Allgemein

Funktionale Sicherheit – Änderungen an ISO 13849-1 (PL) und IEC 62061 (SIL)

3. April 2023, von Thomas Bömer

Neue Anforderungen für die Gestaltung sicherer Maschinensteuerungen

ISO 13849-1 und IEC 62061 stellen für den Maschinenbereich die wichtigsten Normen zur funktionalen Sicherheit dar. Nachdem die Arbeiten für eine Zusammenlegung der beiden Normen nicht erfolgreich waren, wurden beide Normen im Rahmen der üblichen „Maintenance“ überarbeitet. Die Ergebnisse liegen nun vor und zeigen einerseits inhaltliche Annäherungen, andererseits deutliche Unterschiede was z.B. den Einsatz von Standardkomponenten oder die Anforderungen zu Software und elektromagnetischer Störfestigkeit angeht.

Risikominderung durch die Implementierung von Sicherheitsfunktionen

ISO 13849-1 und IEC 62061 sind dazu vorgesehen im Rahmen einer systematischen Risikominderung in Verbindung mit der in ISO 12100 beschriebenen Risikobeurteilung verwendet zu werden. Konkret zeigen beide Normen, dass ihre Anwendung als Schritt 2 der 3-Stufen-Methode – Risikominderung durch technische Schutzmaßnahmen – angesehen wird. Viele maschinentypische C-Normen referenzieren für die Konstruktion von sicheren Steuerungen bzw. die Realisierung von Sicherheitsfunktionen auf diese beiden Normen. Dabei werden konkrete Anforderungen in Form eines erforderlichen Performance Levels (PL nach ISO 13849-1) oder Sicherheitsintegritätslevels (SIL nach IEC 62061) angegeben. Um diese dann zu realisieren, bedarf es besonders in den Entwicklungsabteilungen der Maschinenindustrie ausführlicher Detailkenntnisse mindestens einer der beiden Normen. Auch mit den Änderungen der Normen sollten sich Entwickler und Verantwortliche rechtzeitig und nicht erst mit Ablauf der Übergangsfristen vertraut zu machen.

Risikoeinschätzung

Wird eine Risikoeinschätzung erforderlich bieten die Normen den bekannten Risikographen aus ISO 1389-1 und die Risikomatrix der IEC 62061 an. Der in den Entwürfen zur ISO 13849-1 teilweise eliminierte Parameter Eintrittswahrscheinlichkeit wurde nach langen Diskussionen beibehalten. Es heißt in Fällen, in denen die Eintrittswahrscheinlichkeit als gering eingeschätzt werden kann, ist eine Herabstufung um einen Performance Level möglich. Eine weitere Erläuterung ist nicht angegeben. Neu ist eine detaillierte Hilfestellung zur Bestimmung des P-Parameters für den Risikographen. Dabei werden Aspekte wie Training und Qualifikation, Geschwindigkeit der Maschinenbewegung und räumliche Möglichkeit zum Ausweichen sowie die Wahrnehmbarkeit der Gefährdung und die Komplexität der Aufgabe berücksichtigt. Die Risikomatrix der IEC 62061 wurde in ihrer SIL-Zuordnung leicht angepasst. Neu ist, dass die Matrix auch zur Bestimmung eines erforderlichen PL verwendet werden kann.

Anwendungsbereich

IEC 62061 hat im Rahmen der Überarbeitung den Anwendungsbereich auf nichtelektrische Technologien ausgeweitet, um den vermeintlichen Nachteil, dass die Norm nicht auf fluidtechnische Steuerungen angewendet werden konnte, auszugleichen. Die in den Entwürfen der IEC 62061 beschriebene Ausweitung des Anwendungsbereiches auf die Betriebsart „Low Demand“, eher bekannt aus der Prozessindustrie, wurde in letzter Minute wieder gestrichen.

Plan und Management der funktionalen Sicherheit

Erstmals führen beide Normen einen Plan der funktionalen Sicherheit ein, der auch das Management der funktionalen Sicherheit umfasst. IEC 62061 ist als Sektornorm der IEC 61508 in Bezug auf die Anforderungen zu diesem Punkt bedeutend ausführlicher.

Anforderungen an sicherheitsrelevante Software

Neu in beiden Normen ist ein aus nur zwei Hierarchieebenen bestehendes V-Modell für die Softwareentwicklung von LVL-Anwendungssoftware (limited variability language), was beim Einsatz von „geprüften“ Plattformen (sog. „Sicherheits-SPS“) zum Einsatz kommen soll. Die bereits vorhandenen vereinfachten V-Modelle wurden für ein besseres Verständnis des Anwenders um weitere Informationen ergänzt. IEC 62061 beschreibt nun ausschließlich Anforderungen an Anwendungssoftware und verweist für Embedded-Software auf IEC 61508, was ISO 13849-1 nur für Software im PL e ohne Diversität für Spezifikation, Entwurf und Codierung in den beiden vorgesehenen Kanälen fordert. Anhang N.1 von ISO 13849-1 listet anhand von vier Anwendungsfällen die Anforderungen zu sicherheitsrelevanter Software detailliert auf.

