Roadmap durchs Normen-Labyrinth: Die Überarbeitung von EN ISO 13849 und EN / IEC 62061 erleichtert künftig die sicherheitstechnische Auslegung von Maschinen und Anlagen. (Bild: Pilz, Pheonix Contact, Leuze)
Auf die Schnelle
Das Wesentliche in 20 Sek.
- Überarbeitung von EN ISO 13849-1 und EN IEC 62061 geht in 2021 zu Ende
- Normen nähern sich weiter an
- Ermittlung von SIL- und PLe-Level ändern sich
- Dokumentation Software-basierter Safety-Lösungen wird einfacher
Die EN ISO 13849-1 ist Ende der 90er-Jahre, unter dem Dach der ISO, aus der damaligen EN 954-1 hervorgegangen. Die EN ISO 13849 basiert dabei sowohl auf deterministischen wie probabilistischen Elementen. Wesentliches Kernelement waren die Kategorien als Basis für die Architektur von Steuerungen – und sind es auch heute immer noch. Daher war es damals das Ziel, bewährte und bekannte Elemente wie die Kategorien in die EN ISO 13849 zu übernehmen. Denn praktisch jeder Konstrukteur wusste, was er zu tun hat, wenn von Begriffen wie Kategorie 3 oder Kategorie 4 die Rede war.
Nahezu zeitgleich zur EN ISO 13849 wurde die EN / IEC 62061 unter dem Dach der IEC erarbeitet. Deren Anwendungsbereich war bisher beschränkt auf elektrische, elektronische oder programmierbare (E/E/PES) Technologien. Die EN / IEC 62061 setzt dabei neben strukturellen, auf probabilistische Ansätze und wurde als Sektor-Norm unterhalb der IEC 61508 für Maschinen entwickelt.
Die Ursache für die beiden Norm-Konstrukte liegt in der Vergangenheit begründet und in dem nahezu parallelen Vorgehen von ISO und IEC. Die ISO ist die internationale Vereinigung von Normungsorganisationen und erarbeitet global geltende Normen in allen Bereichen von Technik und Wissenschaft – mit einer einzigen Ausnahme: Elektrik und Elektronik. Für diese Bereiche ist die Internationale elektrotechnische Kommission (IEC) zuständig. Um die Telekommunikation kümmert sich wiederum die Internationale Fernmeldeunion (ITU).
Erste Fusion gescheitert
Im Jahr 2015 gab es einen ersten Versuch, die EN ISO 13849 – die aus zwei Teilen besteht – mit der EN / IEC 62061 im Rahmen des Normenvorhabens EN ISO 17305 zu vereinen. Dieser Prozess konnte jedoch nicht innerhalb des von der Europäischen Kommission vorgegebenen Projekt-Zeitrahmens abgeschlossen werden. Deshalb befinden sich beide Normen im Rahmen des sogenannten ‚Maintenance-Zyklus‘ seit einigen Jahren in der Überarbeitung – getrennt voneinander.
Bei der EN ISO 13849 sah der Projektplan eine Veröffentlichung im April 2021 vor. Jedoch ist aufgrund des aktuellen Diskussionsstands eine Projektverlängerung von weiteren 9 Monaten zu verzeichnen. Hier sind noch Änderungen im Detail gegenüber den bisherigen veröffentlichten Entwürfen zu erwarten.
Der Schlussentwurf zur EN / IEC 62061 ist dagegen für Ende November 2020 geplant. Ein positives Abstimmungsergebnis vorausgesetzt, kann mit einer Veröffentlichung der überarbeiteten Version in 2021 gerechnet werden.
Stand der Technik verlangt zwingend Anpassungen
EN ISO 13849 und EN / IEC 62061 sind von zentraler Bedeutung für Maschinen- und Anlagenbauer, weil viele B- und C-Normen direkt darauf verweisen. Pilz, Pheonix Contact, Leuze
Ganz allgemein gilt: Normen müssen regelmäßig überprüft und dem Stand der Technik angepasst werden. Durch die zunehmende Digitalisierung sind im Lauf der Zeit weitergehende und neue Themenfelder entstanden. Beispielsweise hat der Anteil software-basierter Sicherheitslösungen stetig zugenommen. Durch die fortschreitende Vernetzung der Automatisierungssysteme mit der IT-Welt treten weitere Bedrohungsszenarien – Stichwort „Cyber Security“ auf, die insbesondere bei Safety-Anwendungen eine neue Herangehensweise erfordern. Die bisherigen Normungsinhalte tragen diesem Thema bisher nicht genügend Rechnung.
Welche Änderungen sind zu erwarten?
