Maschinensteuerungen im Fokus: Revision der ISO 13849-1€¦ · EN ISO 13849 IEC 61508 Elektrik...

Maschinensteuerungen im Fokus:

Revision der ISO 13849-1

Fachveranstaltung Maschinen

Michael Hauke, Dr. Michael HuelkeBamberg, 11. Juli 2019

„Die Samen der Vergangenheit sind die Früchte der Zukunft“Buddha

11. Juli 2019 2Revision der ISO 13849-1

Normen zur funktionalen Sicherheit

Maschinen-

Industrie

Prozess-

Industrie

EN ISO 13849 IEC 61508

Elektrik

Hydraulik

Pneumatik

Mechanik

IEC 61511IEC 62061

Elektrik, Elektronik,

programmierbare

Elektronik (E/E/PE)


Elektronik

program.

Elektronik

Balanceakt zwischen Deterministik und Probabilistik

Deterministik

EN 954-1:1997

Sicherheitsfunktionen

Risikograph

Kategorien

Quantifizierung:Bauteilzuverlässigkeit und Testgüte

Fehler gemeinsamer Ursache

Anforderungen an die Software

Bewährte Methoden

Probabilistik

Neue Konzepte

IEC 61508:2010

ISO 13849-1:2015


Vita der ISO 13849-1

ISO 13849

1st edition

1999(22 Seiten)

(94 Seiten)

(96 Seiten)

(150 Seiten?)

ISO 13849

2nd edition

2006

Revision

ISO 13849

3rd edition

2015

Amendment

ISO 13849

4th edition

2021?

Revision

Übergangsfrist:

3 Jahre

Übergangsfrist:

keine

Übergangsfrist:

?


Wo steht die Revision der ISO 13849-1 gerade?

CD1

2018-06

CD2

2019-01

WD2

2017-09 2021-04

DeadlineDIS

geplantNWIP

2017-04 2020-04

ISO 13849-1


„Die Kunst des Fortschritts besteht darin,inmitten des Wechsels die Ordnung zu wahren, inmitten der Ordnung den Wechsel aufrechtzuerhalten“Alfred North Whitehead


Neuordnung (logischer Aufbau)

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

4 Überblick

5 Sicherheitsfunktionen (SRS, PLr, …)

6 Design (PL, Kategorien, PFHD, …)

7 Software

8 Verifikation (PL ≥ PLr)

9 Ergonomische Aspekte

10 Validierung (aus ISO 13849-2)

11 Instandhaltung

12 Technische Dokumentation

13 Benutzerinformation

A Bestimmung des PLr

B Sicherheitsbezogenes Blockdiagramm

C MTTFD für einzelne Bauteile

D MTTFD für jeden Kanal

E Abschätzung des DC

F Maßnahmen gegen CCF

G Systematischer Ausfall

H Kombination von Subsystemen

I Beispiele (Quantifizierung)

J Software (Beispiel)

K PFHD-Tabelle

L EMV-Anforderungen

M Typische Sicherheitsfunktionen

N Software-Anforderungen (Use-Cases)


SRP/CS

• führt eine Sicherheitsfunktion aus

• besteht aus einem oder mehreren Subsystemen

SRP/CS vs. Subsysteme

Subsystem

• führt eine Sicherheits-Teilfunktion aus

• fällt ein Subsystem gefährlich aus, wird die Sicherheitsfunktion nicht mehr ausgeführt

• in genau einer Kategorie


Quelle: CD2/ISO 13849-1:2019

Safety Requirements Specification (SRS)

Jede Sicherheitsfunktion wird beschrieben durch

a) Kurzbeschreibung

b) Auslösendes Ereignis

c) Sicherheitsgerichtete Reaktion und Reaktionszeit

d) PLr

e) Schnittstellen zu anderen (Sicherheits-)Funktionen

f) Betriebsarten, in denen die Sicherheitsfunktion aktiv ist

g) Fehlerreaktion und Sicherer Zustand

h) Verhalten bei Energieausfall

i) Häufigkeit der Anforderung

j) Priorisierung von Sicherheitsfunktionen


Spezifikation von Sicherheitsfunktionen (Beispiel)

„Automatikbetrieb: Das Öffnen der vorderen Schutztür

führt zum gesteuerten Stillsetzen (SS2) der Achse

innerhalb von 500 ms. Im Mittel erfolgt eine

Anforderung 6 mal pro Tag. Der erforderliche

Performance Level beträgt PLr d.“


Quantifizierung von Subsystemen ohne MTTFD (1)

Input und Output

* bewährte betriebsbewährte Bauteile erforderlich

Logik

• Kategorie B, 2, 3 , 4:

Kanal-MTTFD = 10 Jahre ansetzbar

• Kategorie 1 (bewährte Bauteile erforderlich):

Kanal-MTTFD = 30 Jahre ansetzbar

PFHD

in 1/h

Kat.

