Automatisierung und Sicherheitstechnik sind zwei eng zusammengehörende Bereiche. Projektierung, Installation und Betrieb komplexer Automatisierungslösungen werden durch integrierte sicherheitsbezogene Funktionen und Module wesentlich vereinfacht.
Im Allgemeinen sind die sicherheitstechnischen Anforderungen anwendungsabhängig. Die Höhe der Anforderungen richtet sich unter anderem nach dem Risiko und dem Gefährdungspotenzial, das von der Anwendung ausgeht sowie nach den geltenden gesetzlichen Anforderungen.
Die sicherheitstechnische Gestaltung von Maschinen hat den Schutz von Personen zum Ziel. Bei Maschinen mit elektrisch geregelten Antrieben geht die Gefährdung in erster Linie von den bewegten Maschinenteilen und der Elektrizität selbst aus.
Nur Sie als Anwender, Maschinenbauer oder Systemintegrator sind mit allen Bedingungen und Faktoren vertraut, die bei Installation, Einrichtung, Betrieb, Reparatur und Wartung der Maschine oder des Prozesses zum Tragen kommen. Deshalb können nur Sie die geeigneten Automatisierungsgeräte und entsprechenden Schutz- und Sperrvorrichtungen bestimmen. und deren Einsatz validieren
|
|
|
NICHTERFÜLLUNG DER ANFORDERUNGEN FÜR SICHERHEITSFUNKTIONEN |
|
oSpezifizieren Sie in der Risikoanalyse, die Sie ausführen, die Anforderungen und/oder Maßnahmen, die implementiert werden müssen. oStellen Sie sicher, dass Ihre sicherheitsbezogene Applikation mit den entsprechenden Sicherheitsbestimmungen und -standards übereinstimmt. oStellen Sie sicher, dass geeignete Verfahren und Maßnahmen (gemäß den entsprechenden Industriestandards) implementiert wurden, um Gefahrensituationen beim Maschinenbetrieb zu vermeiden. oVerwenden Sie geeignete Sicherheitsverriegelungen in Gefahrenbereichen für Personen und/oder Anlagen. oValidieren Sie die allgemeine sicherheitsbezogene Funktion und testen Sie die Applikation sorgfältig. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Gefährdungs- und Risikoanalyse
Die Norm IEC 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme" definiert die sicherheitsbezogenen Aspekte von Systemen. Die Norm betrachtet nicht nur eine einzelne Funktionseinheit eines sicherheitsbezogenen Systems, sondern alle Elemente einer Funktionskette (zum Beispiel vom Sensor über die logischen Verarbeitungseinheiten bis zum Aktor) als eine Gesamteinheit. Diese Elemente müssen in ihrer Gesamtheit die Anforderungen des jeweiligen Sicherheits-Integritätslevels erfüllen.
Die Norm IEC 61800-5-2 "Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl – Anforderungen an die Sicherheit – Funktionale Sicherheit" ist eine Produktnorm, die die sicherheitsbezogenen Anforderungen an Antriebsverstärker festlegt. In dieser Norm werden unter anderem sicherheitsbezogene Funktionen für Antriebsverstärker definiert.
Auf Basis der Anlagenkonfiguration und -verwendung muss eine Gefährdungs- und Risikoanalyse der Anlage (zum Beispiel nach EN ISO 12100 oder EN ISO 13849-1) durchgeführt werden. Die Ergebnisse dieser Analyse müssen bei der Konstruktion der Maschine und der anschließenden Ausstattung mit sicherheitsbezogenen Einrichtungen und sicherheitsbezogenen Funktionen berücksichtigt werden. Die Ergebnisse Ihrer Analyse können von in dieser Dokumentation oder mitgeltenden Dokumentationen enthaltenen Anwendungsbeispielen abweichen. Es können z. B. zusätzliche Sicherheitskomponenten erforderlich sein. Grundsätzlich haben die Ergebnisse aus der Gefährdungs- und Risikoanalyse Vorrang.
|
|
|
UNBEABSICHTIGTES VERHALTEN |
|
oFühren Sie eine Gefahren- und Risikoanalyse durch, um das geeignete Sicherheitsintegritätslevel und andere Sicherheitsanforderungen zu bestimmen, die für Ihre spezifische Applikation gemäß der entsprechenden Standards gelten. oStellen Sie sicher, dass bei der Konzeption Ihrer Maschine eine Gefahren- und Risikoanalyse nach EN/ISO 12100 durchgeführt und respektiert wird. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Die EN ISO 13849-1 (Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen- Teil 1: Allgemeine Gestaltungsleitsätze) beschreibt einen iterativen Prozess zur Auswahl und Gestaltung von sicherheitsbezogenen Teilen von Steuerungen mit dem Ziel, das Risiko an der Maschine auf ein vertretbares Maß zu verringern:
So führen Sie eine Risikobeurteilung und -minimierung nach EN ISO 12100 durch:
1.Grenzen der Maschine festlegen.
