Ablösung der EN 954 durch EN ISO13849 und IEC 62061 mit neuen Aspekten der Sicherheitsbetrachtung Revision of EN 954 by EN ISO 13849 and IEC 62061 with new aspects in safety view Michael Kieviet michael.kieviet@innotecsafety.de March 2007
Aus eins mach zwei?
not harmonized with other standards e.g. IEC 61508 EN 954-1 >10 years old not „state of the art“ not harmonized with other standards e.g. IEC 61508 IEC 62061 Made by CENELEC Electrical components relationship to IEC 61508 Probabilistically view SIL, PFH, PFD DC HFT ISO 13849 Made by CEN all control parts relationship to IEC 61508 Probabilistically view PL, MTTFD DC Architectures IEC 61508 electronic and programmable Systems SIL, DC, HFT, PFD, PFH
Verantwortungsbereiche der Normen Technology ISO 13849 IEC 62061 A Not electrical parts, e.g. hydraulics X Not involved B Electromechanical, e.g. Relays Limited up to PL=e with given architectures All architectures and up to SIL 3 C Complex electronic systems Limited up to PL=d with given architectures D A combined with B Only for given architectures and limited to PL=e Only for electrical components E C combined with B Only for given architectures and limited to PL=d F C combined with A, or C combined with A and B
Risikograph der ISO 13849
Quantitative Vergleiche Performance level (PL) Average probability of dangerous failure per hour SIL IEC 62061 IEC 61508 IEC 61508 Average probability of dangerous failure per hour a 10-5 to <10-4 No special requirements b 310-6 to <10-5 1 10-6 to <10-5 c 10-6 to < 310-6 d 10-7 to <10-6 2 e 10-8 to <10-7 3
Abhängigkeiten von Kategorien, DC und MTTFd
Bedeutung des MTTF
Typen von Ausfallraten Gefährliche Ausfälle (entdeckt) S: Ausfall in die sichere Richtung D: Ausfall in die unsichere Richtung λ DD: gefährlich aber erkannt λ DU: gefährlich und nicht erkannt Gefährliche Ausfälle (unentdeckt) Ungefährliche Ausfälle Gefährlich Ausfälle Sicher entdeckte Ausfälle (ohne Gefahr) Alle Ausfälle Sicher unentdeckte Ausfälle (ohne Gefahr)
Zusammenhang der Größen
Praxisbeispiel
Festlegung der Grenzen der Maschine Festlegung des gefährlichen Bereichs der Maschine
Risikoparameter nach prEN13849-1 Werkstück wird von Hand eingelegt Schwere der Verletzung 1 = leichte (normalerweise reversible) Verletzung 2 = schwere (normalerweise irreversible Verletzung einschließlich Tod) Durch die rotierenden Teile kann es zu irreversiblen Verletzungen (z.B. Verlust der Hand) kommen! Die bedeutet die Auswahl des Parameters S2 a S1 S2 F1 F2 P1 P2 b c d e PLr
Risikoparameter nach prEN13849-1 Werkstück wird von Hand eingelegt Häufigkeit und/oder Dauer der Gefährungsexposition 1 = Selten bis öfter und/oder kurze Dauer im Gefahrenbereich 2 = Häufig bis dauernd und /oder lange Dauer im Gefahrenbereich Da nach jedem Arbeitszyklus das Werk- stück mit der Hand in den gefährlichen Bereich eingebracht wird, besteht bei nicht überwachter Schutztür die Gefahr, dass dies bereits während der Auslaufphase versucht wird; somit F2 a S1 S2 F1 F2 P1 P2 b c d e PLr
Risikoparameter nach prEN13849-1 Das Werkstück wird von Hand eingelegt Möglichkeit zur Vermeidung der Gefahr 1 = möglich unter bestimmten Umständen 2 = kaum möglich Durch Überwachung der Schutztüre und Schulung des Personals kann die Gefahr vermieden werden Dies bedeutet die Auswahl des Parameters P1 a S1 S2 F1 F2 P1 P2 b c d e PLr
Ergebnis der Risikobeurteilung Nach aktueller EN954-1: Kat 3 Nach zukünftiger prEN ISO 13849-1: PL = d a S1 S2 F1 F2 P1 P2 b c d e Niedriges Risiko Hohes Risiko PLr S1 S2 F1 F2 P1 P2 B 1 2 3 4 Kategorien
