2.4 Zuverlässigkeit von Steuerungen (Control Reliability)
OSHA 1910.211
Enthält sinngemäß die folgenden Anforderungen: Ein Steuerungssystem muss so konstruiert sein, dass
- ein innerhalb des Systems auftretender Fehler das Auslösen des normalen Stoppvorgangs nicht verhindert,
- ein weiterer Maschinenzyklus nicht ausgeführt werden kann, bevor der Fehler nicht behoben ist und
- der Fehler durch einen einfachen Test aufgedeckt, oder vom Steuerungssystem angezeigt werden kann.
ANSI B11.19-2003
Abschnitt 3.14 definiert Control Reliability sinngemäß wie folgt:
Control Reliability ist die Fähigkeit der Maschinensteuerung, der Schutzeinrichtung, anderer Steuerungskomponenten und der damit verbundenen Schnittstellen, einen sicheren Zustand herbeizuführen wenn ein Fehler auftritt, der ihre sicherheitsbezogene Funktionen betrifft.
Abschnitt E.6.1 präzisiert weiter:
Kann die wiederholte Ausführung eines Maschinenzyklusses
- beim Auftreten eines schweren mechanischen Fehlers oder
- bei gleichzeitigem Ausfall von mehreren Komponenten nicht verhindern.
Zum strukturellen Aufbau gibt die Norm folgenden Hinweis:
Control Reliability wird nicht durch einfache Redundanz gewährleistet. Es muss eine Überwachung stattfinden um sicherzustellen, dass die Redundanz wirksam bleibt.
ANSI B11.20
Auch in der ANSI B11.20, Abschnitt E.6.13, wird zur Steuerungsstruktur sinngemäß folgendes ausgesagt:
Schutz vor den Folgen des Ausfalls von Steuerungskomponenten sollte nicht allein von einfacher Redundanz abhängen. Ein Ausfall einer Komponente von zwei oder mehreren parallel oder seriell geschalteten Steuerungskomponenten kann bei einfacher, also nicht überwachter Redundanz, unbemerkt bleiben. Der Anschein eines sicheren Betriebs bleibt erhalten. Wenn nun in der Folge ein weiteres Element im anderen, redundanten Schaltkreis ebenfalls ausfällt, kann ein gefahrbringender Zustand eintreten. Eine Überwachung von redundanten Steuerungsstrukturen und die Aufdeckung und die sichere Reaktion auf solche Einzelfehler ist daher zwingend erforderlich.
ANSI / RIA R15.06-1999
Diese ANSI-Norm enthält weitere funktionale Anforderungen zur Control Reliability und auch Aussagen zu Fehlern aufgrund gemeinsamer Ursachen, wie z.B. Überspannung. Anmerkung: Der Begriff „gemeinsam“ bedeutet, dass diese Ursachen gleichzeitig und in gleicher Weise auf die redundant aufgebauten Steuerungskanäle einwirken können.
- Die Überwachung muss ein Stopp-Signal auslösen, wenn ein Fehler erkannt wird
- Es muss eine Warnung ausgegeben werden, wenn die Gefährdung weiter bestehen bleibt, nachdem die Bewegung zum Stillstand gekommen ist.
- Nachdem der Fehler erkannt wurde, muss ein sicherer Zustand aufrecht erhalten bleiben, bis der Fehler behoben ist.
- Fehler mit gemeinsamer Ursache (z.B. Überspannung) müssen berücksichtigt werden, wenn die Wahrscheinlichkeit des Auftretens eines solchen Fehlers hoch ist.
- Ein Einzelfehler sollte zum Zeitpunkts seines Auftretens erkannt werden. Wenn dies nicht praktikabel ist, sollte der Fehler bei der nächsten Inanspruchnahme der Sicherheitsfunktion erkannt werden.
Vergleich der ANSI, IEC/EN-Anforderungen an sicherheitsgerichtete Steuerungen
Es existiert keine exakte Übereinstimmung in der Definition von Funktionaler Sicherheit oder Control Reliability in der US- und IEC/EN-Normenwelt. Relativ nahe an die OSHA / ANSI Anforderungen kommen die Anforderungen der Kategorie 3 der noch gültigen EN 954-1:
|