Elektromagnetische Störfestigkeit

Während IEC 62061 für das sicherheitsbezogene Steuerungssystem nur auf die Anforderungen der IEC 61000-1-2 (Verfahren zum Erreichen der funktionalen Sicherheit im Hinblick auf elektromagnetische Phänomene) verweist, wurde die ISO 13849-1 zum Thema Störfestigkeit umfassend erweitert. Anhang L beschreibt vier unterschiedliche Routes, die unterschiedliche Vorgehensweisen erlauben. Priorität wird auf die Route A gelegt, die zur Anwendung kommt, wenn Produktnormen Anforderungen zur Störfestigkeit im Kontext der funktionalen Sicherheit beschreiben. Die Fachgrundnorm zur Störfestigkeit für Industriebereiche IEC 61000-6-2 ist nur noch bis zum PL b als Route B vorgesehen. Neu ist ein Scoringsystem zu Maßnahmen auf Systemebene als Route C.

Validierung und Unabhängigkeit bei der Validierung

Dass das Erreichen funktionaler Sicherheit auch überprüft werden muss, ist hinlänglich bekannt und wird von den Normen als Validierung bezeichnet. IEC 62061 beschreibt die Anforderungen zu dieser Aktivität umfassend auf nun 10 Seiten. Im Rahmen der Überarbeitung hat ISO 13849-1 den normativen Teil des bisherigen Teils 2 integriert, um die Wichtigkeit dieser Aktivität zu unterstreichen.

Während die ISO-Norm nur formuliert, dass die Validierung von einer Person(en), die unabhängig von der Entwicklung sein sollte(n), auszuführen ist, stellt IEC 62061 im neuen Anhang J die unabhängige Person für alle Überprüfungs-, Test-, Verifikations- und Validierungsaktivitäten als Mindestmaß dar. Eine Ausnahme bildet die Kombination von vorentworfenen Software-Modulen im SIL 1 und SIL 2, bei der auch eine „andere“ Person, die nicht unabhängig von der Entwicklung ist, zum Einsatz kommen darf.

Welche der beiden Normen sollte ein Anwender auswählen – sind die Ergebnisse kompatibel?

Diese Frage stellen sich Anwender schon seit mehr als 15 Jahren. Beide Normen waren bereits in der Vergangenheit harmonisierte Normen unter der Maschinenrichtlinie 2006/42/EG, was zum aktuellen Stand (Dezember 2022) auch für die überarbeite EN IEC 62061:2021 gilt. Bisher gab es unzweifelhaft ein deutliches Übergewicht in der Anwendung der ISO 13849-1. Ob sich dies z.B. durch die Erweiterung des Anwendungsbereiches der IEC 62061 ändert, muss abgewartet werden. ISO 13849-1 erlaubt eingeschränkt den Einsatz von sog. Standardkomponenten und kann auch auf Entwicklungen mit sog. Embedded- Software als FVL (full variability language) angewendet werden – beides ist nicht im Anwendungsbereich der IEC 62061 enthalten. Letztendlich kann aus Sicht des Autors keine Empfehlung für die Bevorzugung einer der beiden Normen gegeben werden. Unter der Voraussetzung der korrekten Anwendung der Normen ist auch nicht zu erwarten, dass aus einer der beiden Normen grundsätzlich ein höheres Sicherheitsniveau resultiert. Die deutsche Ausgabe der IEC-Norm wird als DIN EN IEC:2023-02 veröffentlicht. Bereits zum 11. Oktober 2023 erlischt die Konformitätsvermutung bei Anwendung der bisherigen Ausgabe der Norm. In ISO steht zunächst ebenfalls bis Februar 2023 die Abstimmung zum Schlussentwurf an.

Was die „Anerkennung“ untereinander angeht können Teilsysteme, die nach IEC 62061 entwickelt und validiert worden sind, unter ISO 13849-1 verwendet werden. Umgekehrt gilt dies nur eingeschränkt. Teilsysteme mit komplexen Komponenten, die nach ISO 3849-1 entwickelt und validiert worden sind, hat der Normensetzer für die Verwendung in Sicherheitsfunktionen nach IEC 62061 ausgeschlossen.

Mit den jeweiligen Überarbeitungen haben die Normensetzer von ISO und IEC die Anwendbarkeit und Eindeutigkeit der Formulierung von Anforderungen z.B. auch durch informative Anhänge zum Thema Software verbessert. Einzelne Anpassungen können auch als thematische Angleichung der beiden Normen gewertet werden, auch wenn die konkreten technischen Anforderungen sich nicht immer gleichen. Eine Zusammenlegung beider Normen wird in deutschen Normenkreisen aktuell nicht befürwortet.

Zeitnah zur neuen Ausgabe der DIN EN ISO 13849-1 werden das vom Institut für Arbeitsschutz (IFA) angebotene Tool SISTEMA und der IFA‑Report zur Anwendung der Norm angepasst.

Das könnte Sie auch interessieren:

Allgemein

Roboter und künstliche Intelligenz sicher einsetzen: So geht’s

04.04.22, von Dr. Werner Kraus und Ramez Awad

Geprägt von Fachkräftemangel und Lieferkettenschwierigkeiten gehen immer mehr produzierende Unternehmen den Schritt hin zu mehr Automatisierung, um auch in diesen schwierigen Zeiten wirtschaftlich zu fertigen. Die Sicherheit der Anlage ist dabei natürlich immer oberstes Gebot. Doch wie können Roboter und Verfahren mit künstlicher Intelligenz (KI) rechtskonform in der Praxis funktionieren? Weiterlesen