Sicherheitsbezogenes Teil einer Steuerung SRP/CS Teil einer Steuerung (SRP), das auf Eingangssignale reagiert und sicherheitsbezogene Ausgangssignale erzeugt Kombination sicherheitsbezogener Teile: 1. Mittel zur Initiierung 2. Typische Sicherheitsfunktion 3. Eingangssignal Sicherheitsschalter 4. Logik / Verarbeitung Steuerung 5. Ausgang / Energieübertragungselement Schütz 6. Maschinenaktor Bremse i Verbindung (elektrisch, optisch, ...) Kabel SRP/CSa . SRP/CSb SRP/CSc 3 4 5 iab ibc 2 1 6
Architektur nach prEN ISO 13849-1 PL d Rückführkreis I1 I2 L1 L2 O1 O2 Cross Monitoring
MTTFd-Werte der einzelnen Geräte Angaben vom Hersteller Für dieses Beispiel werden nur angenommene Werte herangezogen! Positionsschalter S1 MTTFd,S1 = 45 Jahre Positionsschalter S2 MTTFd,S2 = 12 Jahre Schütz K1 / K2 MTTFd,K1 = 35 Jahre Sicherheitssteuerung SRP MTTFd,SRP = 63 Jahre
1 MTTFd,i 1 MTTFd 1 MTTFd,S 1 MTTFd,SRP 1 MTTFd,K Formel für MTTFd MTTF-Berechnung 1 MTTFd,i N i=1 1 MTTFd 1 MTTFd,S 1 MTTFd,SRP 1 MTTFd,K Formel für MTTFd Kanal 1 Kanal 2 Homogene Struktur näherungsweise mit Mittlungsformel = = + + 1 MTTFd,1 1 MTTFd,S1 1 MTTFd,SRP 1 MTTFd,K1 = + + 1 MTTFd,1 1 45 Jahre 1 63 Jahre 1 35 Jahre = + + => 15,0 Jahre 1 MTTFd,2 1 12 Jahre 1 63 Jahre 1 35 Jahre = + + => 7,8 Jahre 2 3 1 MTTFd = MTTFd,1 + MTTFd,2 - => ~11,8 Jahre ~12 Jahre mittel MTTFd,1 1 MTTFd,2 1 +
DCavg-Werte der einzelnen Geräte Angaben vom Hersteller Für dieses Beispiel werden nur angenommene Werte herangezogen! Positionsschalter S1 DCS1 = 90 % Positionsschalter S2 DCS2 = 90 % Schütz K1 / K2 DCK1 = 99 % Sicherheitssteuerung DCSRP = 99 %
DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP DCSRP 1 + .... DCavg = Berechnung des DCavg Formel für DCavg Beispiel Eingesetzte Werte DCavg = 0,94 => mittel DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP DCSRP 1 + .... DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP 2x DCSRP 1 2 + DCK1 DCK2 MTTFd,K1 MTTFd,K2
Einschätzung der Auswirkung durch Ausfall gleicher Ursache (CCF) Punktvergabesystem Soll Ist Phsikalische Trennung zwischen Signalpfaden z.B. Trennung der Verdrahtung, Luftstrecken, .. 15 15 Unterschiedliche Technologien, Gestaltung oder physikalischer Prinzipien 20 Schutz gegen Überspannung, Überstrom, .. 15 15 „Bewährte Bauteile“ 5 5 Ausfallanalyse, Effektanalyse 5 geschultes Personal 5 5 System auf EMV-Immunität geprüft 25 25 Umweltbedingungen (Temp., Feuchte, ..) 10 10 Summe: 100 75 Bedingungen erfüllt (Ist 65) (Bei Ist 65 ist das Verfahren gescheitert, Auswahl zusätzlicher Maßnahmen)
Ergebnis für das Beispiel CNC-Drehmaschine Vorgaben: Kanal 1 Kanal 2 MTTFd DC S1 - 45 90 - S2 12 90 SRP - 63 99 - SRP 63 99 K1 - 35 99 - K2 35 99 Ergebnis MTTFd 12 Jahre mittel DCavg 0,94 mittel CCF 75 Verfahren erfolgreich Kategorie 3 PL d
Beispiel einer Bauteilanalyse
Herstellerangaben sind möglich
B10d = Wert in Schaltspielen, bei dem statistisch 10% der Stichproben gefährlich ausgefallen sind nop = mittlere Zahl jährlicher Schaltspiele dop = durchschnittliche Anzahl der Betriebstage pro Jahr hop = durchschnittliche Anzahl der Betriebstunden pro Tag tcycle =durchschnittliche Anforderung der Sicherheitsanforderungen in s
Kalkulationsgrößen Ausfallrate Diagnosedeckungsgrad Safe Failure Fraction
Kombination von Teilsystemen SIL 2 gesamt SIL 3 da die HFT durch die Struktur erhöht wird SIL 2 SIL 3 SIL 2 SIL 2 SIL 2 SIL 1 SIL 1
Vielen Dank für Ihre Aufmerksamkeit! Thank you for your attention!