Die internationale Norm ISO 13849-1 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze) wurde im Jahr 2006 grundlegend überarbeitet. Der Grund für die Neufassung ist im Aufkommen von Halbleiterkomponenten wie Transistoren und MOS-FETs zu sehen, die ab dieser Zeit in den sicherheitsbezogenen Bauteilen von Steuerungen zum Einsatz kamen, was wiederum einen Paradigmenwechsel von der Steuerung durch Hartverdrahtung hin zu einer Softwaregestützten Steuerung darstellte. Im konventionellen Ansatz der Kategorisierung wurde Sicherheit entsprechend der Systemarchitektur (Struktur) ermittelt, die in der Regel aus mechanischen Sicherheitseinrichtungen und Relais mit unter Krafteinwirkung geschalteten Kontakten bestand, wobei der Sicherheit im Sinne einer Zuverlässigkeit von Bauteilen keine ausreichende Beachtung geschenkt wurde. Unter diesen Umständen war man ab etwa dem Jahr 2000 bemüht, ein Regelwerk für die mechanische Sicherheit nach Funktion und Zuverlässigkeit zu definieren. Diese Herangehensweise wird auch als „funktionale Sicherheit“ bezeichnet. ISO 13849-1:2006 ist die überarbeitete Version der Norm ISO 13849-1:1999, die auf der konventionellen Norm EN 954-1 basiert, und ergänzt diese durch Details aus IEC 61508 / IEC62061, in der die funktionale Sicherheit definiert ist.
Die „Sicherheitskategorie“ wurde in ISO 13849-1:1999 definiert. Es handelt sich hierbei um eine Klassifizierung von sicherheitsbezogenen Bauteilen in einer Steuerung bezogen auf ihre Ausfallsicherheit sowie ihr Verhalten im Anschluss an den Fehlerfall, wobei die Einteilung nach der strukturellen Anordnung der Teile und/oder ihrer Zuverlässigkeit erfolgt. Der „Performance Level“ (PL) wurde mit ISO 13849-1:2006 eingeführt und dient der quantitativen Erfassung der Zuverlässigkeit von sicherheitsbezogenen Bauteilen in einer Steuerung, einschließlich Diagnosedeckungsgrad bzw. Ausfallrate.
In ISO 13849-1:1999 sind die Methoden zur Bestimmung der Kategorie sowie die jeweiligen Anforderungen dargelegt.
| Symbol | Symboldetails | Parameter | Kurze Erläuterung des Parameters |
|---|---|---|---|
| S | Schwere der Verletzung | S1 | Leichte (üblicherweise reversible) Verletzung |
| S2 | Ernste (üblicherweise irreversible) Verletzung einschließlich Tod | ||
| F | Häufigkeit und/oder Dauer der Gefährdungsexposition | F1 | Selten bis ziemlich häufig, Dauer der Gefährdungsexposition ist kurz |
| F2 | Häufig bis dauernd, Dauer der Gefährdungsexposition ist lang | ||
| P | Möglichkeit zur Vermeidung der Gefährdung | P1 | Möglich |
| P2 | Kaum möglich |
Erläuterung der Symbole
Im Folgenden sind die Kriterien für jeden Parameter nach AISI/RIA R15.06 dargestellt.
| Kategorie | Zusammenfassung der Anforderungen | Systemverhalten |
|---|---|---|
| B | Sicherheitsbezogene Teile von Steuerungen und ihre Schutzeinrichtungen müssen in Übereinstimmung mit den geltenden Normen so konstruiert, gebaut, ausgewählt, montiert und kombiniert werden, dass sie der erwarteten Einwirkung widerstehen. | Im Störungsfall kann es zu einem Ausfall der Sicherheitsfunktion kommen. |
| 1 | Es gelten die Anforderungen aus Kategorie B. Es müssen bewährte Komponenten und bewährte Sicherheitsprinzipien zur Anwendung kommen.* | Im Störungsfall kann es zu einem Ausfall der Sicherheitsfunktion kommen, allerdings ist die Wahrscheinlichkeit hierfür geringer als in Kategorie B. |
| 2 | Es gelten dieselben Anforderungen wie für B sowie der Einsatz von bewährten Sicherheitsprinzipien. Die Sicherheitsfunktion muss in geeigneten Zeitabständen vom Maschinenkontrollsystem überprüft werden. | Zwischen den Prüfungsintervallen kann es im Störungsfall zu einem Ausfall der Sicherheitsfunktion kommen. Der Ausfall der Sicherheitsfunktion wird bei der Überprüfung erkannt. |
| 3 | Es gelten dieselben Anforderungen wie für B sowie der Einsatz von bewährten Sicherheitsprinzipien. Sicherheitsbezogene Bauteile müssen so ausgelegt sein, dass - eine einzelne Störung in einem dieser Teile nicht zum Ausfall der Sicherheitsfunktion führt und - wann immer praktisch realisierbar, diese einzelne Störung erkannt wird. | Bei Auftreten einer einzelnen Störung wird die Sicherheitsfunktion immer ausgeführt. Es werden einige, aber nicht alle Störungen erkannt. Die Anhäufung nicht erkannter Störungen kann zu einem Ausfall der Sicherheitsfunktion führen. |
| 4 | Es gelten dieselben Anforderungen wie für B sowie der Einsatz von bewährten Sicherheitsprinzipien. Sicherheitsbezogene Bauteile müssen so ausgelegt sein, dass - eine einzelne Störung in einem dieser Teile nicht zum Ausfall der Sicherheitsfunktion führt und - einzelne Störungen zum Zeitpunkt bzw. vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden, dass aber, auch wenn diese Erkennung nicht möglich ist, eine Anhäufung von nicht erkannten Störungen nicht zu einem Verlust der Sicherheitsfunktion führt. | Bei Auftreten der Störungen wird die Sicherheitsfunktion immer ausgeführt. Die Störungen werden rechtzeitig erkannt, um den Ausfall der Sicherheitsfunktion zu verhindern. |
* Zu bewährten Sicherheitsprinzipien gehören zum Beispiel 1) Vermeidung bestimmter Störungen (z. B. von Kurzschlüssen durch Trennen), 2) Reduzierung der Wahrscheinlichkeit von Störungen (z. B. Über- oder Unterdimensionierung von Komponenten), 3) Anpassung des Fehlermodus (z. B. durch Sicherstellen einer Stromkreisunterbrechung im Störungsfall), 4) sehr frühzeitige Fehlererkennung und 5) Begrenzung der Konsequenzen einer Störung (z. B. durch Erdung der Anlagenteile).
