Funktionale Sicherheit in der Praxiscache.freescale.com/files/training/doc/dwf/NEWTEC.pdfSeite 4...

Stand: 12-12-11 22:30

Funktionale Sicherheitin der PraxisReferent: Thomas Haller

www.newtec.deSeite 2

Funktionale Sicherheit

Was alles passieren kann wenn …


Wenn die Technik versagt

Apollo 13 Ariane 5 Challenger

Tschernobyl AirFrance Flug AF 447


Definition „Produkthaftung“

Die Produkthaftung bezeichnet die Haftung auf Schadensersatz gegen den Hersteller für Schäden, die beim Endabnehmer infolge eines fehlerhaften Produkts entstanden sind. Sie ist in den §§ 1 bis 19 des Produkthaftungsgesetzes (ProdHaftG) geregelt und von der verschuldensabhängigen „Produzentenhaftung“ nach § 823 BGB zu unterscheiden.

Die Produkthaftung setzt weder einen Vertrag zwischen dem Hersteller und dem Endverbraucher voraus, noch ist ein Verschulden für die Haftung des Herstellers erforderlich. Vielmehr soll der Endabnehmer vor bestimmten von einem fehlerhaften Produkt ausgehenden Gefahren unabhängig von einem Verschulden des Herstellers geschützt werden, auch wenn sich erst nach Inverkehrbringen des Produkts gezeigt haben. Es handelt sich also um eine reine Gefährdungshaftung. Mangels Vertrags oder Kontakt zwischen Hersteller und Endabnehmer, der das Produkt in der Regel bei einem Zwischenhändler erworben hat, scheiden Ansprüche aus Gewährleistung, Positiver Vertragsverletzung (pVV) und der culpa in

contrahendo („cic“, Verschulden vor Vertragsabschluss) aus. Auch ein Vertrag zugunsten Dritter kommt regelmäßig nicht in Betracht, da der Endabnehmer dem Hersteller und den Zwischenhändlern noch nicht bekannt ist und daher in dem zwischen ihnen geschlossenen Vertrag nicht einbezogen ist.


Geltungsbereich funktionale Sicherheit

NormenDIN ENISO, IEC

Anwendungsbereichsicherheitsbezogene elektronische

Systeme

Motivation• Produkthaftungsgesetz• Imageschaden vorbeugen• Nachfrage nach sicheren Produkten

ZielsetzungGefahren für Mensch und Umwelt

abwenden

Wann?Produktlebenszyklus

(Produktidee bis Außerbetriebnahme)

Methodik• Gefahren- u. Risikoanalyse• Fehleranalyse (FMEA)• sichere Produktentwicklung und Herstellung nach anerkannten Praktiken

StrategieFehlervermeidung und Fehlerbeherrschung

VoraussetzungQM-System

Safety ManagementMehrkosten durch Prozesse (~ 50%)


Funktionale Sicherheit Grundsätzliche Informationen

EN ISO 13849-1 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen –

Teil 1: Allgemeine Gestaltungsleitsätze“


Warum eine neue Norm?

Der EN 954-1, die seit 1996 im Bereich Maschinensicherheit die Auslegung von sicherheitsrelevanten Steuerkreisen beschreibt, fehlten folgende Aspekte:

• Wenige Anforderungen an programmierbare elektronische Systeme• Der Zusammenhang zwischen Risikohöhe und Kategorie erschien nicht immer plausibel• Probabilitische (Betrachtungen der Wahrscheinlichkeiten) Überlegungen sollten in die

Sicherheitsbetrachtungen aufgenommen werden

Die wesentlich Neuerung der EN ISO 13849-1 ist nun der probabilistische Ansatz bei der Beurteilung sicherheitsgerichteter Steuerungssysteme.


Die EU machte ernst: die EN ISO 13849-1 ist verbindlich

Die EN ISO 13849-1 für Steuerung von Maschinenanlagen ist ab 01.01.2012 verbindlich

Nach welcher Norm soll ich eine Steuerung für Maschinen oder Maschinenanlagen sicher und auch rechtssicher nach dem Stand der Technik konzipieren?

