Startseite » Safety »

Safety-Experten zur Überarbeitung der Normen EN ISO 13849 und EN 62061

Beurteilung der Sicherheitstechnik
Safety-Experten zur Überarbeitung der Normen EN ISO 13849 und EN 62061

Sicherheitseinrichtungen, wie Schutztürverriegelungen, Not-Halt oder berührungslos wirkende Schutzeinrichtungen zählen zu den typischen Funktionen zur Absicherung von Maschinen und Anlagen. Bei höherem Komplexitätsgrad kommen jedoch zunehmend programmierbare Systeme zum Einsatz. Die Anforderungen zur Erfüllung der Maschinenrichtlinie sind in der EN ISO 13849 sowie der EN 62061 beschrieben. Beide Normen befinden sich zurzeit in der Überarbeitung, weshalb wir in unserem aktuellen Trendinterview mit Experten der Branche darüber diskutieren, welche Änderungen auf ihre Anwender zukommen.

Die Fragen stellte Andreas Gees, stv. Chefredakteur, und Irene Knap, Redakteurin, elektro AUTOMATION

elektro AUTOMATION: Die Normen EN ISO 13849 und EN 62061 befinden sich aktuell in der Überarbeitung. Was sind die Gründe für die Überarbeitung, mit welchen Änderungen ist konkret zu rechnen und ab wann werden sie wirksam?

Jens Rothenburg (Euchner): Die beiden Normen sollten zu einer einzigen Norm – der ISO 17305 – zusammengeführt werden. Dieses Vorhaben hatte dazu geführt, das notwendige Änderungen an den derzeitigen Versionen der Normen, die ohnehin fällig wurden, zurückgestellt worden sind.

Nachdem das Projekt der Zusammenführung gescheitert war, sollten diese Änderungen umgesetzt werden. Zudem soll bei der EN ISO 13849-1 der Teil 2 der Norm integriert werden und es sollen die Erkenntnisse bezüglich sicherheitsgerichteter Software, die während des Projekts der Zusammenführung gewonnen wurden, integriert werden. Gleich während des ersten Treffens der internationalen Normungsgruppe, der WG8, wurde darüber hinaus beschlossen, die Struktur der ISO 13849-1 besser an die Bedürfnisse des Anwenders anzupassen.

Carsten Gregorius (Phoenix Contact): Die Änderungen betreffen insbesondere die strukturelle Verbesserung der Lesbarkeit der Norm. Bei der EN ISO 13849 sind zudem Anpassungen zur besseren Beschreibung der Anforderung an die Spezifikation der Sicherheitsfunktionen und die notwendige Dokumentation (SRS) vorgenommen worden. Weiterhin sollen DC-Maßnahmen als Fehlererkennung im Prozess detaillierter erläutert werden. Darüber hinaus wurden Optimierungen der Softwareanforderung unter Berücksichtigung der IEC 62061 aufgenommen.

Beide Normen adressieren nun auch den Einfluss von Security auf die funktionale Sicherheit. Die EN 62061 ist inhaltlich gegen die Stimmen von Deutschland angenommen worden. Mit der Veröffentlichung ist im Laufe des Jahres zu rechnen. Die EN ISO 13849 hängt etwas hinterher: Positives Voting vorausgesetzt, ist von einer Veröffentlichung bis Ende 2021 auszugehen.

Klaus Dürr (Pilz): Der Anstoß war nicht nur die turnusmäßige Überarbeitung. Vielmehr gab es eine Reihe von Diskussionen, die im Rahmen der leider gescheiterten Zusammenlegung der beiden Normen in die IEC/ISO17305 geführt wurden. Diese Diskussionen haben aufgezeigt, wo beide Normen Verbesserungspotenzial haben. Beispielsweise ein stärkerer Fokus auf die Definition und die Validierung von Sicherheitsfunktionen, eine bessere Definition von verschiedenen sicherheitsrelevanten Teilen der Steuerungssysteme oder auch detailliertere Anforderungen und Informationen zu spezifischen Sicherheitsfunktionen (etwa Betriebsarten, Überwachung von Sicherheitsfunktionen, etc.). Bei beiden Normen wird eine Veröffentlichung in 2021 angestrebt.

