Automatisierung und Sicherheitstechnik sind zwei eng zusammengehörende Bereiche. Projektierung, Installation und Betrieb komplexer Automatisierungslösungen werden durch integrierte sicherheitsbezogene Funktionen und Module vereinfacht.
Im Allgemeinen sind die sicherheitstechnischen Anforderungen anwendungsabhängig. Die Höhe der Anforderungen richtet sich unter anderem nach dem Risiko und dem Gefährdungspotenzial, das von der Anwendung ausgeht sowie nach den geltenden gesetzlichen Anforderungen.
Die sicherheitstechnische Gestaltung von Maschinen hat den Schutz von Personen zum Ziel. Bei Maschinen mit elektrisch geregelten Antrieben geht die Gefährdung in erster Linie von bewegten Maschinenteilen und der Elektrizität selbst aus.
Nur Sie als Anwender, Maschinenbauer oder Systemintegrator sind mit allen Bedingungen und Faktoren vertraut, die bei Installation, Einrichtung, Betrieb, Reparatur und Wartung der Maschine oder des Prozesses zum Tragen kommen. Daher können nur Sie die Automatisierungslösung und die damit verbundenen Sicherheitseinrichtungen und Verriegelungen für eine ordnungsgemäße Verwendung festlegen und diese Verwendung validieren.
| WARNUNG | |
|---|---|
Die Norm IEC 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme" definiert die sicherheitsbezogenen Aspekte von Systemen. Die Norm betrachtet nicht nur eine einzelne Funktionseinheit eines sicherheitsbezogenen Systems, sondern alle Elemente einer Funktionskette (zum Beispiel vom Sensor über die logischen Verarbeitungseinheiten bis zum Aktor) als eine Gesamteinheit. Diese Elemente müssen in ihrer Gesamtheit die Anforderungen des jeweiligen Sicherheits-Integritätslevels erfüllen.
Die Norm IEC 61800-5-2 "Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl – Anforderungen an die Sicherheit – Funktionale Sicherheit" ist eine Produktnorm, die die sicherheitsbezogenen Anforderungen an Antriebsverstärker festlegt. In dieser Norm werden unter anderem sicherheitsbezogene Funktionen für Antriebsverstärker definiert.
Auf Basis der Anlagenkonfiguration und ‑verwendung muss eine Gefährdungs- und Risikoanalyse der Anlage (zum Beispiel nach EN ISO 12100 oder EN ISO 13849-1) durchgeführt werden. Die Ergebnisse dieser Analyse müssen bei der Konstruktion der Maschine und der anschließenden Ausstattung mit sicherheitsbezogenen Einrichtungen und sicherheitsbezogenen Funktionen berücksichtigt werden. Die Ergebnisse Ihrer Analyse können von in dieser Dokumentation oder mitgeltenden Dokumentationen enthaltenen Anwendungsbeispielen abweichen. Es können zum Beispiel zusätzliche sicherheitsbezogene Komponenten erforderlich sein. Grundsätzlich haben die Ergebnisse aus der Gefährdungs- und Risikoanalyse Vorrang.
| WARNUNG | |
|---|---|
Die Norm EN ISO 13849-1 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze) beschreibt einen iterativen Prozess für die Auswahl und Gestaltung der sicherheitsbezogenen Teile von Steuerungen, um das Risiko für die Maschine auf ein vertretbares Maß zu begrenzen.
So führen Sie eine Risikobeurteilung und -minimierung nach EN ISO 12100 durch:
Grenzen der Maschine festlegen.
Gefährdungen der Maschine identifizieren.
Risiko beurteilen.
Risiko bewerten.
Risiko verringern durch:
Die Konzeption
Schutzeinrichtungen
Informationen für die Benutzer (siehe EN ISO 12100)
Sicherheitsbezogene Teile der Steuerung (SRP/CS, Safety-Related Parts of the Control System) in einem iterativen Prozess gestalten.
