EN ISO 13849-1 – standard for Functional Safety, grundlag for Performance Level (PL)

Standarden EN ISO 13849-1 er grundlaget for vurdering af sikkerheden ved komplekse maskinstyringer. Den er en grundstandard for Functional Safety og indeholder internationalt standardiserede krav, der refererer til bestemmelsen om krævede Performance Levels, identificering af sikkerhedsrelevante styringsdele og implementering af sikkerhedsfunktionerne. Standarden skal bruges til sikkerhedsrelaterede dele af styringer, uanset hvilken teknologi og energi (elektrisk, hydraulisk, pneumatisk, mekanisk) der anvendes. Den beskriver sikkerhedskravene til udformning og integration af sikkerhedsrelaterede dele af styringer. For disse dele fastlægges egenskaber som f.eks. Performance Level – PLr – som er nødvendige for udførelsen af specifikke sikkerhedsfunktioner.  

Jo større risiko, desto højere er kravene til styresystemerne. Faresituationen inddeles her i fem trin, såkaldte Performance Levels (PL), fra PL "a" (lavt) til PL "e" (højt). Det nødvendige PL fastlægges og tilknyttes i forbindelse med risikovurderingen i henhold til EN ISO 13849-1.

I 2023 offentliggjorde den internationale organisation for standardisering (ISO) den nye udgave af ISO 13849-1. For det første præciserer den nye udgave en række krav, f.eks. til fastlæggelse af Performance Level, og giver dermed bedre hjælp til implementeringen. For det andet tager den hensyn til, at software har fået større betydning. Det er endnu ikke til at forudse tidspunktet for harmonisering af EU-standarden EN ISO 13849-1, om der bliver en overgangsfrist for offentliggørelsen af standarden i Den Europæiske Unions Tidende, og hvor lang den eventuelt bliver. Vores eksperter i standarder anbefaler, at konstruktører og driftsansvarlige på et tidligt tidspunkt beskæftiger sig med de kommende ændringer. 

Væsentlige ændringer i ISO 13849-1:2023 sammenlignet med den tidligere version ISO 13849-1:2015: 

• Overordnet set mere overskuelig struktur og fokusering på implementeringen af en sikkerhedsfunktion som en kombination af flere delsystemer  
• Anvendelse af udtrykket "delsystem" i hele dokumentet (i stedet for SRP/CS)  
• Forbedret og udvidet specifikation af sikkerhedsfunktioner (afsnit 5)  
• Forbedrede retningslinjer og yderligere krav i forbindelse med SRS (specifikation af sikkerhedskrav) (afsnit 5)  
• Præciseringer af udformningsaspekter (afsnit 6); f.eks. optimeret kategori 2-definition, CCF-bestemmelse for hvert delsystem og vedrørende fejlanalyse, fejludelukkelse og gennemprøvede komponenter  
• Forbedringer og afklaringer af softwaren (afsnit 7)  
• Validering (afsnit 10); De fastlagte krav i ISO 13849-2 blev integreret og revideret i del -1  
• Bestemmelse af det nødvendige Performance Level (bilag A); ændringer i forhold til parameteren P  
• Afklaring af foranstaltninger mod svigt som følge af fejl med fælles årsag (CCF) – (bilag F)  
• Retningslinjerne for styringen af Functional Safety blev suppleret (bilag G.5)  
• Præcisering af, hvordan der kan opnås en tilstrækkelig høj EMC-støjimmunitet (bilag L)  
• Supplerende oplysninger om specifikation af sikkerhedskravene (bilag M)  
• Forhindring af et systematisk svigt på grund af softwarens udformning (bilag N); indeholder et enkelt eksempel på softwarevalidering  
• Yderligere oplysninger om komponenters sikkerhedsrelaterede værdier (bilag O), tilpasset til tilgangen i VDMA-standardiseringsbladet 66413  

Sikkerhed er netop i Europa et centralt emne, som bl.a. er indarbejdet og juridisk formuleret i maskindirektivet og for fremtiden i den nye maskinforordning. Standarder som EN ISO 13849 kan bruges som et dokumentationsmodul til at opfylde grundlæggende sundheds- og sikkerhedskrav til sikkerhedsrelaterede dele af styringer.  

