IEC 61508

Den IEC 61508 er en internasjonal serie av standarder for utvikling av elektriske, elektroniske og programmerbare elektroniske (E / E / PE) systemer som utfører en sikkerhetsfunksjon. Den er utgitt av International Electrotechnical Commission ( IEC ). Den europeiske standardiseringskomiteen (CEN) vedtok standarden med samme innhold som EN 61508 .

Serien består av syv deler og har tittelen Funksjonell sikkerhet for sikkerhetsrelaterte elektriske / elektroniske / programmerbare elektroniske systemer . Den ble først publisert i 1998. En ny utgave har vært tilgjengelig siden 2010, og en tysk oversettelse har også vært tilgjengelig siden februar 2011.

Innhold og formål

Anvendelsen av standarden i selskaper er hovedsakelig drevet av lov om produktansvar . Spesielt i Tyskland, ifølge §4 ProdHaftG, holdes produsenten av sluttproduktet medansvar for ansvar (så vel som for mulig skade på bildet) selv om årsaken utelukkende var en underleverandør. I løpet av applikasjonen kan produsenten demonstrere i produktansvarsprosessen at han har brukt en anerkjent metode for risikovurdering og for sikker produktutvikling og produksjon.

Målet med denne standarden er å definere prosedyrer som gjør det mulig å produsere produkter som i henhold til dagens teknikk ikke representerer noen uforholdsmessig eller uakseptabel fare for brukere og miljøet. Standarden beskriver hvilke aspekter som skal tas i betraktning på hvilken måte i begynnelsen av utviklingen, hvordan produktarkitekturen skal utformes (for eksempel gjennom enkeltkanals- eller flerkanalsystemer), hvilke aktiviteter og operasjonelle organisasjonsstrukturer som er nødvendige, hvordan disse skal dokumenteres og at alle trinn må legges ned i produsentens interne dokumentasjon for produktet på en forståelig og sporbar måte. Den såkalte "livssyklusmodellen" er forutsatt i standarden; Med andre ord vurderes et produkt fra første planleggingsfase gjennom markedslansering og endringsprosedyre til avvikling og avhending. For alle disse livsfasene må produsenten fremlegge bevis på prosessene som produktet har gjennomgått. Han må også bevise at hans høyere nivå interne prosesser er egnet for å produsere produkter hvis funksjon - selv i tilfelle feil - ikke forårsaker urimelig skade på mennesker, utstyr og miljø.

I praksis krever flere og flere selskaper at leverandørene deres skal fremlegge bevis for utvikling og produksjon av sine produkter i henhold til denne eller en sammenlignbar standard ( f.eks. ISO 26262 i bilsektoren) for å bli kvalifisert som leverandør av kunden. I tillegg kreves vurdering / sertifisering av produktene av et uavhengig testfirma som er akkreditert og kvalifisert (f.eks. I henhold til EN ISO / IEC 17025 - "Generelle krav til kompetanse for test- og kalibreringslaboratorier"), slike tester utføre. Det er imidlertid ingen forpliktelse til å anvende standarden hvis produktene ikke er underlagt lover eller forskrifter som er overordnet til standarden, f.eks. B. Europa Maskiner direktivet, er gjenstand for en inspeksjon forpliktelse. Det skilles mellom å utstede en testrapport / sertifikat fra det bestilte testinstituttet og et såkalt EF-typeprøvingssertifikat av et varslet organ. Produkter som faller inn under vedlegg IV til det europeiske maskindirektivet krever et EF-typeprøvingssertifikat med et globalt unikt nummer.

IEC 61508 antar at det, i henhold til dagens teknikk, ikke er mulighet for å produsere et antall lignende produkter, som stadig vokser over produksjonsperioden, til en økonomisk forsvarlig kostnad på en slik måte at de fungerer 100% feilfrie i sin helhet i løpet av operasjonsperioden eller internt. Diagnostiser feil og svar riktig. Her er sikkerhet og tilgjengelighet i strid med hverandre, siden høy sikkerhet bare kan oppnås ved å begrense brukervennligheten (f.eks. Gjennom hyppige tester der produktet må tas ut av drift og ikke er tilgjengelig for tiltenkt bruk). Den høyeste anerkjente diagnostiske dekningen antas for eksempel derfor også å være 99,9%.

Avhengig av graden av risiko som produktet medfører i applikasjonsområdet øker kravene til tiltak for feilforebygging, feilkontroll og nødvendig dokumentasjon.

