Mechanische Komponenten werden in der IEC 61508 nicht angemessen berücksichtigt. Dies hat in der Vergangenheit zu einer Vielzahl von Unklarheiten und uneinheitlichen Bewertungen mechanischer Geräte für Funktionale Sicherheit geführt. Die neue EN 17955 beseitigt diese Unklarheiten. Sie gibt Herstellern eine klare Leitlinie zur Qualifizierung und Bewertung ihrer Stellantriebe und Armaturen für die funktionale Sicherheit an die Hand. Damit schafft sie auch eine wesentliche Erleichterung für Endanwender durch Vergleichbarkeit von Produktbewertungen und Vereinheitlichung von zur Verfügung gestellten Dokumentationen.
Die IEC 61508 „Functional safety of electrical/electronic/programmable electronic safety-related systems“ ist die grundlegende Norm für Funktionale Sicherheit. Wie schon der Titel andeutet, fokussiert diese Norm auf Anforderungen für elektrische und elektronische Geräte. Bezüglich anderer Technologien steht in der Einleitung zwar der Satz „Therefore, […], it may also provide a framework within which safety-related systems based on other technologies may be considered“. In den restlichen ca. 700 Seiten Normtext findet man aber wenig konkrete Angaben für die Bewertung nicht-elektrischer Geräte.
Fünf Jahre Planung
Dies hat über die Jahre dazu geführt, dass unterschiedliche Hersteller und Prüfstellen sehr verschiedene Verfahren zur Bewertung von nicht-elektrischen Produkten für die funktionale Sicherheit, so genannten „konformen Objekten“, entwickelt und angewendet haben. Am deutlichsten wird dies daran sichtbar, dass in der Vergangenheit die angegebenen Ausfallraten von ähnlichen Produkten teilweise um einen Faktor von >100 variiert haben. Dies kann zum Beispiel einem Unterschied zwischen einer SIL 1-Fähigkeit und einer SIL 3-Fähigkeit entsprechen.
Um solche Diskrepanzen auszuräumen und in Zukunft einheitliche, vergleichbare Bewertungen und Dokumentationen vergleichbarer konformer Objekte zu erhalten, wurde in 2019 vom Europäischen Komitee für Normung (CEN) ein neues europäisches Normungsprojekt ins Leben gerufen. Das Ergebnis ist die im August 2024 veröffentlichte EN 17955 „Industriearmaturen – Funktionale Sicherheit sicherheitsbezogener automatisierter Industriearmaturen“.
Grundsätzliche Aspekte
Die EN 17955 versteht sich als Ergänzung zur IEC 61508 Reihe für automatisierte Industriearmaturen. Wo immer möglich, sollen die Prinzipien und Regelungen der IEC 61508 zum Einsatz kommen. Die EN 17955 ergänzt diese lediglich in Punkten, in denen die IEC 61508 im Bezug auf die Mechanik schwer anwendbar, uneindeutig oder unvollständig ist.
Ein häufiges Missverständnis ist die Meinung, die EN 17955 solle den Anwendungsbereich der funktionalen Sicherheit auf Geräte erweitern, die bisher nicht nach deren Grundsätzen betrieben und bewertet wurden. Insbesondere handbetätigte Armaturen oder rein mechanische risikomindernde Einrichtungen wie z.B. Überdruckventile sind damit gemeint. Die EN 17955 beschränkt sich jedoch ausdrücklich auf konforme Objekte, die in sicherheitstechnischen Systemen verwendet werden (sollen). Die oben genannten Beispiele sind im Anwendungsbereich der Norm sogar explizit ausgeschlossen. Sie kann aber auch auf den mechanischen Teil von „gemischten“ Geräten, also z.B. auf die mechanischen Aspekte eines elektrischen Stellantriebs, angewendet werden.
Neues Konzept: Nutzungsrate
Die IEC 61508 verwendet das Konzept der Anforderungsrate (Demand Rate), um sicherheitstechnische Funktionen in die Klassen „Niedrige Anforderungsrate“, „Hohe Anforderungsrate“ und „Kontinuierliche Anforderung“ zu unterteilen. Sie berücksichtigt ausschließlich die Anzahl der Anforderungen der Sicherheitsfunktion. Nicht berücksichtigt werden hierbei Stellbewegungen von Stellantrieb und Armatur zu Testzwecken (z.B. Partial Valve Stroke Test (PVST) oder Proof Test) sowie eventuell durch die „normale“ Prozesssteuerung im Rahmen einer gemischten Nutzung angeforderte Stellbewegungen. Entsprechend ist die Anforderungsrate immer eine Eigenschaft einer gesamten sicherheitstechnischen Funktion und wird auch im Rahmen der EN 17955 verwendet.