2.Gefährdungen der Maschine identifizieren.
3.Risiko einschätzen.
4.Risiko beurteilen.
5.Risiken durch Folgendes minieren:
oEigensichere Ausführung
oSchutzvorrichtungen
oInformationen für die Benutzer (siehe EN ISO 12100)
6.Planung der sicherheitsbezogenen Steuerungsteile (SRP/CS, Safety-Related Parts of the Control System) im Rahmen eines interaktiven Prozesses
So planen Sie die sicherheitsbezogenen Steuerungsteile in einem interaktiven Prozess:
|
Schritt |
Aktion |
|---|---|
|
1 |
Über die SRP/CS (Safety-Related Parts of the Control System auszuführenden notwendigen Sicherheitsfunktionen identifizieren. |
|
2 |
Geforderte Eigenschaften für jede Sicherheitsfunktion festlegen. |
|
3 |
Erforderliches Performance Level PLr bestimmen. |
|
4 |
Sicherheitsbezogene Teile identifizieren, die die Sicherheitsfunktion ausführen. |
|
5 |
Performance Level PL der obigen sicherheitsbezogenen Teile ermitteln. |
|
6 |
Performance Level PL für die Sicherheitsfunktion verifizieren (PL ≥ PLr). |
|
7 |
Überprüfen, ob alle Anforderungen erreicht wurden (Validierung). |
Zusätzliche Informationen hierzu finden Sie auf www.schneider-electric.com.
Die Norm IEC 61508 spezifiziert 4 Sicherheits-Integritätslevel (Safety Integrity Level (SIL)). Sicherheits-Integritätslevel SIL1 ist die niedrigste Stufe und Sicherheits-Integritätslevel SIL4 ist die höchste Stufe. Grundlage für die Ermittlung des Sicherheits-Integritätslevels, das für die Anwendung erforderlich ist, ist eine Beurteilung des Gefährdungspotenzials anhand der Gefährdungs- und Risikoanalyse. Daraus wird abgeleitet, ob die betreffende Funktionskette als sicherheitsbezogen gelten muss und welches Gefährdungspotenzial damit abgedeckt werden muss.
Average Frequency of a Dangerous Failure per Hour (PFH)
Zur Aufrechterhaltung der Funktion des sicherheitsbezogenen Systems fordert die Norm IEC 61508, abhängig vom erforderlichen Sicherheits-Integritätslevel (Safety Integrity Level (SIL)), abgestufte fehlerbeherrschende sowie fehlervermeidende Maßnahmen. Alle Komponenten müssen einer Wahrscheinlichkeitsbetrachtung unterzogen werden, um die Wirksamkeit der getroffenen fehlerbeherrschenden Maßnahmen zu beurteilen. Bei dieser Betrachtung wird die mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde (Average Frequency of a Dangerous Failure per Hour (PFH)) ermittelt. Dies ist die Häufigkeit pro Stunde, mit der ein sicherheitsbezogenes System gefahrbringend ausfällt und die Funktion nicht mehr korrekt ausgeführt werden kann. Die mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde darf abhängig vom Sicherheits-Integritätslevel bestimmte Werte für das gesamte sicherheitsbezogene System nicht überschreiten. Die einzelnen PFH-Werte einer Funktionskette werden zusammengerechnet. Das Ergebnis darf den in der Norm vorgegebenen Maximalwert nicht überschreiten.
