Sprechblasen mit Frage- und Ausrufezeichen
Jan Engel / Fotolia
01.11.2016 Seite 131 0

FAQ

Im folgenden finden Sie Mitteilungen von DKE-Komitees zu häufig gestellten Anfragen zu Normen der funktionalen Sicherheit oder über den Fortgang der laufenden Normungsarbeiten

Kontakt

Rudolf Brandner

Fragen und Antworten

Was bedeutet dabei "demand" (Anforderung)?

Dies ist die Anforderung der Funktion aufgrund einer Gefährdung.

Was ist „low demand“ (niedrige Anforderung)?

Aufgrund von selten auftretenden Gefährdungen wird die Funktion selten angefordert (weniger als 1 x im Jahr). Z. B. wird dies für die oben beschriebene Übertemperaturüberwachung des Motors angenommen. Es spielt dabei keine Rolle, ob die Überwachung durch eine SPS mit kurzer Zykluszeit geschieht oder durch Relais, die nur selten schalten.

Was ist "high demand" (hohe Anforderung)?

Aufgrund von häufig auftretenden Gefährdungen wird die Funktion häufig angefordert (öfters als 1 x im Jahr).
Zum Beispiel wird die Schutztür während der Betriebszeit der Säge ständig geöffnet und geschlossen und die damit verbundene Sicherheitsfunktion angefordert.
Ebenso wird angenommen, dass der NOT-AUS-Taster mehr als einmal im Jahr gedrückt wird.
Diese beiden Sicherheitsfunktionen haben daher eine hohe Anforderungsrate.

Was bedeutet "Low demand" und "High demand" (Betriebsart mit niedriger und hoher Anforderungsrate)? Hat das etwas mit der Betriebsart der beteiligten Gerätetechnik zu tun?

Nein, damit hat es nichts zu tun. Wie aus den Benennungen hervorgeht, wird damit die Häufigkeit ausgedrückt, mit der eine Sicherheitsfunktion angefordert wird. Wie die ausführende Gerätetechnik organisiert ist, spielt dabei keine Rolle.

Der Begriff „Betriebsart“ ist in DIN EN 61508-4 (VDE 0803-4):2010, 3.5.16 definiert. Eine weitergehende Erläuterung finden Sie in dem Aufsatz von Mitarbeitern des DKE GK 914, das für die DIN EN 61508 (VDE 0803) zuständig ist.. Diesen können Sie sich mit dem Link rechts herunterladen.

Wie ist die Testung der Schutzeinrichtung zu berücksichtigen?

Die Testung geht in die Berechnung der PFD ein, hat aber keine Auswirkung auf die Betriebsart. Wenn die Anforderung der Funktion aufgrund einer Gefährdung selten ist, bleibt die Betriebsart diejenige mit niedriger Anforderungsrate (low demand), auch wenn häufig getestet wird.
Wenn elektromechanische Bauteile wie Schütze zu Testzwecken häufig geschalten werden, haben Fehler wie Verschleiß und Verschweißen der Kontakte den höchsten Fehleranteil. Deshalb ist die Ausfallrate Lambda über den B10-Wert zu ermitteln. Die Betriebsart bleibt aber diejenige mit der niedrigen Anforderungsrate (low demand), für die der PFD-Wert maßgebend ist.

Wie unabhängig muss ein Gutachter für funktionale Sicherheit sein?

Gibt es in der DIN EN 61508 (VDE 0803) eine Vorschrift, die ab einem bestimmten SIL die Einschaltung einer dritten Stelle fordert?

DIN EN 61508-1 (VDE 0803-1):2011 fordert, dass diejenige Person oder Organisation, die die funktionale Sicherheit beurteilt, unabhängig von denjenigen sein muss, die das sicherheitsbezogene System oder "konforme Objekt" herstellen oder an dessen Herstellung mitwirken. Nähere Anforderungen befinden sich im Unterabschnitt 8.2.15 der oben genannten Norm. Sie hängen von der Schwere der Auswirkungen eines Versagens des sicherheitsbezogenen Systems (nicht vom SIL) und dessen Neuigkeitsgrad und Komplexität ab.

Unabhängigkeit bedeutet aber nicht notwendigerweise die Einbeziehung einer Drittstelle. Auch eine hausinterne Stelle, die mit ausreichenden Vollmachten und der notwendigen Unabhängigkeit ausgestattet ist, kann die Anforderung erfüllen (siehe hierzu DIN EN 61508-1(VDE 0803-1):2011, 8.2.16, Anmerkung 1). Dies gilt auch für Anwendungen, in denen eine Sicherheitsfunktion den Sicherheitsintegritätslevel (SIL) 3 oder höher erfüllen muss.

Bestimmte EU-Richtlinien können - in Form ihrer Umsetzung in ein deutsches Gesetz oder eine Verordnung - eine weitergehende Unabhängigkeit von Gutachtern fordern. Sie werden dort "benannte Stellen" genannt.

Muss zur Erreichung der funktionalen Sicherheit auch die IT-Sicherheit beachtet werden?

DIN EN 61508-1 (VDE 0803-1):2011 gibt hierzu im Unteranschnitt 7.4 „Gefährdungs- und Risikoanalyse“ folgende Empfehlung:

Wenn die Gefährdungsanalyse feststellt, dass eine böswillige oder nicht autorisierte Handlung, die eine Bedrohung der IT-Sicherheit darstellt, als vernünftigerweise vorhersehbar gilt, sollte eine Bedrohungsanalyse zur IT-Sicherheit durchgeführt werden.

und in der zugehörigen Anmerkung 3 folgende Aussage:

Für eine Anleitung zur Risikoanalyse im Rahmen der IT-Sicherheit siehe die Normenreihe IEC 62443.

Welche Rolle spielen zufällige Fehler bei elektromechanischen Bauteilen in der Betriebsart mit niedriger Anforderungsrate?

In der Betriebsart mit niedriger Anforderung (low demand) ist der Anteil systematischer Fehler sehr dominant, bis zu 100 %. Deshalb ist eine Berechnung der PFD nebensächlich. Viel wichtiger ist es, systematische Fehler durch z. B. richtige Projektierung der Anlage, zu vermeiden.
Geeignete Maßnahmen sind u.a.

  • systematische Entwicklung
  • Qualitätsgesicherte Produktion
  • Überdimensionieren
  • Betriebsbewährung nachweisen

Unsere Arbeitsbereiche mit ihren Gremien