Die alte Steuerungsnorm, DIN EN 954-1 aus dem Jahr 1996, kann nicht mehr als Stand der Technik angesehen werden. Die Übergangsfrist für die EN 954-1 ist Ende 2011 endgültig ausgelaufen und die Norm wird nicht mehr im EU-Amtsblatt gelistet. Die alte Steuerungsnorm wurde durch die EN ISO 13849-1 abgelöst. Die EN ISO 13849-1 - Sicherheit von Maschinen - Sicherheitsbezogene Teile von

Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze - ist im EU-Amtsblatt gelistet. Die Maschinenrichtlinie verpflichtet, den aktuellen Stand der Technik umzusetzen. Daher sollten Sie als Hersteller von Serienmaschinen die EN ISO 13849-1 bzw. EN/IEC 62061 anwenden.

Glücklicherweise haben sich sehr viele Zulieferfirmen bereits auf diese neuen Normen eingestellt und bieten Ihnen Produkte an, die für einen Einsatz in Ihrer Maschine vorzertifiziert sind. Informieren Sie sich bitte umfassend über die Angebote Ihrer Lieferanten, es kann Ihnen sehr viel Geld und Zeit sparen!


Probabilistischer Ansatz

Die allgemein bewährten Kategorien werden weiter genutzt und zusätzlich weitere, quantitative sicherheitsrelevante Eigenschaften einfließen zu lassen.Aufbauend auf den Kategorien finden hierfür so genannte Performance Level (PL) Verwendung, die durch folgende Kenngrößen beschrieben werden:

Kenngrössen derEN ISO 13849-1

Bedeutung

Cat. Kategorie (B, 1, 2, 3, 4), Struktureller Aufbau als Basis um eine bestimmten PL zu erreichen

PL Performance Level (a, b, c, d, e)

MTTFd Mittlere Zeit bis zu einem gefährlichen Ausfall

DC Diagnosedeckungsgrad (diagnostic coverage)

CCF Ausfall aufgrund gemeinsamer Ursache (common cause failure)

TM Gebrauchsdauer, Vorgesehener Verwendungszeitraum (mission time)


Iteratives Vorgehen

Die Gestaltung der sicherheitsbezogenen Teile einer Steuerung erfolgt iterativ in mehreren Schritten:

• Ermittlung aller Gefahren durch die Maschine – Gefahren- und Risikoanalyse• Festlegung der Risikoparameter S (Schwere), F (Vermeidung) und P (Exposition)• Bestimmung des erforderlichen Performance Levels PLr (PL required)• Architektur und Realisierungskonzept der geforderten Sicherheitsfunktion• Bestimmung des Performance Level und quantitative Betrachtung anhand:

• Kategorie• MTTFd – meantime to failure dangerous• DC – Diagnosedeckungsgrad• CCF – common cause failure

• Verifikation – ist der erreichte PL gleich oder besser als der geforderte PLr?• Validierung – um systematische Fehler zu vermeiden


Übersicht der Anforderungen

Kategorie

Grafische Darstellung PL max

Anforderungen Eigenschaften

B b MTTFd niedrig bis mittelniedrig: 3 Jahre <= MTTFd < 10 Jahremittel: 10 Jahre <= MTTFd < 30 Jahre

DCavg nicht anwendbar

CCF nicht relevant

Maschine, Schutzeinrichtungen und ihre Bauteile müssen in Übereinstimmung der zutreffenden Normen so gestaltet, gebaut, ausgewählt, zusammengebaut und kombiniert werden, dass sie den zu erwartenden Einflüssen standhalten können.Grundlegende Sicherheitsprinzipien müssen verwendet werden.

1 c MTTFd hochhoch: 30 Jahre <= MTTFd < 100 Jahre

DCavg nicht anwendbar

CCF nicht relevant

Die Eigenschaften von B müssen erfüllt sein.Bewährte Bauteile und bewährte Sicherheitsprinzipien müssen angewendet werden.

2 d MTTFd niedrig bis hochniedrig: 3 Jahre <= MTTFd < 10 Jahremittel: 10 Jahre <= MTTFd < 30 Jahrehoch: 30 Jahre <= MTTFd < 100 Jahre

DCavg niedrig bis mittelniedrig: 60% <= DC < 90%mittel: 90% <= DC < 99%

CCF > 65

Die Eigenschaften von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein.Die Sicherheitsfunktion muss in geeigneten Zeitabständen durch die Maschinensteuerung getestet werden.

Informationsquelle: DIN EN ISO 13849-1


Kategorie

Grafische Darstellung PL max




CCF > 65

Die Eigenschaften von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein.Sicherheitsbezogene Teile müssen so gestaltet sein, dass:- ein einzelner Fehler in jedem dieser Teile nicht

zum Verlust der Sicherheitsfunktion führt, und- wenn immer in angemessener Weise

durchführbar, der einzelne Fehler erkannt wird.