B

Kat.

1

Kat.

2

Kat.

3

Kat.

4

PL b 5,0∙10-6 ● ○ ○ ○ ○

PL c 1,7∙10-6 - *●* *●* ○ ○

PL d 2,9∙10-7 - - - *●* ○

PL e 4,7∙10-8 - - - - *●*

● Angewandte Kategorie wird empfohlen

○ Angewandte Kategorie ist optional

- Kategorie ist nicht zulässig


Quantifizierungohne MTTFD (2)

Logik

MTTFD = 10 (30) Jahre

Input und Output

Werte aus Tabelle


Software-Lebenszyklus

Vereinfachtes V-Model für den SW-Lebenszyklus

(Phasen und Dokumente)


V-Model für Anwender-SW

(LVL, z.B. mit Funktionsblöcken)

auf Pre-Assessed HW (z.B. S-SPS)

Quellen: CD2/ISO 13849-1:2019

Embedded Software (SRESW) – Detaillierung

Basismaßnahmen in Bauteilen mit einem PLr a bis d:

• Software-Sicherheitslebenszyklus mit Verifikation und Validierung

• Dokumentation von Spezifikation und Entwurf(z.B. SW Design-Spezifikation, SW System-Design-Spezifikation,Modul-Design-Spezifikation, Codelistings mit Kommentaren)

• modulare und strukturierte Entwicklung und Codierung(z.B. Hierarchie und Begrenzung der Funktionalität, klare Programmstruktur,Definition der Schnittstellen, gut strukturierter Call-Graph, Vermeidung von Interrupts, Verwendung von Codierrichtlinien)

• Beherrschung von systematischen Ausfällen(z.B. Programmlaufüberwachung, Fehlerbeherrschung in Datenkommunikationsprozessen, siehe G.2) …

Zusätzliche Maßnahmen in Bauteilen mit einem PLr von c oder d …


SRESW

IFA Report 2020

(in Vorbereitung)

SRESW/SRASW – Use-Cases (neuer informativer Annex)

Description r..recommended m..mandatory

used category B 2 3/4 3/4

part in category

logic

test

equ

ipm

ent

logic

test

equ

ipm

ent

ch

an

nel1

AN

D 2

ch

an

nel1

OR

2

ch

an

nel1

AN

D 2

ch

an

nel1

OR

2

2 c

ha

nn

el

2 c

ha

nn

el

performance level required a b c c d d d d e e d e

This basic measures shall be applied:

development lifecycle with V&V activities

m m m m m m m m m m m m

documentation of specification and design

modular and structured programming

functional testing; (e.g. black box testing)

appropriate development activities after modifications

* * * PLr um eine Stufe reduziert

• im Testkanal von Kat. 2

oder

• SRESW nur in einem

Funktionskanal

in Kat. 3 oder 4

**

*) pre-assessed plattform

nur bei LVL*)


Validierung (Mini-Merging von Teil 1 und 2)

1 Anwendungsbereich


3 Begriffe

4 Überblick

5 Sicherheitsfunktionen (SRS, PLr, …)

6 Design (PL, Kategorien, PFHD, …)

7 Software

8 Verifikation (PL ≥ PLr)

9 Ergonomische Aspekte

10 Validierung (aus ISO 13849-2)

11 Instandhaltung

12 Technische Dokumentation

13 Benutzerinformation

ISO 13849-1

1 Anwendungsbereich


3 Begriffe

4 Validierungsverfahren

… Analyse … Prüfen … Spezifikation

… Sicherheitsfunktionen …

… PL … Kategorie …

12 Val. der techn. Dok., Benutzerinfo.

Anhang A mechanische Systeme

Anhang B pneumatische Systeme

Anhang C hydraulische Systeme

Anhang D elektrische Systeme

Anhang E Validierungsbeispiel

ISO 13849-2


„Der Kopf ist rund, damit das Denken die Richtung ändern kann“Francis Picabia


Eintrittswahrscheinlichkeit eines Gefährdungsereignisses?


