8.16.5 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit
In den Kapiteln 8.16.3 und 8.16.4 wurde aufgrund der Gefährdungsbeurteilung nach Punkt 2 die Zuverlässigkeit einer Ex-Vorrichtung einschließlich der ihr zugeordneten Nicht-MSR-Einrichtungen über die qualitative Ausfallwahrscheinlichkeit bestimmt und einer Klassifizierungsstufe zugeordnet. Für MSR-Einrichtungen sollen entweder vorliegende Bewertungen der Zuverlässigkeit nach Herstellernormen verwendet oder eine Bewertung der Betriebsbewährung nach Kapitel 8.16.8 durch den Arbeitgeber durchgeführt werden. Den unterschiedlichen Zuverlässigkeitskennwerten nach Herstellernormen oder Arbeitgeber-Aussagen zur Betriebsbewährung werden in diesem Kapitel Klassifizierungsstufen zugeordnet.
MSR-Einrichtungen sind je nach Erfordernis in verschiedenen Technologien (elektrisch, mechanisch, pneumatisch, hydraulisch oder elektronisch) ausgeführt. MSR-Einrichtungen können daher im Ganzen oder in Teilen aus einfachen oder komplexen Funktionseinheiten bestehen.
Die funktionale Sicherheit der Funktionseinheiten wird durch Fehlervermeidung oder Fehlerbeherrschung (automatische oder organisatorische Einleitung von Gegenmaßnahmen) unter Beachtung aller Betriebsbedingungen und vorgesehenen Wartungs- oder Prüfungsmaßnahmen sichergestellt. Dazu müssen die allgemeinen Anforderungen nach 8.16.7 unabhängig von der Klassifizierungsstufe erfüllt werden.
Der Zusammenhang zwischen funktionaler Sicherheit und Klassifizierungsstufen wird in den Tabellen 1 bis 5 und Kapitel 8.16.8 beschrieben.
Sollen keine hinsichtlich der funktionalen Sicherheit bewerteten Funktionseinheiten Verwendung finden, so kann z.B. durch die Verwendung bewährter Bauteile nach DIN EN ISO 13849-2:2008 sowie ggf. Redundanz die geforderte Klassifizierungsstufe erreicht werden (siehe Tabelle 1).
Tab. 1: Anforderungen an die funktionale Sicherheit in Abhängigkeit von der Klassifizierungsstufe
Klassifizierungsstufe | K3 | K2 | K1 |
|---|---|---|---|
Erforderliche Fehlersicherheit (HFT) | Zweifehlersicherheit (HFT=2) | Einfehlersicherheit (HFT=1) | Nicht-fehlersicher (HFT=0) |
Funktionale Sicherheit (Mindestanforderungen) | 1 v 3 Redundanz einschließlich Zusatzmaßnahmen nach Anhang I und bewährte Bauteile nach DIN EN ISO 13849-2:2008 oder Fail Safe | 1 v 2 Redundanz einschließlich Zusatzmaßnahmen nach Anhang I und bewährte Bauteile nach DIN EN ISO 13849-2:2008 oder Fail Safe | Zusatzmaßnahmen nach Anhang I und bewährte Bauteile nach DIN EN ISO 13849-2:2008 oder Fail Safe |
Fail Safe oder fehlersicher ist eine Funktionseinheit, wenn sie die Fähigkeit besitzt, beim Auftreten gefährlicher Fehler (z.B. innerer Fehler) im sicheren Zustand zu bleiben oder vor Ablauf der Fehlertoleranzzeit in einen anderen sicheren Zustand überzugehen. Die Eigenschaft »Fail Safe« ist unverlierbar, sie wird vom Hersteller bestätigt.
Von einem Hersteller als Fail Safe klassifizierte Funktionseinheiten können nach Tabelle 1 für alle Klassifizierungsstufen verwendet werden.
Liegen vom Hersteller Bewertungen der funktionalen Sicherheit entsprechend der DIN EN 61508, DIN EN 61511, DIN EN 62061 oder DIN EN 50495 vor, so erfolgt die Zuordnung des Safety Integrity Level (SIL oder SILCL) zu der Klassifizierungsstufe entsprechend Tabelle 2.
