Ablösung der EN 954 durch EN ISO13849 und IEC mit neuen

Präsentation zum Thema: "Ablösung der EN 954 durch EN ISO13849 und IEC mit neuen"—  Präsentation transkript:

1 Ablösung der EN 954 durch EN ISO13849 und IEC 62061 mit neuen
Aspekten der Sicherheitsbetrachtung Revision of EN 954 by EN ISO and IEC with new aspects in safety view Michael Kieviet March 2007

2 Aus eins mach zwei?

3 not harmonized with other standards e.g. IEC 61508
EN 954-1 >10 years old not „state of the art“ not harmonized with other standards e.g. IEC 61508 IEC 62061 Made by CENELEC Electrical components relationship to IEC 61508 Probabilistically view SIL, PFH, PFD DC HFT ISO 13849 Made by CEN all control parts relationship to IEC 61508 Probabilistically view PL, MTTFD DC Architectures IEC 61508 electronic and programmable Systems SIL, DC, HFT, PFD, PFH

4 Verantwortungsbereiche der Normen
Technology ISO 13849 IEC 62061 A Not electrical parts, e.g. hydraulics X Not involved B Electromechanical, e.g. Relays Limited up to PL=e with given architectures All architectures and up to SIL 3 C Complex electronic systems Limited up to PL=d with given architectures D A combined with B Only for given architectures and limited to PL=e Only for electrical components E C combined with B Only for given architectures and limited to PL=d F C combined with A, or C combined with A and B

5 Risikograph der ISO 13849

6 Quantitative Vergleiche
Performance level (PL) Average probability of dangerous failure per hour SIL IEC 62061 IEC 61508 IEC Average probability of dangerous failure per hour a 10-5 to <10-4 No special requirements b 310-6 to <10-5 1 10-6 to <10-5 c 10-6 to < 310-6 d 10-7 to <10-6 2 e 10-8 to <10-7 3

7 Abhängigkeiten von Kategorien, DC und MTTFd

8 Bedeutung des MTTF

9 Typen von Ausfallraten
Gefährliche Ausfälle (entdeckt) S: Ausfall in die sichere Richtung D: Ausfall in die unsichere Richtung λ DD: gefährlich aber erkannt λ DU: gefährlich und nicht erkannt Gefährliche Ausfälle (unentdeckt) Ungefährliche Ausfälle Gefährlich Ausfälle Sicher entdeckte Ausfälle (ohne Gefahr) Alle Ausfälle Sicher unentdeckte Ausfälle (ohne Gefahr)

10 Zusammenhang der Größen

11 Praxisbeispiel

12 Festlegung der Grenzen der Maschine
Festlegung des gefährlichen Bereichs der Maschine

13 Risikoparameter nach prEN13849-1
Werkstück wird von Hand eingelegt Schwere der Verletzung 1 = leichte (normalerweise reversible) Verletzung 2 = schwere (normalerweise irreversible Verletzung einschließlich Tod) Durch die rotierenden Teile kann es zu irreversiblen Verletzungen (z.B. Verlust der Hand) kommen! Die bedeutet die Auswahl des Parameters S2 a S1 S2 F1 F2 P1 P2 b c d e PLr

14 Risikoparameter nach prEN13849-1
Werkstück wird von Hand eingelegt Häufigkeit und/oder Dauer der Gefährungsexposition 1 = Selten bis öfter und/oder kurze Dauer im Gefahrenbereich 2 = Häufig bis dauernd und /oder lange Dauer im Gefahrenbereich Da nach jedem Arbeitszyklus das Werk- stück mit der Hand in den gefährlichen Bereich eingebracht wird, besteht bei nicht überwachter Schutztür die Gefahr, dass dies bereits während der Auslaufphase versucht wird; somit F2 a S1 S2 F1 F2 P1 P2 b c d e PLr

15 Risikoparameter nach prEN13849-1
Das Werkstück wird von Hand eingelegt Möglichkeit zur Vermeidung der Gefahr 1 = möglich unter bestimmten Umständen 2 = kaum möglich Durch Überwachung der Schutztüre und Schulung des Personals kann die Gefahr vermieden werden Dies bedeutet die Auswahl des Parameters P1 a S1 S2 F1 F2 P1 P2 b c d e PLr

16 Ergebnis der Risikobeurteilung
Nach aktueller EN954-1: Kat 3 Nach zukünftiger prEN ISO : PL = d a S1 S2 F1 F2 P1 P2 b c d e Niedriges Risiko Hohes Risiko PLr S1 S2 F1 F2 P1 P2 B 1 2 3 4 Kategorien