4 e MTTFd hochhoch: 30 Jahre <= MTTFd < 100 Jahre

DCavg hochhoch: 99% <= DC

CCF > 65


zum Verlust der Sicherheitsfunktion führt, und- der einzelne Fehler bei oder vor der nächsten

Anforderung der Sicherheitsfunktion erkannt wird. Wenn diese Erkennung nicht möglich ist, darf eine Anhäufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion führen.

Übersicht der Anforderungen

Informationsquelle: DIN EN ISO 13849-1


Bestimmung des Performance Level PLr

Schwere der Verletzung (S)S1 = leichte (normalerweise reversible) VerletzungS2 = schwere (normalerweise irreversible) Verletzung einschließlich TodHäufigkeit und/oder Dauer der Gefährdungsexposition (F)F1 = selten bis öfters und/oder kurze DauerF2 = häufig bis dauernd und/oder lange DauerMöglichkeiten zur Vermeidung der Gefährdung (P)P1 = möglich unter bestimmten BedingungenP2 = kaum möglich


Diagnosedeckungsgrad

Der DC (diagnostic coverage) Diagnosedeckungsgrad dient der

„Verminderung der Wahrscheinlichkeit von gefahrbringenden Hardwareausfällen, aufgrund der Anwendung automatischer diagnostischer Prüfung“



Praxisbeispiel und Risikoanalyse


Praxisbeispiel ISO 13849-1

Funktionalität:

• Sicheres Abschalten bei Detektion im Gefährdungsbereich

(z.B. bei manueller Bestückung)

• Überwachung der sicherheitsrelevanten Parameter

• Überwachung von Schutzsystemen

• Steuerung der Antriebe und ggf. Abschaltung

Schutzschaltung für den Antrieb eines Industrieroboters


Gefahren- und Risikoanalyse ist übergeordnet

SystemrequirementsKundenrequirements

Planung des Projekts

Top-Level System-Design

DetaillierteRequirements

DetailliertesSystem-Design

ImplementierungEntwicklung

Kundenabnahme

SystemtestSicherheitsabnahme

IntegrationsTest

DetaillierteVerifikation

Modul Test

Gefährdungs- und RisikoanalyseSafety goals

Zertifizierung

Safety requirements


Blockschaltbild Schutzschaltung Antrieb Industrieroboter

Input OutputSensoren

Gefahrenbereich

Notaus

Abschaltung (STO)(safe torque off)

Logik / Steuerung

Drehzahl-erfassung

Temperatur-sensor


Risikoanalyse Schutzschaltung Antrieb Industrieroboter

Input OutputSensoren

Gefahrenbereich

Drehzahl-erfassung

Temperatur-sensor

Notaus

Abschaltung (STO)(safe torque off)

Logik / Steuerung

Fehler am Sensor:Schluss zur Versorgungsspannung

MasseschlußOszillierendes, offenes Signal

Kabelbruch

Kabelbruch

Verklebte Kontakte

Fehler im Steuergerät:Software- oder Hardwarefehler

Speicherfehler durch EMVFehler am internen Bussystem (Adress-/Datenbus), I/O Fehler

Über-/ Unterspannung


Risikoanalyse: Verfolgbarkeit durch Verlinkung sicherstellen

SicherheitszieleSicherheits-

anforderungen

Gefahren und Risiken

Die Anforderung NOTAUS mußsicher zum Abschalten des

Roboterantriebs führen

Ein Kabelbruch in der Notausverkabelung führt dazu, daß die Notausanforderung nicht erkannt wird

Die Verkabelung des Notauskreises muss überwacht werden und bei einer Störung zur Sicherheitsabschaltung

führen

Eine Störung in der Verkabelung des Notauskreises muß spätestens nach

10 msec erkannt werden



Bestimmung des PLr (Performance Level required)durch Festlegung der Risikoparameter S, F und P


Bestimmung der Risikoparameter Performance Level PLr

Schwere der Verletzung (S)S1 = leichte (normalerweise reversible) VerletzungS2 = schwere (normalerweise irreversible) Verletzung einschließlich TodHäufigkeit und/oder Dauer der Gefährdungsexposition (F)F1 = selten bis öfters und/oder kurze DauerF2 = häufig bis dauernd und/oder lange DauerMöglichkeiten zur Vermeidung der Gefährdung (P)P1 = möglich unter bestimmten BedingungenP2 = kaum möglich

Schwere Verletzungen möglich

Durch manuelle Bestückung

Bei geschultem Personal ist ein Entkommen möglich

Performance Level d


Empfohlene Architektur für Performance Level d / Kat. 3

Kategorie

PL max




CCF > 65


zum Verlust der Sicherheitsfunktion führt, und- wenn immer in angemessener Weise

durchführbar, der einzelne Fehler erkannt wird.