Tab. 2: Zuordnung des SIL zu der Klassifizierungsstufe
Klassifizierungsstufe | Safety Integrity Level (SIL oder SILCL) |
|---|---|
K1 | SIL 1 oder SILCL 1 |
K2 | SIL 2 oder SILCL 2 |
K3 | SIL 3 oder SILCL 3 |
SILCL: SIL-Anspruchsgrenze bzw. SIL-Claim-Limit (in Anlehnung zu DIN EN 62061) Maximaler SIL, der für eine Funktionseinheit in Bezug auf strukturelle Einschränkungen und systematische Fehlerintegrität in Anspruch genommen werden kann. Die Funktionseinheiten, aus denen das System besteht, das die Sicherheitsfunktion realisiert, müssen über eine entsprechende SIL-Eignung (SILCL) verfügen.
Die Bestimmung des SIL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN 50495 (VDE 0170-18):2010. Der SIL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 1.
Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN ISO 13849 bzw. DIN EN 954:1997 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 3.
Der Performance Level (PL) beschreibt die Anforderungen an die funktionale Sicherheit der sicherheitstechnischen Funktionen, wobei der Performance Level e den höchsten Grad der Sicherheitsintegrität, der Sicherheits-Integritätslevel b den niedrigsten darstellt.
MTTF erwartete mittlere Zeit (Mittelwert) bis zum Ausfall DC, Diagnosedeckungsgrad: Anteil der gefahrbringenden Ausfälle, die während des Betriebs durch automatische Diagnosetests erkannt werden.
8.16.5 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit – Seite 3 – 01.06.2016<<>>Tab. 3: Zuordnung des Performance Levels (PL) nach DIN EN ISO 13849:2008 und der Kategorien nach DIN EN ISO 13849:2006 bzw. DIN EN 954:1997 zu den Klassifizierungsstufen
DIN EN ISO 13849:2008 bzw. DIN EN ISO 13849:2006 | ||||
|---|---|---|---|---|
Klassifizierungsstufe | PL | Kategorie | MTTF | DC |
K1 | b | B oder 1 | mittel niedrig | kein |
K2 | d | 2 | hoch | niedrig |
K3 | e | 3 oder 4 | hoch | mittel oder |
Die Bestimmung des PL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN ISO 13849:2008. Der PL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 3.
Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN 13463-6 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 4.
Tab. 4: Zuordnung der Ignition Protection Level (IPL) für mechanische Bauteile nach der DIN EN 13463-6 zu den Klassifizierungsstufen
DIN EN 13463-6 | |
|---|---|
Klassifizierungsstufe | IPL |
K1 | 1 |
K2 | 2 |
K3 | – |
Liegen vom Arbeitgeber Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend 8.16.8 zur Betriebsbewährung vor, so erfolgt die Zuordnung zu den Klassifizierungsstufe entsprechend Tabelle 5.
Sind komplexe Funktionseinheiten nicht nach Anwendungsnormen durch den Hersteller oder als fail-safe klassifiziert und liegt für sie keine Betriebsbewährung nach 8.16.8 vor, ist eine Einzelfallanalyse notwendig.
8.16.5 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit – Seite 4 – 01.06.2016<<Tab. 5: Funktionale Sicherheit von betriebsbewährten Funktionseinheiten in Abhängigkeit von der Klassifizierungsstufe
Klassifizierungsstufe | K3 | K2 | K1 |
|---|---|---|---|
Erforderliche Fehlersicherheit (HFT) | Einfehlersicherheit (HFT=1) | Nicht fehlersicher (HFT=0) | Nicht fehlersicher (HFT=0) |
Funktionale Sicherheit | 1 v 2 Redundanz oder 2 v 3 Redundanz und Anforderungen nach Kapitel 8.16.8 | Anforderungen nach Kapitel 8.16.8 | Anforderungen nach Kapitel 8.16.8 |