Standarden EN ISO 13849 består af to dele og blev udarbejdet og offentliggjort af ISO (International Organization for Standardization).  

►Del 1 – ISO 13849-1 med de generelle designprincipper er revideret teknisk for at tydeliggøre og præcisere nogle krav uden at indføre nye tekniske begreber. Denne del blev genudgivet i 2023.  

►Del 2 af standarden – EN ISO 13849-2:2012: Valideringen forbliver i første omgang, som den er, og revideres efterfølgende. De normative bilag i del 2 er integreret i opdateringen af del 1.  

Den seneste udgave af EN ISO 13849-1 blev offentliggjort i 2015. Standarden er baseret på en probabilistisk (sandsynlighedsbaseret) tilgang til vurderingen af sikkerhedsrelaterede styringssystemer og indeholder internationalt standardiserede krav vedrørende risikovurdering, påkrævede Performance Levels, identifikation af sikkerhedsrelaterede styringsdele og implementering af sikkerhedsfunktionen.  

ISO 13849-1 omhandler tilknytning af risici til de påkrævede Performance Levels præstationsniveauer ved hjælp af en graf samt vurdering af sikkerhedsfunktioner ved hjælp af strukturelle og statistiske metoder. Målet er at afgøre, om sikkerhedsforanstaltninger er egnede til at reducere risiciene.

Ud fra standarden EN ISO 12100 fastlægger du i den Europæiske Union, hvilke skridt du skal tage i forbindelse med risikovurdering og risikoreduktion af maskiner. Vurdering og verificering af sikkerhedsfunktioner overtages af standarderne EN ISO 13849 og EN IEC 62061. Udformningen af styringernes sikkerhedsrelaterede dele er en iterativ proces, der gennemføres i flere trin.  

1. trin – definition af krav til sikkerhedsfunktioner 
2. trin – fastlæggelse af det nødvendige Performance Level (PL) 
3. trin – udformning og teknisk implementering af sikkerhedsfunktionerne 
4. trin – bestemmelse af Performance Level og kvantitativ betragtning 
5. trin – verificering 
6. trin – validering 

Vurderingen af risici sker i EN ISO 13849-1 ved hjælp af en graf. Blandt andet vurderes potentielle personskaders alvorlighed, risikoeksponeringens hyppighed og muligheden for at undgå risici. Som resultat af vurderingen får man det påkrævede Performance Level (PLr) for de enkelte sikkerhedsfunktioner, som skal minimere risiciene. 

PL a svarer til en lav risiko, PL e til en høj risiko.

S – hvor alvorlig personskaden er 

• S1 = let personskade (normalt reversibel) 
• S2 = alvorlig personskade, inklusive dødsfald (normalt irreversibel) 

F – hyppighed og/eller varighed af udsættelse for fare 

• F1 = sjældent til oftere og/eller kort varighed  
• F2 = hyppig til kontinuerlig og/eller lang varighed 

P – muligheder for undgåelse eller reduktion af faren 

• P1 = mulig under bestemte betingelser  
• P2 = næsten ikke mulig 

Muligheden for at undgå faren er yderligere specificeret med parameteren P ved hjælp af fem faktorer: 

• Hastighed, hvormed faren opstår (f.eks. hurtigt eller langsomt) 
• Muligheder for at undgå fare (f.eks. ved at flygte) 
• Praktiske sikkerhedserfaringer i forbindelse med processen 
• Drift ved hjælp af uddannet og egnet personale  
• Drift med eller uden opsyn 

^{*når "C" vælges, ELLER "B" vælges mindst 3 gange; forhindring "P2": # "C" >=1; #"B" >=3àP2} 

^{*når "C" vælges, ELLER "B" vælges mindst 3 gange; forhindring "P2": # "C" >=1; #"B" >=3àP2} 

Som risiko betegnes kombinationen af sandsynligheden for, at en skade opstår, og skadens størrelse. Der er typisk flere sikkerhedsfunktioner til rådighed til at mindske risikoen. Hver sikkerhedsfunktion er implementeret som kombination af flere delsystemer. Et delsystem er igen en enhed i det arkitektoniske design af et sikkerhedsrelateret system på øverste niveau, hvor arkitekturen repræsenterer den specifikke konfiguration af hardware- og softwareelementer i et sikkerhedsrelateret styresystem (SCS). Delsystemer foreligger enten som allerede valideret af producenten eller designes af maskinproducenten eller integratoren som nye delsystemer. 