Für die Beurteilung, auf Grund welcher Fehlermechanismen ein mechanisches Bauteil höchstwahrscheinlich ausfällt, und welche Gegenmaßnahmen folglich zu treffen sind, ist jedoch nicht die Anforderungsrate entscheidend, sondern vielmehr die Gesamtrate an Bewegungen des entsprechenden mechanischen Bauteils. Deshalb führt die EN 17955 die „Nutzungsrate“ als weitere Metrik ein. Die Nutzungsrate misst die Gesamtzahl der Bewegungen des konformen mechanischen Objekts pro Jahr. Im Gegensatz zur Anforderungsrate ist sie keine Eigenschaft der Sicherheitsfunktion, sondern des konformen Objektes und kann folglich auch innerhalb einer Sicherheitsfunktion variieren.
Anhand der Nutzungsrate kann beurteilt werden, ob das mechanische Bauteil wahrscheinlicher durch Alterung oder durch Verschleiß versagen wird. Alterung entspricht dabei der sogenannten niedrigen Nutzungsrate (Low Utilization Rate, LUR). Verschleiß entspricht der hohen Nutzungsrate (High Utilization Rate, HUR).
Darstellung des Zusammenhangs von Nutzungsrate, Verschleiß und Alterung. (Quelle: AUMA)
EN 17955 soll Vereinfachung bringen
Da Alterung und Verschleiß grundsätzlich verschiedene Versagensmechanismen sind, soll der Gerätehersteller entsprechend angepasste Gegenmaßnahmen ergreifen. Außerdem soll er getrennte Angaben zu Ausfallraten und notwendigen Gegenmaßnahmen des Betreibers für LUR und HUR machen. Ferner soll er die Grenze (in Bewegungen pro Jahr) angeben, bis zu der die jeweiligen Aussagen gültig sind.
Dies mag zunächst nach einer komplizierten zusätzlichen Anforderung an die Hersteller konformer Objekte klingen. Bei näherer Betrachtung ist dies aber keine neue Anforderung. Denn auch bisher mögliche Versagensmechanismen werden betrachtet und notwendige Gegenmaßnahmen ergriffen bzw. im Sicherheitshandbuch für den Endanwender beschrieben. Die EN 17955 hat nun lediglich dem Kind einen Namen gegeben und diese generelle Anforderung konkretisiert und damit hoffentlich leichter handhabbar gemacht.
Systematische Eignung
In Bezug auf die systematische Eignung entspricht die grundsätzliche Vorgehensweise für mechanische konforme Objekte den in der IEC 61508 beschriebenen Prinzipien. Allerdings enthalten insbesondere die Anhänge A und B der IEC 61508-2 Verfahren und Maßnahmen zur Vermeidung systematischer Fehler, die stark auf elektrische und elektronische Systeme zugeschnitten sind. Ihre Übertragung auf mechanische Systeme ist deshalb teilweise schwierig. In der Vergangenheit hat dies immer wieder zu Unklarheiten und Problemen geführt. Um die Auswahl von geeigneten Verfahren und Maßnahmen zu erleichtern, enthält Anhang A der EN 17955 deshalb ergänzende, auf die Mechanik zugeschnittene, Verfahren und Maßnahmen.
Vereinfachung bei den Architekturanforderungen
Armaturen haben für die Sicherheitsfunktion ÖFFNEN oder SCHLIEßEN in der Regel keine sicheren Fehler. Stellantriebe können sichere Fehler in begrenztem Umfang aufweisen. Gleichzeitig ist die Diagnose vieler potentiell gefährlicher Fehler automatisierter Industriearmaturen nur durch eine Bewegung der Armatur (z.B. mittels PVST) möglich, die aber meist nur durch einen mikroprozessorgesteuerten Stellantrieb möglich ist. In Summe ist somit die Erfüllung der Safe Failure Fraction (SFF)-Anforderung der IEC 61508-2 Pfad 1H für eine SIL 2 Eignung der automatisierten Industriearmatur häufig eine Herausforderung. Im schlimmsten Fall kann diese Anforderung durch (zu) häufige PVSTs sogar zu einem „Tot-Testen“ mechanischer Komponenten führen.
Aus diesen Gründen wurde in der EN 17955 die SFF-Anforderung für den mechanischen Teil von automatisierten Industriearmaturen durch die in der Tabelle dargestellten Redundanzanforderungen ersetzt. Diese entsprechen denen der IEC 61508-2:2010 für Pfad 2H (Betriebsbewährung), was eine deutliche Vereinfachung für die Hersteller automatisierter Industriearmaturen darstellt.