• in CD2 gestrichen!

• deutscher Kompromissvorschlag: zurück zum Stand 2015

• aktuell Patt-Situation

• Entscheidung auf Helsinki-Sitzung?

Möglichkeit zur Vermeidung der Gefährdung (P-Parameter)

Training, Qualifikation nicht oder

nur allgemein

speziell

Geschwindigkeit,

Zeit bis zum Schadensereignis

hoch,

< 1 s

mittel,

< 3 s

(sehr) niedrig

≥ 3 s

Raum/Möglichkeit zum Ausweichen keine < 50 % ≥ 50 %

Wahrnehmbarkeit, Gefahrenbewusstsein keine < 50 % ≥ 50 %

Komplexität der Aufgabe hoch, mittel (sehr) niedrig

mindestens einmal ROT P2

höchstens einmal ORANGE, sonst GRÜN P1

kein ROT, mehr als ein ORANGE P1 oder P2, je nach Maschine


Praxisorientierte EMV-Anforderungen für funktionale Sicherheit

nach

IEC 61000-6-2B

PL b PL d

Maßnahmen auf Systemebene

(„mandatory“ und Auswahlliste)C

nach IEC 61000-6-7 oder anderen

allgemeinen EMV-NormenD

PL e

EMV-Anforderungen aus einer ProduktnormA

IEC 61000-6-7, 4.1 Anmerkung 1:

Es können andere Lösungswege [als

Störfestigkeitsprüfungen] existieren, um

eine ausreichende Störfestigkeit zu

zeigen, z. B. […] Entwurf oder Analyse.

IEC 61000-6-2: für Industriebereiche

(Fachgrundnorm, normale Störpegel)

IEC 61000-6-7: für Funktionale Sicherheit

(höhere Störpegel)


geplant

EMV-Anforderungen nach Route C – „mandatory“


EMV-Anforderungen nach Route C – Auswahlliste (70+ Punkte)


max. 100 Punkte

ISO/TR 23849 Formelmethode für PFHD

• Kompatibel zum Säulendiagramm und Annex K

• überschaubar komplexe Formeln („Excel-kompatibel“)

• Asymmetrische Kanäle (MTTFD, DC, Testrate) vorgesehen

• Gebrauchsdauer TM und Common-Cause-Faktor b wählbar

• Testrate rt auch in Kategorie 3 und 4 wählbar

• Anwenderteil: Wie werden die Formeln benutzt?

• Herleitungsteil: Woher kommen die Formeln?

• Start Ende 2019 als Preliminary Work-Item vorgesehen

• Maßgeblich vom IFA entwickelt und getextet

• 2018 erster Entwurf zur Kommentierung in Gremien

• Veröffentlichung wahrscheinlich nach 4th edition 13849-1


IFA-HilfenISO 13849

1st edition

1999

ISO 13849

2nd edition

2006

ISO 13849

3rd edition

2015

ISO 13849

4th edition

2021?

1.x

2.x


3.x

SISTEMA

Zusammenfassung

• strukturelle Verbesserungen, die über das Amendment (3. Ausgabe 2015) hinausgehen

• bessere Struktur und logischer Aufbau, z. B.

• Spezifikation von Sicherheitsfunktionen

• SRP/CS vs. Subsysteme

• Validierung integriert

• erhöhte Anwendbarkeit, z. B.

• Software-Anforderungen

• Risikograph, z.B. P-Parameter

• EMV-Anforderungen

• größere Bandbreite der Quantifizierung (Verfahren ohne MTTFD Formelmethode)


„Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen.“Mark Twain

Vielen Dankfür Ihre Aufmerksamkeit.

Maschinensteuerungen im Fokus: Revision der ISO 13849-1€¦ · EN ISO 13849 IEC 61508 Elektrik...

Documents

Transcript of Maschinensteuerungen im Fokus: Revision der ISO 13849-1€¦ · EN ISO 13849 IEC 61508 Elektrik...