Mathias Wimmer (Wieland Electric): Beide Normen befassen sich mit der Sicherheit ergo der Zuverlässigkeit sicherheitsrelevanter Steuerungssysteme. Diese können aus elektrischen beziehungsweise elektronischen oder auch aus hydraulischen beziehungsweise pneumatischen Komponenten bestehen. In der EN ISO 13849 werden am Rande noch dazu Sicherheitsfunktionen mit mechanischen Baugruppen behandelt. Damit konzentrieren sich diese Normen auf Technologien, die einem sehr schnellen Wandel unterliegen. Hier muss also die Normungsentwicklung regelmäßig an den Stand der Technik angepasst werden.

Neben diesen technischen gibt es zudem organisatorische Gründe für die Überarbeitung. So verlangen die Normungsorganisationen ISO und IEC, die diese Normen ursprünglich herausgegeben haben, stets eine regelmäßige Pflege dieser Normen. Eine wesentliche Neuerung in der EN ISO 13849 dürfte die Ausweitung des Validierungskapitels sein – langfristig soll alles Wichtige in Teil 1 enthalten sein. Weiterhin werden EMV-Anforderungen aufgenommen, um den Maßnahmen gegen Fehler gemeinsamer Ursache mehr Substanz zu geben. Diese Maßnahmen werden außerdem einen erläuternden Anhang erhalten. Die Veröffentlichung der beiden Normen ist für das erste Halbjahr 2021 vorgesehen, ein FDIS könnte etwa sechs Monate früher erscheinen.

elektro AUTOMATION: Verschiedene Schritte zur Ermittlung des Performance Levels beziehungsweise des Safety Integrity Levels sind etabliert und haben sich bewährt. Behalten die bisherigen Einstufungen zur Risikobeurteilung ihre Gültigkeit, was ändert sich?

Rothenburg (Euchner): Die Einstufungen bleiben in der EN ISO 13849-1 erhalten. Essentiell zur Beurteilung der Leistungsfähigkeit einer sicherheitstechnischen Schaltung ist die Überführung in ein sicherheitstechnisches Blockschaltbild. Dieses Blockschaltbild ist die Basis für die Berechnung der MTTFD (Mean Time to Failure Dangerous) sowie des DC (Diagnostic Coverage) der einzelnen Bauteile, die verwendet wurden.

Das Verfahren ist seit dem ersten Erscheinen der EN ISO 13949-1 so bekannt. Die Software SISTEMA hat dieses Verfahren verfeinert und praktikabler gemacht, indem Subsysteme eingeführt wurden. Diese Subsysteme finden sich nun auch in der Norm wieder. Was sich bezüglich der Bestimmung der PLr (Performance Level required) im Anhang A ändern wird, steht noch nicht fest.

Gregorius (Phoenix Contact): Bei der EN 62061 sind die Kriterien zur Bestimmung des erforderlichen SIL praktisch gleichgeblieben, während bei der EN ISO 13949 der Anhang A verbessert werden soll. Insbesondere der Parameter P (Möglichkeit zur Vermeidung) ist detaillierter zu beschreiben. Kriterien sind unter anderem die Geschwindigkeit, räumliche Grenzen oder die Komplexität der Applikation. Da außerdem der zuvor bekannte Parameter W (Wahrscheinlichkeit) entfallen ist, sollten mögliche Rückwirkungen auf bisherige PLr-Einstufungen überprüft werden.

Dürr (Pilz): Beide Risikographen sind seit Jahren etabliert und werden sich grundsätzlich nicht ändern. Die Einstufungen (Eintrittswahrscheinlichkeit, Häufigkeit/Dauer, etc.) haben direkten Einfluss auf die Level. Daher wird versucht, diese noch exakter zu definieren. Die ISO13849 benutzt im Risikograph selbst ja keine Eintrittswahrscheinlichkeit. Ein Punkt, der diskutiert wird, ist, ob man überhaupt beziehungsweise wie man die Eintrittswahrscheinlichkeit zukünftig in der Norm definiert.