I tillegg til dokumentasjonen er også et viktig poeng med de normative anbefalingene gjennomganger, hvor milepælene oppnådd i merverdien uavhengig kontrolleres for form og innhold. Gjennomganger er prosedyrer for å unngå feil basert på antagelsen om at deltakelse av flere personer med sammenlignbare kvalifikasjoner i en prosedyre også betyr redusert frekvens av feil. Fremgangsmåtene som disse skal gjennomføres er beskrevet i den såkalte " V-Model " som en del av produktvalideringen. Også her avhenger graden av uavhengighet av graden av risiko.

Omfang og omfang

Standarden kan brukes på alle sikkerhetsrelaterte systemer som inneholder elektriske, elektroniske eller programmerbare elektroniske komponenter (E / E / PES), og hvis feilen betyr en betydelig risiko for mennesker, utstyr eller miljøet. Imidlertid er det ikke harmonisert i EU i henhold til New Approach . Derfor kan ikke oppfyllelsen deres bidra til formodningen om samsvar med de europeiske direktivene. Det gjelder ikke spesifikke applikasjoner. Systemer som utfører en sikkerhetsfunksjon på forespørsel er for eksempel det blokkeringsfrie bremsesystemet i et motorkjøretøy og systemer som er avhengig av konstant utførelse av sikkerhetsfunksjonen, for eksempel styringsenheten til et bærerakett . I henhold til standarden utgjør funksjonene til de sikkerhetsrelaterte systemene den funksjonelle sikkerheten til det samlede systemet. IEC 61508 er utpekt som en "grunnleggende sikkerhetsstandard", noe som betyr at den kan tjene som grunnlag for applikasjonsspesifikke standarder.

Følgende standarder for publisering eller pågående arbeid representerer implementeringen av IEC 61508 for et bestemt applikasjonsområde:

IEC 61511 : Funksjonell sikkerhet - sikkerhetssystemer for prosessindustrien
IEC 61513 : Atomkraftverk - Kontrollteknologi for systemer med sikkerhetsrelevans - Generelle systemkrav
EN 50128 : Jernbaneapplikasjoner - Telekommunikasjonsteknologi, signaleringsteknologi og databehandlingssystemer - Sikkerhetsrelevante elektroniske systemer for signaleringsteknologi
IEC 62061 : Maskinsikkerhet - Funksjonell sikkerhet for sikkerhetsrelaterte elektriske, elektroniske og programmerbare elektroniske styringssystemer
ISO 26262 : Veibiler - Funksjonell sikkerhet
ISO 25119: Traktorer og maskiner for landbruk og skogbruk - Sikkerhetsrelaterte deler av kontrollsystemer - Funksjonell sikkerhet

Standardens omfang strekker seg fra konsept, planlegging , utvikling , implementering, igangkjøring , vedlikehold , modifisering til avvikling og avinstallering av både det farlige systemet og de sikkerhetsrelaterte (risikoreduserende) systemene. Standarden beskriver helheten i disse fasene som "hele sikkerhetslivssyklusen ".

Sentrale begreper

Ett element er bestemmelsen av sikkerhetskravnivået ("Safety Integrity Level" - SIL; det er SIL 1 til SIL 4). Dette er et mål på den nødvendige eller oppnådde risikoreduserende effektiviteten til sikkerhetsfunksjonene. Hvis ingen sikkerhetsrelevante krav gjelder, skal utviklingen utføres i henhold til de normale standardene for operativ kvalitetsstyring (referert til som QM i standarden). SIL 1 har de laveste kravene i henhold til standarden. Hvis det etter utviklingen av sikkerhetsrelaterte systemer kan vises at kravene til en SIL er oppfylt for sikkerhetsfunksjonene, fungerer SIL som et mål på effektiviteten til sikkerhetsfunksjonene. Siden effektiviteten kan oppnås både gjennom påliteligheten av utøvelsen av sikkerhetsfunksjonen i tilfelle en fare, og gjennom umiddelbar avstenging av systemene som forårsaker faren i tilfelle feiloppdagelse i de sikkerhetsrelaterte systemene, selv utenfor farlige situasjoner, kan man ikke snakke om "pålitelighet" av sikkerhetsfunksjonen alene. Nødvendig SIL kan bestemmes av en fare- og risikoanalyse . SIL 4 representerer et så høyt sikkerhetskravnivå at det ikke er relevant i praksis i de fleste områder, for eksempel innen sikkerhetsområdet til maskiner eller personbiler .