17 Sicherheitsbezogenes Teil einer Steuerung SRP/CS
Teil einer Steuerung (SRP), das auf Eingangssignale reagiert und sicherheitsbezogene Ausgangssignale erzeugt Kombination sicherheitsbezogener Teile: 1. Mittel zur Initiierung 2. Typische Sicherheitsfunktion 3. Eingangssignal Sicherheitsschalter 4. Logik / Verarbeitung Steuerung 5. Ausgang / Energieübertragungselement Schütz 6. Maschinenaktor Bremse i Verbindung (elektrisch, optisch, ...) Kabel SRP/CSa . SRP/CSb SRP/CSc 3 4 5 iab ibc 2 1 6

18 Architektur nach prEN ISO 13849-1 PL d
Rückführkreis I1 I2 L1 L2 O1 O2 Cross Monitoring

19 MTTFd-Werte der einzelnen Geräte
Angaben vom Hersteller Für dieses Beispiel werden nur angenommene Werte herangezogen! Positionsschalter S1 MTTFd,S1 = 45 Jahre Positionsschalter S2 MTTFd,S2 = 12 Jahre Schütz K1 / K2 MTTFd,K1 = 35 Jahre Sicherheitssteuerung SRP MTTFd,SRP = 63 Jahre

20  1 MTTFd,i 1 MTTFd 1 MTTFd,S 1 MTTFd,SRP 1 MTTFd,K Formel für MTTFd
MTTF-Berechnung 1 MTTFd,i  N i=1 1 MTTFd 1 MTTFd,S 1 MTTFd,SRP 1 MTTFd,K Formel für MTTFd Kanal 1 Kanal 2 Homogene Struktur näherungsweise mit Mittlungsformel = = + + 1 MTTFd,1 1 MTTFd,S1 1 MTTFd,SRP 1 MTTFd,K1 = + + 1 MTTFd,1 1 45 Jahre 1 63 Jahre 1 35 Jahre = + + => 15,0 Jahre 1 MTTFd,2 1 12 Jahre 1 63 Jahre 1 35 Jahre = + + => 7,8 Jahre 2 3 1 MTTFd = MTTFd,1 + MTTFd,2 - => ~11,8 Jahre ~12 Jahre mittel MTTFd,1 1 MTTFd,2 1 +

21 DCavg-Werte der einzelnen Geräte
Angaben vom Hersteller Für dieses Beispiel werden nur angenommene Werte herangezogen! Positionsschalter S1 DCS1 = 90 % Positionsschalter S2 DCS2 = 90 % Schütz K1 / K2 DCK1 = 99 % Sicherheitssteuerung DCSRP = 99 %

22 DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP DCSRP 1 + .... DCavg =
Berechnung des DCavg Formel für DCavg Beispiel Eingesetzte Werte DCavg = 0,94 => mittel DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP DCSRP 1 + .... DCavg = MTTFd,S1 DCS1 MTTFd,S2 DCS2 MTTFd,SRP 2x DCSRP 1 2 + DCK1 DCK2 MTTFd,K1 MTTFd,K2

23 Einschätzung der Auswirkung durch Ausfall gleicher Ursache (CCF)
Punktvergabesystem Soll Ist Phsikalische Trennung zwischen Signalpfaden z.B. Trennung der Verdrahtung, Luftstrecken, Unterschiedliche Technologien, Gestaltung oder physikalischer Prinzipien 20 Schutz gegen Überspannung, Überstrom, „Bewährte Bauteile“ 5 5 Ausfallanalyse, Effektanalyse 5 geschultes Personal 5 5 System auf EMV-Immunität geprüft 25 25 Umweltbedingungen (Temp., Feuchte, ..) 10 10 Summe:  Bedingungen erfüllt (Ist  65) (Bei Ist  65 ist das Verfahren gescheitert, Auswahl zusätzlicher Maßnahmen)

24 Ergebnis für das Beispiel CNC-Drehmaschine
Vorgaben: Kanal 1 Kanal 2 MTTFd DC S S SRP SRP K K Ergebnis MTTFd 12 Jahre mittel DCavg 0,94 mittel CCF 75 Verfahren erfolgreich Kategorie 3 PL d

25 Beispiel einer Bauteilanalyse

26 Herstellerangaben sind möglich

27 B10d = Wert in Schaltspielen, bei dem statistisch 10%
der Stichproben gefährlich ausgefallen sind nop = mittlere Zahl jährlicher Schaltspiele dop = durchschnittliche Anzahl der Betriebstage pro Jahr hop = durchschnittliche Anzahl der Betriebstunden pro Tag tcycle =durchschnittliche Anforderung der Sicherheitsanforderungen in s

28 Kalkulationsgrößen Ausfallrate Diagnosedeckungsgrad Safe Failure Fraction

29 Kombination von Teilsystemen
SIL 2 gesamt SIL 3 da die HFT durch die Struktur erhöht wird SIL 2 SIL 3 SIL 2 SIL 2 SIL 2 SIL 1 SIL 1

30 Vielen Dank für Ihre Aufmerksamkeit!
Thank you for your attention!