Wimmer (Wieland Electric): Die Risikobeurteilung an Maschinen ist grundlegend in der EN ISO 12100 beschrieben. Mit den dort genannten Mitteln und Prozeduren werden Risiken verschiedenster Art identifiziert, eingeordnet und mit Schweregraden bewertet. Daraufhin wird entschieden, mit welchen Mitteln die Risikominderung erfolgen soll. Erst wenn der Konstruktionsprozess der Maschine soweit gediehen ist, dass über die notwendigen Sicherheitsfunktionen nachgedacht werden muss, kommen Normen wie EN ISO 13849 oder EN 62061 zum Tragen.

Der entsprechenden Sicherheitsfunktion muss also erst dann eine geeignete Zuverlässigkeit beziehungsweise Ausfallsicherheit zugewiesen werden, wenn das Risiko eigentlich bereits beurteilt ist. Für diesen Schritt haben die beiden Normen ihre eigenen Verfahren. Das Prozedere nach der EN 62061 versucht die dort erfolgten SIL- Einstufungen in Beziehung zu PL-Einstufungen zu setzen. Das Verfahren in der EN ISO 13849 wiederum geht erst einmal einen Schritt zurück und nimmt den Parameter ‚Wahrscheinlichkeit des Auftretens einer Gefährdungssituation‘ wieder heraus. Damit wird in Bezug auf die PL-Zuordnung zur Risikominderung abermals die Form von 2015 angenommen. Zu beiden Normen ist anzumerken, dass diese Vorgehensweisen in informativen Anhängen aufgeführt sind, deren Anwendung jedem freisteht.

elektro AUTOMATION: In der Praxis kommen immer häufiger programmier- oder parametrierbare Systeme zum Einsatz. In welchem Umfang werden die Sicherheitsaspekte solcher Applikationen in den überarbeiteten Normen berücksichtigt?

Rothenburg (Euchner): Derzeit ist der Stand der EN ISO 13849-1 so, dass die Betrachtung der sicherheitsgerichteten Software nach denselben Prinzipien erfolgen wird, die auch die heutige Fassung der Norm bereits beinhaltet. Ob das bis zum Erscheinen der Norm so bleiben wird, steht noch nicht fest. Gerade um dieses Thema wird sehr viel diskutiert. Im Moment ist das Ergebnis so, dass der heutige Abschnitt 4.6 im Wesentlichen bereits den Anforderungen genügt, sofern er richtig gelesen und genutzt wird. Der Abschnitt wurde im Detail verbessert und die neuen Erkenntnisse wurden umgesetzt. Ebenso wurde die softwarebasierte Parametrierung neu gefasst und ist nun wesentlich detaillierter.

Gregorius (Phoenix Contact): Das sogenannte V-Modell ist in beiden Normen angepasst worden. Die EN ISO 13849 beschreibt nun zusätzlich ein vereinfachtes V-Modell für Anwendersoftware. Die EN 62061 führt den Begriff der Software-Level ein. Je nach Einklassifizierung (Anwendungsoftware mit FVL, LVL, etc.) können auch hier Vereinfachungen beim V-Modell genutzt werden.

Dürr (Pilz): Betrachtet man die IEC 62061, dann differenziert diese nun den erforderlichen Dokumentationsaufwand und das zugehörige V-Modell für die Programmierung sicherheitsrelevanter Anwendungssoftware auf der Basis der verwendeten Plattform besser. Bei Verwendung von Funktionsblöcken als Sicherheitsfunktion, die nur noch parametriert werden müssen, werden die Anforderungen an die Dokumentation vereinfacht.