En sikkerhedskravsspecifikation (SRS) er påkrævet til den entydige beskrivelse af sikkerhedsfunktioner. Dette er en dokumentation af alle de detaljer, der er nødvendige for sikker og korrekt udførelse af sikkerhedsfunktionerne. Således skal følgende registreres for hver enkelt sikkerhedsfunktion: 

• Funktionsbeskrivelse med udløsende hændelse, reaktion og sikker tilstand 
• Påkrævet PLr 
• Tilhørende driftstyper 
• Reaktionstider 
• Fejlreaktion og -adfærd 
• Prioritet 
• Grænseflader (med andre sikkerhedsfunktioner) 

I ISO 13849-1 eller EN ISO 13849-1 skal følgende aspekter fastlægges for at bestemme et delsystems PL.  

• Systemkategori (strukturelt krav): Denne klassificerer delsystemet med hensyn til modstandsdygtighed over for fejl og efterfølgende adfærd i tilfælde af en fejl, hvilket opnås ved hjælp af strukturen i delenes placering, fejlregistreringen og/eller dens pålidelighed  
• Gennemsnitlig tid indtil et farligt svigt (MTTFD) 
• Diagnosedækningsgrad (DC), defineret som et mål for effektiviteten af diagnoseforanstaltningerne [forholdet mellem andelen af registrerede, farebringende svigt og den samlede andel af farebringende svigt] 
• Fejl med fælles årsag (CCF) 

Kravene til applikationssoftware er udvidet i forhold til den tidligere version EN ISO 13849-1:2015. 

Der er tilføjet et informativt bilag N om undgåelse af fejl/foranstaltninger til undgåelse af fejl i forbindelse med sikkerhedsrelateret softwaredesign.   ISO 13849-1 dækker nu forskellige softwaretyper: 

• Sikkerhedsrelateret Embedded Software (SRESW = Safety Related Embedded Software) 
• Sikkerhedsrelateret applikationssoftware (SRASW = Safety Related Application Software) 
• Software til parametrering 

Der er også medtaget forbedringsforslag om, hvordan disse kan knyttes til kravene til programmeringssprog med begrænset sprogomfang (LVL = Limited Variability Language) eller ubegrænset sprogomfang (FVL = Full Variability Language). 

Valideringsspecifikationerne er tilpasset, og de normative krav vedrørende valideringsproceduren i ISO 13849-2:2012 er integreret og revideret i ISO 13849-1:2023, f.eks. 

• Analysen supplerer kontrollen, men erstatter den ikke 
• Validering og kontrol af SRS beskrives i detaljer 
• Der gives et simpelt eksempel på softwarevalidering 

Bemærk: Tabellerne til fejlvurdering er stadig kun medtaget i EN ISO 13849-2 eller ISO 13849-2.

Et informativt bilag L  er indarbejdet i  ISO 13849-1, som indeholder præciseringer af, hvordan der sikres tilstrækkelig EMC-immunitet. EMC-forstyrrelser kan medføre, at elektriske eller elektroniske systemer opfører sig uventet. Derfor bør der træffes grundlæggende foranstaltninger mod EMC-forstyrrelser på delsystemets og det samlede systems niveau. Der angives forskellige muligheder til dette formål, bl.a. ved hjælp af en tabel med EMC-foranstaltninger. De grundlæggende krav til elektromagnetisk kompatibilitet reguleres af EMC-direktivet.

Vi hjælper dig med serviceydelser i forbindelse med maskiners og anlægs livscyklus for at udvikle optimale sikkerhedsstrategier til dig. Få fordel af rådgivning og engineering. Du kan kontakte os over hele verden for at få sikkerhedsprodukter og sikkerhedsløsninger, der er tilpasset til dine behov. Med vores internationale kvalifikationsprogram tager du allerede det første skridt.