme oder Anlagen kann es darüber hinaus jedoch notwendig sein, zusätzlich zu den harmonisierten Standards auch die nicht harmonisierte IEC 61508 für die Konformitätsbewertung heranzuziehen, da die vereinfachten Verfahren der EN ISO 13849 und EN 62061 möglicherweise nicht immer ohne weiteres anwendbar oder zielführend sind. Die IEC 61508 bietet insbesondere für die Entwicklung von E/E/PES wesentlich detailliertere Anforderungen und Informationen als die beiden anderen genannten Normen. Weiterhin handelt es sich bei der IEC 61508 um einen international anerkannten Standard, dessen Verwendung eine sicherheitstechnische Klassifizierung weltweit vergleichbar macht. Aus diesen Gründen haben sowohl die beiden harmonisierten Normen EN ISO 13849 und EN 62061 als auch der internationale Standard IEC 61508 in der Maschinensicherheit auch künftig ihre Daseinsberechtigung. Zurzeit wird unter Französischem Mandat daran gearbeitet die beiden Normen EN ISO 13849 und EN 62061 in einer Norm zusammenzufassen.

*  Dipl.-Ing Thomas Steffens und Dr.-Ing. David Schepers sind Fachreferenten des TÜV Rheinland Functional Safety Program des Bereiches Automation, Funktionale Sicherheit bei der TÜV Rheinland Industrie Service GmbH, Köln

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37641920)

Vogel Communications Group; ©th-photo - stock.adobe.com; Wieland Electric; ©fotogestoeber - stock.adobe.com; PIlz; ©zapp2photo - stock.adobe.com; Hengstler ; © JiSIGN - Fotolia.com; Archiv: Vogel Business Media; Micro Consult; TÜV Rheinland; Mobile Industrial Robots; gemeinfrei; Igus; HMS; Contact Software; Deutscher Zukunftspreis/Ansgar Pudenz; ISG; S.Kunze/Vogel Communications Group; Rose; IDS Imaging Development Systems; Phoenix Contact ; Rittal; Pflitsch; ©BillionPhotos.com - stock.adobe.com; Mesago; ©Tartila - stock.adobe.com; TU München / Sebastian Ulewicz; Oculavis; VDMA; Senzoro