Bei komplexeren Programmiersprachen, wie etwa Strukturierter Text oder Anweisungsliste, die eine wesentlich leistungsfähigere und kompliziertere Software ermöglichen, werden die Anforderungen an die Software besser definiert und die erforderlichen Prüfungen klarer formuliert. Darüber hinaus stellt die neue Ausgabe einige grundlegende Codierungsregeln für sicherheitsrelevante Anwendungssoftware vor.

Bei der ISO 13849 basieren mögliche Sicherheitsprobleme im Softwarebereich oft auf einer falschen oder unklaren Sicherheitsspezifikation. Dieser Sicherheitsaspekt wird nun in der Überarbeitung verbessert, und zwar sowohl in der Spezifikation als auch in den Definitionen in Bezug auf Software.

Wimmer (Wieland Electric): Nicht so sehr die Entwicklung, sondern vielmehr die Anwendung programmier- und parametrierbarer Systeme sind das Thema der Normen EN ISO 13849 und EN 62061. Sie beinhalten auch Anforderungen an den Lieferanten solcher Systeme. So sind beispielsweise bei Systemen nach EN ISO 13849 immer der Performance Level, die Ausfallwahrscheinlichkeit und die Kategorie anzugeben.

Weiterhin muss der Anwender genaue Hinweise zu Verwendungsdauer und eventuell regelmäßig durchzuführenden Prüfungen erhalten. Die Normen berücksichtigen sozusagen den gesamten Lebenszyklus, also nicht nur die stets detailliert betrachtete Ausfallwahrscheinlichkeit, sondern auch Aspekte wie die Erstellung sicherheitsrelevanter Software, die Benutzerinformationen und die Informationen für den Integrator.

elektro AUTOMATION: Wie verhalten sich die beiden Normen EN ISO 13849-1 und IEC 62061 zueinander, gibt es Übereinstimmungen, wo liegen die Unterschiede? Lassen sie sich ineinander überführen?

Rothenburg (Euchner): Nachdem die Zusammenlegung der beiden Normen nicht gelang, war die Hoffnung groß, dass die beiden Normen sich in den derzeit in Überarbeitung befindlichen Versionen annähern werden. Die Methoden der beiden Normen sind jedoch sehr unterschiedlich, obwohl die Ergebnisse der Beurteilung doch erstaunlich deckungsgleich waren.

Derzeit zeichnet sich aus meiner Sicht eher ab, dass hier keine Annäherung stattfinden wird. Die Zielgruppen sind wohl doch zu unterschiedlich. Die Überführung von Ergebnissen von einer Norm in die andere dürfte davon aber unberührt bleiben. Unter Umständen muss das Papier, in dem diese Überführung beschrieben ist, nach dem Erscheinen der beiden Neufassungen aber überarbeitet werden. Eine echte Zusammenlegung mit direktem Übergang erscheint derzeit weniger denn je realistisch zu sein.

Gregorius (Phoenix Contact): Beide Normen sind über Entsprechungstabellen grundsätzlich zueinander kompatibel, das heißt, ein SIL-Teilsystem lässt sich in eine PL-Sicherheitskette integrieren und umgekehrt. Da beide Normen unterhalb der Maschinenrichtlinie harmonisiert sind, geht auch von ihnen die Konformitätsvermutung aus. Unterschiede ergeben sich im Detail bei der Bewertung der erreichten Sicherheitsintegrität. Als Alleinstellungsmerkmal erlaubt die EN 62061 den Einsatz von Low-Demand-Systemen, die beispielsweise bei Turbinen oder Kompressoren verwendet werden.

Dürr (Pilz): Kurz gesagt: Der Anwender hat die Qual der Wahl. Er hat zwei Normen, mit denen er über unterschiedliche Wege Sicherheitsfunktion bewerten kann. Der Versuch, beide Normen in eine zu überführen, ist im Projekt IEC/ISO 17305 ja leider gescheitert. Derzeit sind mir zwar keine weiteren Bestrebungen in diese Richtung bekannt, aber vielleicht versucht man ja doch einen zweiten Anlauf. Aus Sicht des Anwenders jedenfalls wäre eine anwenderfreundliche, einfach zu handhabende Norm wünschenswert.