Sensor LogikAusgabe-

einheitVerbindungsmittel

Verbindungsmittel

Überwachung

Sensor LogikAusgabe-

einheitVerbindungsmittel

Verbindungsmittel

Überwachung

Kre

uzve

rgle

ich



Architektur der erforderlichen Sicherheitsfunktion


Gewählte Architektur Schutzschaltung Industrieroboter

Sensoren Gefahren-bereich (Lasergatter)

Drehzahlerfassung (Schleifring)

Temperatursensor(analog)

Notaus (Schließer)

Abschaltung STO (safe torque off)

Logik / SteuerungTyp 2

Sensoren Gefahren-bereich (öffner)

Drehzahlerfassung(Hall Sensor Typ 1)

Temperatursensor (digital)

Notaus (Öffner)

Abschaltung STO (safe torque off)


Zwangsgeführte Hilfskontakte

(Rückmeldepfad)


(Rückmeldepfad)

Kreuzvergleich durch gegenseitige Überwachung

PWM mit 500 Hz



Bestimmung des erreichten Performance Level und quantitative Betrachtung


Betrachtung für die Berechnung (zur Vereinfachung)

Sensoren Gefahren-bereich (Lasergatter) Abschaltung

STO (safe torque off)


Sensoren Gefahren-bereich (öffner) Abschaltung

STO (safe torque off)



(Rückmeldepfad)


(Rückmeldepfad)

Kreuzvergleich durch gegenseitige Überwachung


MTTFd je Bauteil, vom Hersteller mitgeteilt

Sensoren Gefahren-bereich (öffner)

Sensoren Gefahren-bereich (Lasergatter)



SO1 Schalter: MTTFd 30 Jahre, DC = 90%

SO2 Sensorik: MTTFd 25 Jahre, DC = 90%

K1, K2 Schütze zwangsgeführt: MTTFd 38 Jahre, DC = 99%

UC1 Sicherheitssteuerung: MTTFd 68 Jahre, DC = 99%

UC2 Sicherheitssteuerung: MTTFd 35 Jahre, DC = 99%


Berechnung der MTTFd pro Kanal und gesamt

1 1 1 1---------------- = ---------------- + ---------------- + ----------------MTTFd, Kanal MTTFd, SO MTTFd, K MTTFd, UC

1 1 1 1---------------- = -------------- + -------------- + -------------- = 13,4 Jahre MTTFd, Kanal 1 30 Jahre 38 Jahre 68 Jahre

1 1 1 1---------------- = -------------- + -------------- + -------------- = 10,5 Jahre MTTFd, Kanal 2 25 Jahre 38 Jahre 35 Jahre

Die Anwendung der Mittelungsformel liefert näherungsweise eine gleichwertig homogene Struktur:

2 1MTTFd = -- MTTFd, Kanal 1 + MTTFd, Kanal 2 - --------------------------------------- = 12 Jahre (mittel)

3 1 1 ---------------- + ----------------MTTFd, Kanal 1 MTTFd, Kanal 2


Berechnung des DCavg

1 1 1 1 10,9 * ------------ + 0,9 * ------------ + 2 * 0,99 * -------------- + 0,99 * ------------- + 0,99 * -------------

MTTFSO1 MTTFSO2 MTTFK1,K2 MTTFUC1 MTTFUC2

DCavg = ------------------------------------------------------------------------------------------------------------------------------1 1 1 1 1

------------ + ------------ + 2 * -------------- + ------------ + ------------MTTFSO1 MTTFSO2 MTTFK1,K2 MTTFUC1 MTTFUC2

DCavg = 95 % �� mittel


Bestimmung des CCF

√

√

√

√

√

CCF = 15 + 15 + 5 + 5 + 25 + 10 = 75


Bestimmung des erreichten PL

Wahl der Architektur: gemäß Kategorie 3MTTFd = 12 Jahre = mittelDC avg = 95% = mittelCCF = 75 > 65

Performance Level PL d

Performance Level required PLr d √


Bestimmung des erreichten PL

Wahl der Architektur: gemäß Kategorie 3MTTFd = 12 Jahre = mittelDC avg = 95% = mittelCCF = 75 > 65

Performance Level PL d

Performance Level required PLr d √

Kategorie

PL max


3 dMTTFd niedrig bis hochniedrig: 3 Jahre <= MTTFd < 10 Jahremittel: 10 Jahre <= MTTFd < 30 Jahrehoch: 30 Jahre <= MTTFd < 100 Jahre


CCF > 65

Die Eigenschaften von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein.Sicherheitsbezogene Teile müssen so gestaltet sein, dass:- ein einzelner Fehler in jedem dieser Teile nicht zum

Verlust der Sicherheitsfunktion führt, und- wenn immer in angemessener Weise durchführbar,

der einzelne Fehler erkannt wird.