Architekturanforderungen an
konforme mechanische Objekte gemäß EN 17955
(eigene Darstellung nach EN 17955 Tab. 4)
Vereinfachung & Vereinheitlichung bei der Ausfallratenbestimmung
Die in der Vergangenheit veröffentlichten Ausfallraten für mechanische konforme Objekte variierten teilweise extrem. So liegt dem Autor z.B. ein Zertifikat einer bekannten Prüfstelle vor, das noch bis 2020 gültig war und für einen pneumatischen Schwenkantrieb für Armaturen mit Sicherheitsfunktion im Low demand mode eine Gesamtausfallrate (lS+lD) von ca. 1,4 FIT bei einer gefährlichen Ausfallrate (lD) von ca. 0,15 FIT bescheinigt. Zum Vergleich:
- Die NAMUR geht unter bestimmten Voraussetzungen von einer zufälligen Ausfallrate lDU,mech. ≈ 25 FIT für den mechanischen Teil von Stellantrieb plus Armatur aus.
- Die exida Datenbank (Profil: allgemeine Feldgeräte) gibt für einen einzelnen (!) O-Ring je nach Einsatzart eine Gesamtausfallrate (lS+lD) von 10-200 FIT an.
Diese Beispiele zeigen, dass eine Vereinheitlichung der Vorgehensweise und der Ergebnisse von Ausfallratenbestimmungen für mechanische konforme Objekte dringend geboten ist. Ansonsten ist weder ein fairer Vergleich zwischen Produkten verschiedener Hersteller möglich, noch können die Endanwender Daten aus Zertifikaten und Herstellererklärungen bedenkenlos in ihre Berechnungen auf Anlagenebene übernehmen.
Die EN 17955 geht davon aus, dass konforme Objekte mit einer vergleichbaren Auslegung auch vergleichbare Raten (zufälliger) Fehler haben, wenn die in EN 17955 beschriebenen Anforderungen zur Fehlervermeidung eingehalten werden. Deswegen gibt die EN 17955 im Anhang B Ausfallraten für typische, in automatisierten Industriearmaturen vorkommende, konforme Objekte, wie z.B. verschiedene Varianten von Kugelhähnen, Absperrklappen oder elektrischen Stellantrieben, an. Diese Werte dürfen ohne weitere Berechnungen für das konkrete Produkt verwendet werden, wenn alle anderen Anforderungen der EN 17955 eingehalten werden.
Wichtiger Schritt für automatisierte Industriearmaturen
Alternativ, bzw. für konforme Objekte, die in den Tabellen in Anhang B nicht enthalten sind, darf auch eine FMEDA zur Ausfallratenberechnung durchgeführt werden. Diese kann man – wie gewohnt – auf Bauteilebene und unter Verwendung der üblichen Datenbanken durchführen. Alternativ ist diese FMEDA aber auch auf „Baugruppenebene“ möglich. Dies stellt eine erhebliche Vereinfachung der FMEDA dar, da z.B. die vielen Einzelbewertungen einer FMEDA für jede einzelne Schraube, Dichtung und jedes Metallteil eines Gehäuses durch eine einzige Zeile und Bewertung „Gehäuse (nicht druckbeaufschlagt)“ ersetzt werden. Die für dieses anzunehmende Ausfallrate und deren Verteilung auf verschiedene Ausfallmodi können den Tabellen im Anhang C der EN 17955 entnommen werden. Gleiches gilt auch für andere Baugruppen wie z.B. das drucktragende Gehäuse, den gesamten Antriebsstrang oder Sitz & internes Dichtungssystem.
Die EN 17955 räumt mit den wesentlichen Unklarheiten, die die IEC 61508 für die Bewertung von mechanischen Geräten für funktionale Sicherheit lässt, auf. Dadurch wird die Anwendung der EN 17955 zum einen die Sicherheit und Zuverlässigkeit von automatisierten Industriearmaturen in sicherheitstechnischen Systemen erhöhen. Zum anderen lässt sich die vom Gerätehersteller an den Endanwender zu übergebende Dokumentation, inklusive der Angaben zu Ausfallraten, deutlich vereinheitlichen. Dies trägt zu einer – bisher leider nicht immer gegebenen – Vergleichbarkeit vergleichbarer Produkte bei und wird den Endanwendern die Bewertung und den Einsatz von automatisierten Industriearmaturen in sicherheitstechnischen Systemen erleichtern.
Dr. Jörg Isenberg
Product Specialist SIL
AUMA Riester GmbH & Co. KG