Wimmer (Wieland Electric): Die beiden Normen betrachten grundsätzlich die gleichen Eigenschaften sicherheitsrelevanter Systeme. Es geht zum Beispiel um Schaltungsstrukturen, Fehlererkennung, Langlebigkeit der Bauteile, Maßnahmen gegen Fehler gemeinsamer Ursache, Software, Anleitungen, systematische Ausfälle, etc. All diese Themen kommen in beiden Normen vor und werden dort mit unterschiedlichen Begriffen und Bewertungsprozeduren belegt. Über die Jahre hinweg haben sich die Normen eigenständig weiterentwickelt.

Vor einigen Jahren gab es eine gemeinsame Arbeitsgruppe von ISO und IEC, um die Zusammenführbarkeit anzugehen. Das Ergebnis war, dass die Normen etwa zur Hälfte deckungsgleich sind, zur anderen Hälfte verschiedene Ansätze benutzen und deswegen nicht mehr zusammenführbar sind. Nach etwa zweieinhalb Jahren Arbeit wurde das Projekt mangels Erfolgsaussichten gestoppt. Dass es diese beiden Normen zum gleichen Thema heute gibt, darf den beiden Normungsorganisationen zugeschrieben werden, die in den Anfangszeiten dieser Werke eine ungenügende Koordination hatten.

Informationen zum DIN-Normenausschuss Sicherheitstechnische Grundsätze


Kontakt zu den Firmen Euchner, Phoenix Contact, Pilz und Wieland Electric
Euchner GmbH + Co. KG
Kohlhammerstraße 16
70771 Leinfelden-Echterdingen
Tel.: +49 711 7597-0
E-Mail: info@euchner.de
Website: www.euchner.de

Phoenix Contact Deutschland GmbH
Flachsmarktstraße 8
32825 Blomberg
Tel.: +49 52 35/3-1 20 00
E-Mail: info@phoenixcontact.de
Website: www.phoenixcontact.de

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Tel.: +49 711 3409-0
E-Mail: info@pilz.de
Website: www.pilz.com

Wieland Electric GmbH
Brennerstraße 10-14
96052 Bamberg
Tel.: +49 951-9324-0
E-Mail: info@wieland-electric.com
Website: www.wieland-electric.com


Jens Rothenburg arbeitet im Produktmanagement bei Euchner in Leinfelden-Echterdingen und betreut Normengremien, Berufsgenossenschaften sowie Verbände
Bild: Euchner

„Die beiden Normen sollten zu einer einzigen Norm – der ISO 17305 – zusammengeführt werden. Nachdem das Projekt der Zusammenführung gescheitert war, sollten zurückgestellte notwendige Änderungen umgesetzt werden.“


Dipl.-Ing. (FH) Carsten Gregorius, Senior Specialist Product Marketing Safety bei Phoenix Contact Electronics in Bad Pyrmont
Bild: Phoenix Contact Electronics

„Beide Normen sind über Entsprechungstabellen grundsätzlich zueinander kompatibel, das heißt, ein SIL-Teilsystem lässt sich in eine PL-Sicherheitskette integrieren und umgekehrt.“


Klaus Dürr, Leiter Standards Group bei Pilz in Ostfildern
Bild: Pilz

„Bei der ISO 13849 basieren mögliche Sicherheitsprobleme im Softwarebereich oft auf einer falschen oder unklaren Sicherheitsspezifikation. Dieser Sicherheitsaspekt wird nun in der Überarbeitung verbessert.“


Mathias Wimmer, Safety & Application Consultant bei Wieland Electric in Bamberg
Bild: Wieland Electric

„Eine wesentliche Neuerung in der EN ISO 13849 dürfte die Ausweitung des Validierungskapitels sein – langfristig soll alles Wichtige in Teil 1 enthalten sein.“


Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de