Auslegung der Logik / Steuerung


Vorgaben der Norm sind zu erfüllen

Die Eigenschaften von allen Elementen und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet sein, dass:• ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der

Sicherheitsfunktion führt, und• wenn immer in angemessener Weise durchführbar, der einzelne Fehler

erkannt wird.

Dies gilt insbesondere für die Logik und Steuerung im System und der Erreichung des hohen DC (durch automatische Prüfungen)

Fehler in der Steuerung können verschiedene Ursachen haben:• EMV• Speicherfehler, Daten-/ Adressbus Fehler• I/O Fehler, Watchdog Fehler• Über- oder Unterspannung• Software-Fehler• …


Safety Controller reduzieren den Aufwand in der Software erheblich

Die vorqualifizierte Hardware reduziert Software Aufwände für Sicherheitsfunktionen:

• Die Aufwände zur Realisierung von Sicherheitsfunktionen sind hoch und erzeugen bei der Verifikation sehr hohe Kosten – Vorqualifizierte Hardware bietet viele Funktionen, die dann nicht in Software abgebildet werden müssen, wie z.B.:• Diagnose der Hardware (incl. Speicher und Signalleitungen), auch im Betrieb• Selbsttest und schneller Re-Boot (falls erforderlich)• Integrierte Watchdog Überwachung• Lockstep Funktionalität oder zwei Parallelpfade durch Dual Core Prozessoren• Teilweise Plausibilisierung von Eingangssignalen• Sicherheitsfunktionen durch Hardware sind deutlich schneller als durch Software

� Safety Controller vereinfachen die Entwicklung sicherer Systeme und erlauben einen hohen Diagnosedeckungsgrad


Abkürzungen aus EN ISO 13849-1


Nützliche Links

Richtlinientexte (EU) Unmittelbarer und kostenlosen Zugang zu den Rechtsvorschriften der Europäischen Unionhttp://eur-lex.europa.eu

Normenlisten EU-Amtsblatt BAuA: Bundesanstalt für Arbeitsschutz und Arbeitsmedizinhttp://www.baua.de

VDMA: Verband Deutscher Maschinen- und Anlagenbauer http://www.vdma.org

Software Tool zur BGIA: Berufsgenossenschaftliches Institut http://www.dguv.de/bgia/de/pra/softwa/

Functional Safety TÜV Rheinland: http://www.tuvasi.com

Notifizierte Prüfstellen BAuA: Bundesanstalt für Arbeitsschutz http://www.baua.de/de/Produktsicherheit/Produktsicherheit.html

Normenherausgeber:DIN: Deutsches Institut für Normung e.V. http://www.din.deIEC http://www.iec.chISO http://www.iso.orgCENELEC: http://www.cenelec.euCEN: http://www.cen.eu


Ihre Ansprechpartner der NewTec

NewTec GmbH System-Entwicklung und BeratungBuchenweg 389284 Pfaffenhofen a. d. Roth

Robert HerrmannStandort Pfaffenhofen

Tel.: +49 (0)7302 / 9611-66E-Mail: [email protected]

Matthias WolbertStandort Mannheim


Thomas WendtStandort Freiburg / Friedrichshafen


Svenja NotzMarketing & Training



Ihre Ansprechpartner der NewTec

Matthias WolbertMarktverantwortlicher Automotive / Transportation


Dieter MetternichMarktverantwortlicher Verteidigungstechnik


Martin AllgaierMarktverantwortlicher Medizintechnik


Thomas MackMarktverantwortlicher Avionik


Für branchenspezifische Fragen wenden Sie sich bitte an unsere Marktverantwortlichen:

Funktionale Sicherheit in der Praxiscache.freescale.com/files/training/doc/dwf/NEWTEC.pdfSeite 4...

Documents

Transcript of Funktionale Sicherheit in der Praxiscache.freescale.com/files/training/doc/dwf/NEWTEC.pdfSeite 4...