Gestalten Sie die sicherheitsbezogenen Teile der Steuerung in einem interaktiven Prozess wie folgt:
|
Schritt |
Aktion |
|---|---|
|
1 |
Identifizieren notwendiger Sicherheitsfunktionen, die über SRP/CS (Safety-Related Parts of the Control System ausgeführt werden. |
|
2 |
Bestimmen der notwendigen Eigenschaften für jede Sicherheitsfunktion. |
|
3 |
Bestimmen des benötigten Leistungslevels PLr. |
|
4 |
Identifizieren der sicherheitsbezogenen Teile, welche die Sicherheitsfunktion ausführen. |
|
5 |
Bestimmen des Leistungslevels PL der zuvor erwähnten sicherheitsbezogenen Teile. |
|
6 |
Verifizieren des Leistngslevels PL für die Sicherheitsfunktion (PL ≥ PLr). |
|
7 |
Überprüfen, ob alle Anforderungen erfüllt wurden (Validierung). |
Weitere Informationen finden Sie unter https://www.se.com.
Die Norm IEC 61508 spezifiziert 4 Sicherheits-Integritätslevel (Safety Integrity Level (SIL)). Sicherheits-Integritätslevel SIL1 ist die niedrigste Stufe und Sicherheits-Integritätslevel SIL4 ist die höchste Stufe. Grundlage für die Ermittlung des Sicherheits-Integritätslevels, das für die Anwendung erforderlich ist, ist eine Beurteilung des Gefährdungspotenzials anhand der Gefährdungs- und Risikoanalyse. Daraus wird abgeleitet, ob die betreffende Funktionskette als sicherheitsbezogen gelten muss und welches Gefährdungspotenzial damit abgedeckt werden muss.
Zur Aufrechterhaltung der Funktion des sicherheitsbezogenen Systems erfordert die Norm IEC 61508, abhängig vom erforderlichen Sicherheits-Integritätslevel (Safety Integrity Level (SIL)), abgestufte fehlerbeherrschende sowie fehlervermeidende Maßnahmen. Alle Komponenten müssen einer Wahrscheinlichkeitsbetrachtung unterzogen werden, um die Wirksamkeit der getroffenen fehlerbeherrschenden Maßnahmen zu beurteilen. Bei dieser Betrachtung wird die mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde (Average Frequency of a Dangerous Failure per Hour (PFH)) ermittelt. Dies ist die Häufigkeit pro Stunde, mit der ein sicherheitsbezogenes System gefahrbringend ausfällt und die Funktion nicht mehr korrekt ausgeführt werden kann. Die mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde darf abhängig vom Sicherheits-Integritätslevel bestimmte Werte für das gesamte sicherheitsbezogene System nicht überschreiten. Die einzelnen PFH-Werte einer Funktionskette werden zusammengerechnet. Das Ergebnis darf den in der Norm vorgegebenen Maximalwert nicht überschreiten.
|
SIL |
PFH bei hoher Anforderungsrate oder kontinuierlicher Anforderung |
|---|---|
|
4 |
≥10-9 ... <10-8 |
|
3 |
≥10-8 ... <10-7 |
|
2 |
≥10-7 ... <10-6 |
|
1 |
≥10-6 ... <10-5 |
In Abhängigkeit vom Sicherheits-Integritätslevel (Safety Integrity Level (SIL)) für das sicherheitsbezogene System fordert die Norm IEC 61508 eine bestimmte Hardware-Fehler-Toleranz (Hardware Fault Tolerance (HFT)) in Verbindung mit einem bestimmten Anteil ungefährlicher Ausfälle (Safe Failure Fraction (SFF)). Die Hardware-Fehler-Toleranz ist die Eigenschaft eines sicherheitsbezogenen Systems, die geforderte Funktion selbst dann ausführen zu können, wenn ein oder mehrere Hardwarefehler vorliegen. Der Anteil ungefährlicher Ausfälle eines sicherheitsbezogenen Systems ist definiert als das Verhältnis der Rate der ungefährlichen Ausfälle zur Gesamtausfallrate des sicherheitsbezogenen Systems. Gemäß der IEC 61508 wird das maximal erreichbare Sicherheits-Integritätslevel eines sicherheitsbezogenen Systems durch die Hardware-Fehler-Toleranz und den Anteil ungefährlicher Ausfälle des sicherheitsbezogenen Systems mitbestimmt.