Beregningsgrunnlagene for PFH ( sannsynlighet for farlig feil per time - sannsynlighet for farlig feil per time) og PFD ( sannsynlighet for farlig feil på forespørsel - sannsynlighet for farlig feil på forespørsel ) er gitt som viktige parametere for påliteligheten av sikkerhetsfunksjonen til enheter . Førstnevnte gjelder systemer med høy etterspørsel, dvs. systemer med høy etterspørselsrate ("høy": minst en etterspørsel per år), sistnevnte til systemer med lav etterspørsel som drives mindre enn en gang i året i løpet av sin levetid. Sistnevnte er først og fremst av betydning i prosessindustrien, der den mer omfattende IEC 61511 skal brukes til denne bransjen . Det spesielle problemet med en applikasjon med lav etterspørsel er at de aller fleste enheter som utfører en sikkerhetsfunksjon, utfører en intern diagnose ved regelmessig å endre status på bryterelementene (slå på om morgenen under drift, slå av om kvelden), men denne statusendringen er ikke garantert i noen systemer som har vært i kontinuerlig drift i flere måneder eller år. Når det gjelder tvangsstyrte releer i henhold til EN 50205, som er installert i stort antall i sikkerhetsanordninger, kan diagnosen av disse reléene derfor antas å være 0% og ikke lenger 99% hvis status endres regelmessig.

Sannsynligheten for individuelle feil øker proporsjonalt med antall produkter på markedet og deres aldring, med feil som har systematiske årsaker (f.eks. Feil i programvaren, feil dimensjonering av komponenter, feil eller unøyaktige verktøy eller måleutstyr) for alle produkter bekymring, mens tilfeldige feil bare påvirker en viss andel av produktene. En "systematisk feil" som ble kjent over hele verden var år 2000-problemet , siden millioner av elektroniske enheter og systemer var basert på mikrochips og deres programvare, som bare tillot året å bli kodet med to sifre. Systematiske feil - som kan forbli uoppdaget i lang tid fordi de utløsende grenseforholdene er sjeldne eller usannsynlige - blir derfor gitt spesiell oppmerksomhet, og omfattende tabeller er gitt i standarden for å unngå dem, og viser passende tiltak for å unngå disse feilene.

Typer av feil ("Feilmodus") er delt i henhold til retningen de går i: "trygg" og farlig eller "usikker". Siden sikkerhetsfunksjonen til en enhet kan og må beskrives tydelig, er tilstander som "noe farlig" ikke standardiserte. Disse to tilstandene blir videre brutt ned med tillegg av diagnosen, slik at blant de tenkelige mulige feiltyper: "safe-detected", "safe undetected", "farlig-detektert" , "Dangerous-undetected", sistnevnte skal vurderes som kritiske, siden de forblir uoppdaget av "diagnosen" og kan føre til den falske antagelsen om at enheten fungerer som den skal. Systematiske feil kan bare oppdages utilstrekkelig av diagnostisk utstyr, siden implementeringen av selve diagnosen også kan være basert på feil forutsetninger som førte til den systematiske feilen. I IEC 61511 er ytterligere underkategorier av hvilke typer feil som er relevante for prosessindustrien listet opp.

"Diagnose" er definert i standarden som en automatisk kjørende prosess, hvis effektivitet ikke avhenger av menneskelig inngripen. (Selvtesten til et nødstopprelé kan tjene som et eksempel, som går gjennom en intern syklus når den er slått på, som inkluderer alle sikkerhetsrelevante koblingselementer og bare "låser opp" enheten hvis funksjonen deres er garantert.) En spesiell form for diagnose er Såkalt repetisjonstest (“proof test”), som må utføres med faste og matematisk kalkulerende intervaller (proof test interval) hvis den interne diagnosen ikke er tilstrekkelig for å sikre pålitelig drift over lang tid. Fra et matematisk synspunkt er dette tilfelle når PFD (t) -verdien til enheten etterlater det tillatte tidsintervallet for den respektive SIL. I. d. Som regel må komponentene byttes ut under en "prøvetest" for å sette enheten i en "som ny" tilstand slik at PFD (t) -verdien faller tilbake i et subkritisk område. Av økonomiske grunner er det i praksis av enkle bryterinnretninger målet å gjøre testtestintervallet minst like lenge som enhetens levetid.

SIL kan leses eller beregnes fra parametrene PFH og PFD (i tillegg til noen andre verdier som ikke er vurdert her). I tillegg introduseres SFF (Safe Failure Fraction), et mål på andelen av alle tenkelige feil som går i sikker retning. Generelt sett blir bare disse feilene betraktet som "feil" som kan oppstå på grunn av aldringsprosesser eller miljøpåvirkninger når de opererer innenfor de spesifiserte driftsparametrene. Manipulering eller feil bruk er ikke en del av feilanalysen , som foregår i en såkalt FMEA (Failure Modes and Effects Analysis) eller FMEDA (Failure Modes, Effects and Diagnostics Analysis).