|
SIL |
PFH bei hoher Anforderungsrate oder kontinuierlicher Anforderung |
|---|---|
|
4 |
≥10-9 bis <10-8 |
|
3 |
≥10-8 bis <10-7 |
|
2 |
≥10-7 bis <10-6 |
|
1 |
≥10-6 bis <10-5 |
Hardware Fault Tolerance (HFT) und Safe Failure Fraction (SFF)
In Abhängigkeit vom Sicherheits-Integritätslevel (Safety Integrity Level (SIL)) für das sicherheitsbezogene System fordert die Norm IEC 61508 eine bestimmte Hardware-Fehler-Toleranz (Hardware Fault Tolerance (HFT)) in Verbindung mit einem bestimmten Anteil ungefährlicher Ausfälle (Safe Failure Fraction (SFF)). Die Hardware-Fehler-Toleranz ist die Eigenschaft eines sicherheitsbezogenen Systems, die geforderte Funktion selbst dann ausführen zu können, wenn ein oder mehrere Hardwarefehler vorliegen. Der Anteil ungefährlicher Ausfälle eines sicherheitsbezogenen Systems ist definiert als das Verhältnis der Rate der ungefährlichen Ausfälle zur Gesamtausfallrate des sicherheitsbezogenen Systems. Gemäß der IEC 61508 wird das maximal erreichbare Sicherheits-Integritätslevel eines sicherheitsbezogenen Systems durch die Hardware-Fehler-Toleranz und den Anteil ungefährlicher Ausfälle des sicherheitsbezogenen Systems mitbestimmt.
Die IEC 61800-5-2 unterscheidet zwei Typen von Teilsystemen (Typ A-Teilsystem, Typ B-Teilsystem). Diese Typen werden anhand von Kriterien festgelegt, die in der Norm für die sicherheitsbezogenen Bauteile definiert sind.
|
SFF |
HFT Typ A-Teilsystem |
HFT Typ B-Teilsystem |
||||
|---|---|---|---|---|---|---|
|
|
0 |
1 |
2 |
0 |
1 |
2 |
|
<60 % |
SIL1 |
SIL2 |
SIL3 |
--- |
SIL1 |
SIL2 |
|
60 ... <90 % |
SIL2 |
SIL3 |
SIL4 |
SIL1 |
SIL2 |
SIL3 |
|
90 ... <99 % |
SIL3 |
SIL4 |
SIL4 |
SIL2 |
SIL3 |
SIL4 |
|
≥99 % |
SIL3 |
SIL4 |
SIL4 |
SIL3 |
SIL4 |
SIL4 |
Systematische Fehler in der Spezifikation, in der Hardware und der Software, Nutzungsfehler und Instandhaltungsfehler des sicherheitsbezogenen Systems müssen so weit wie möglich vermieden werden. Die IEC 61508 schreibt hierfür eine Reihe von fehlervermeidenden Maßnahmen vor, die je nach angestrebtem Sicherheits-Integritätslevel (Safety Integrity Level (SIL)) durchgeführt werden müssen. Diese fehlervermeidenden Maßnahmen müssen den gesamten Lebenszyklus des sicherheitsbezogenen Systems begleiten, also von der Konzeption bis zur Außerbetriebnahme des sicherheitsbezogenen Systems.
Daten für Wartungsplan und für Berechnungen zur funktionalen Sicherheit
Die Sicherheitsfunktion muss in regelmäßigen Abständen überprüft werden. Das Intervall ist abhängig von der Gefährdungs- und Risikoanalyse des Gesamtsystems. Das Mindestintervall ist 1 Jahr (hohe Anforderungsrate nach IEC 61508).
Verwenden Sie die folgenden Daten der Sicherheitsfunktion STO für Ihren Wartungsplan und für die Berechnungen zur funktionalen Sicherheit:
|
Lebensdauer der Sicherheitsfunktion STO (IEC 61508)(1) |
Jahre |
20 |
|
SFF (IEC 61508) Safe Failure Fraction |
% |
90 |
|
HFT (IEC 61508) Hardware Fault Tolerance Typ A-Teilsystem |
|
1 |
|
Sicherheits-Integritätslevel IEC 61508 IEC 62061 |
|
SIL3 SILCL3 |
|
PFH (IEC 61508) Probability of Dangerous Hardware Failure per Hour |
1/h (FIT) |
1*10-9 (1) |
|
PL (ISO 13849-1) Performance Level |
|
e (Kategorie 3) |
|
MTTFd (ISO 13849-1) Mean Time to Dangerous Failure |
Jahre |
>100 |
|
DC (ISO 13849-1) Diagnostic Coverage |
% |
90 |
|
(1) Siehe Kapitel Lebensdauer Sicherheitsfunktion STO. |
||
Weitere Daten erhalten Sie auf Wunsch bei Ihrem Schneider Electric Ansprechpartner.
Die Daten für das Sicherheitsmodul eSM finden Sie in dem Produkthandbuch zum Sicherheitsmodul.