Die Norm IEC 61800-5-2 unterscheidet zwei Typen von Teilsystemen (Typ A-Teilsystem, Typ B-Teilsystem). Diese Typen werden anhand von Kriterien festgelegt, die in der Norm für die sicherheitsbezogenen Bauteile definiert sind.
|
SFF |
HFT Typ A-Teilsystem |
HFT Typ B-Teilsystem |
||||
|---|---|---|---|---|---|---|
|
0 |
1 |
2 |
0 |
1 |
2 |
|
|
<60 % |
SIL1 |
SIL2 |
SIL3 |
--- |
SIL1 |
SIL2 |
|
60 ... <90 % |
SIL2 |
SIL3 |
SIL4 |
SIL1 |
SIL2 |
SIL3 |
|
90 ... <99 % |
SIL3 |
SIL4 |
SIL4 |
SIL2 |
SIL3 |
SIL4 |
|
≥99 % |
SIL3 |
SIL4 |
SIL4 |
SIL3 |
SIL4 |
SIL4 |
Systematische Fehler in der Spezifikation, in der Hardware und der Software, Nutzungsfehler und Instandhaltungsfehler des sicherheitsbezogenen Systems müssen so weit wie möglich vermieden werden. Die Norm IEC 61508 schreibt hierfür eine Reihe von fehlervermeidenden Maßnahmen vor, die je nach angestrebtem Sicherheits-Integritätslevel (Safety Integrity Level (SIL)) durchgeführt werden müssen. Diese fehlervermeidenden Maßnahmen müssen den gesamten Lebenszyklus des sicherheitsbezogenen Systems begleiten, also von der Konzeption bis zur Außerbetriebnahme des sicherheitsbezogenen Systems.
Die Sicherheitsfunktion muss in regelmäßigen Abständen überprüft werden. Das Intervall ist abhängig von der Gefährdungs- und Risikoanalyse des Gesamtsystems. Das Mindestintervall ist 1 Jahr (hohe Anforderungsrate nach IEC 61508).
Verwenden Sie die folgenden Daten der Sicherheitsfunktion STO für Ihren Wartungsplan und für die Berechnungen zur funktionalen Sicherheit:
|
Merkmal |
Einheit |
Wert |
|---|---|---|
|
Lebensdauer der sicherheitsbezogenen Funktion STO (IEC 61508) |
Jahre |
20 Siehe auch Lebensdauer der sicherheitsbezogenen Funktion STO. |
|
SFF (IEC 61508) Safe Failure Fraction |
% |
90 |
|
HFT (IEC 61508) Hardware Fault Tolerance Typ A-Teilsystem |
- |
1 |
|
Sicherheits-Integritätslevel IEC 61508 |
- |
SIL3 |
|
Sicherheits-Integritätslevel IEC 62061 |
- |
SILCL3 |
|
PFH (IEC 61508) Probability of Dangerous Hardware Failure per Hour |
1/h (FIT) |
1*10-9 (1) |
|
PL (ISO 13849-1) Performance Level |
- |
e (Kategorie 3) |
|
MTTFd (ISO 13849-1) Mean Time to Dangerous Failure |
- |
Hoch (1400 Jahre) |
|
DC (ISO 13849-1) Diagnostic Coverage |
% |
90 |
Weitere Daten erhalten Sie auf Wunsch bei Ihrem Schneider Electric Ansprechpartner.
Die Daten für das Sicherheitsmodul eSM finden Sie in dem Produkthandbuch zum Sicherheitsmodul.