Generelt kan det sies at tokanals- eller flerkanalssystemer, der hver kanal kan utløse sikkerhetsfunksjonen alene, kan oppnå en høyere SIL med mindre teknisk innsats enn systemer som bare har en kanal. Informasjonsflyten gjennom en sikkerhetskjede (sikkerhetssløyfe) blir referert til som kanalen, og begynner med forespørselen om sikkerhetsfunksjonen (f.eks. Av en sensor, nærhetssensor, lysbarriere eller knapp), og slutter med aktuatoren eller det endelige kontrollelementet som sikrer sikker tilstand en maskin. Når det gjelder enkeltkanalsystemer, er det nødvendig med en betydelig større mengde diagnostikk slik at feil kan oppdages innen den såkalte "Process Safety Time" før de kan ha farlige effekter. Systemer er videre delt inn i "Type A" og "Type B", hvor sistnevnte inneholder komplekse kretser som mikrochips, mens Type A-systemer bare består av diskrete elementer.

Den svært abstrakte IEC 61508 dekker nesten helt EN ISO 13849-1 , som er enklere å bruke i praksis når det gjelder ytelsesnivå (PL) til en enhet. Ellers går det imidlertid langt utover innholdet. En SIL kan oversettes direkte til et ytelsesnivå (PL) i tabellform. Når man vurderer feil i henhold til IEC 61508 i en FMEA, vurderes imidlertid bare den første feilen , slik at kategori 3 og 4 (i samsvar med EN ISO 13849-1), som garanterer to eller flere feil, bare kan gjøres ved å bruke prosedyrene i samsvar med EN ISO 13849 -1 må bevises. I motsetning til EN ISO 13849-1 er IEC 61508 eller sektorstandarden IEC 62061 avledet av den rettet mot elektroniske systemer, mens EN ISO 13849-1 også kan brukes til mekaniske systemer.

standardisering

Standard IEC 61508 "Funksjonell sikkerhet for sikkerhetsrelaterte elektriske / elektroniske / programmerbare elektroniske systemer" består av følgende deler:

Del 0: Funksjonell sikkerhet og IEC 61508 (IEC / TR 61508-0: 2005-10)
Del 1: Generelle krav (IEC 61508-1: 2010)
Del 2: Krav til sikkerhetsrelaterte elektriske / elektroniske / programmerbare elektroniske systemer (IEC 61508-2: 2010)
Del 3: Krav til programvare (IEC 61508-3: 2010)
Del 4: Begreper og forkortelser (IEC 61508-4: 2010)
Del 5: Eksempler for å bestemme sikkerhetsintegritetsnivået (IEC 61508-5: 2010)
Del 6: Retningslinjer for anvendelse for IEC 61508-2 og IEC 61508-3 (IEC 61508-6: 2010)
Del 7: Søknadsmerknader om prosedyrer og tiltak (IEC 61508-7: 2010)

Disse standardene ble publisert i Tyskland , Østerrike og Sveits som nasjonale standarder med prefikset DIN, ÖVE / ÖNORM eller SN.

Den siste versjonen av IEC 61508, utgave 2.0, ble publisert 30. april 2010. I Tyskland ble dette gjort av DKE- komité 914.

litteratur

J. Börcsök: Elektroniske sikkerhetssystemer . Hüthig GmbH & Co. KG, Heidelberg 2004, ISBN 3-7785-2939-0 .
H. Hölscher, J. Rader: Mikrocomputere innen sikkerhetsteknologi . Verlag TÜV Rheinland, Köln 1984, ISBN 3-88585-180-6 .
P. Wratil, M. Kieviet: Sikkerhetsteknologi for komponenter og systemer . Hüthig GmbH & Co. KG, Heidelberg 2007, ISBN 3-7785-2984-6 .

weblenker

Veiledning til IEC 61508-standarden (5 deler)
Presentasjon av Fraunhofer Institute
Online versjon av IEC 61508-1: 2010 (forhåndsvisning)

Individuelle bevis

↑ ISO 25119
↑ DKE / GK 914 Funksjonell sikkerhet for elektriske, elektroniske og programmerbare elektroniske systemer (E, E, PES) for beskyttelse av mennesker og miljø. Hentet 12. september 2019 .

[1] ISO 25119

[2] DKE / GK 914 Funksjonell sikkerhet for elektriske, elektroniske og programmerbare elektroniske systemer (E, E, PES) for beskyttelse av mennesker og miljø. Hentet 12. september 2019 .

Languages