Viele Erfahrungen aus der Praxis und der Anwendung der Normen haben zu Anpassungen im Detail geführt. Ein weiterer sehr wichtiger Punkt ist eine einfachere Durchgängigkeit zwischen den beiden Normen, dem Rechnung getragen wurde.
Bei der EN ISO 13849 wurde etwa der Aufbau optimiert. Hierzu wurden unter anderem die Anforderungen zur Validierung aus der EN ISO 13849-2 mit in den Teil 1 übernommen. Die Absicht dahinter: Teil 2 der EN ISO 13849 soll zurückgezogen werden.
Steht die Maschinenrichtlinie vor einer Überarbeitung?
Die Europäische Kommission überprüft die Maschinenrichtlinie. Aber wohin würde eine möglicherweise weitreichende Überarbeitung führen – ins Chaos oder in eine neue Ordnung? Unser Beitrag hilft weiter.
Pneumatik und Hydraulik künftig inklusive
Bei der EN / IEC 62061 entfällt die Einschränkung auf elektrische, elektronische oder programmierbare (E/E/PES) Technologien. Künftig ist die Norm also auch für hydraulische oder pneumatische Systeme anwendbar.
Ein Schwerpunkt bei beiden Normen liegt insbesondere auf der Validierung von sicherheitsgerichteter Software. Darüber hinaus sind aus dem Projekt EN ISO 17305 viele Ideen und Optimierungspotentiale entstanden, die in beiden Normenprojekten eingearbeitet und weiterentwickelt wurden. Schlussendlich wird die Überarbeitung auch dazu genutzt, die Lesbarkeit der Normen weiter zu verbessern und somit mehr Stabilität und Klarheit zu schaffen.
Mehr Flexibilität bei der PLr-Bestimmung
Eine Auswahlhilfe für den Faktor P erleichtert in Zukunft die Risikobeurteilung. Pilz, Pheonix Contact, Leuze
Eine zentrale Bedeutung im Risikominderungsprozess kommt dem erforderlichen Performance Level (PLr) zu. Je nach Risikohöhe wird eine der fünf Stufen (a bis e) anhand der folgenden Parameter gewählt:
- S (Schadensausmaß),
- F (Häufigkeit der Gefährdungsexposition) oder
- P (Möglichkeit der Vermeidung).
In der Vergangenheit gab es insbesondere beim Parameter P immer wieder Auslegungsfragen: Wann ist P1 (möglich, unter bestimmten Bedingungen) oder P2 (unmöglich) zu wählen? Künftig erleichtert eine Auswahlhilfe die Bestimmung des Parameters P1 oder P2. Unter anderem werden Aspekte wie Qualifikation, ‚Ausbreitung einer Gefährdung‘ sowie ‚Komplexität der Gefährdung‘ bewertet. Entsprechend einer Ergebnis-Matrix lässt sich dann der Parameter P1 oder P2 fundierter festlegen.
‚Qualifizierte‘ Spezifikation der Safety-Requirements notwendig
Kritische Vorfälle mit sicherheitsrelevanten Steuerungen gehen relativ häufig auf eine unzureichende Spezifikation zurück. Dies kann dazu führen, dass trotz aller weiteren korrekt durchgeführten Verifikationsschritte am Ende nur eine unzureichende Risikominderung erreicht wird. Aus diesem Grund haben die Normensetzer einen Schwerpunkt auf die detaillierte Beschreibung der sogenannten SRS (Safety Requirements Specification) gelegt.
Vereinfachte Validierung sicherheitsrelevanter Software
Weniger Aufwand bei Safety-Software: Wer künftig Funktions-Block-basierte Sprachen bei der Programmierung von Sicherheitssteuerungen nutzt, braucht die Software nicht mehr nach dem aufwendigen V-Modell zu validieren. Pilz, Pheonix Contact, Leuze
Zunehmend kommen bei Maschinensteuerungen konfigurierbare oder programmierbare Systeme zum Einsatz, die bereits gemäß IEC 61508 zertifiziert sind. Insbesondere für die zuvor genannten Systeme sowie bei Systemen, die LVL-Sprachen (Limited Variability Language) verwenden, sind künftig wesentliche Vereinfachungen bei der Verifikation und der Validierung von Sicherheitsfunktionen zu erwarten. Dazu wird das bestehende V-Modell der EN ISO 13849 vereinfacht, sodass neben der Safety Requirements Specification der Software lediglich die Schritte Codierung und Software-Testing verbleiben. Diese Vereinfachung gilt jedoch nicht für die FVL-Sprachen wie Ada, C oder Assembler. Für solche Full Variability Languages bleibt das bisherige V-Modell in der Anwendung verbindlich.
Bei der EN / IEC 62061 sind analog dazu sogenannte ‚Software-Level‘ definiert. Beispielsweise sind in der ersten Stufe die vorgefertigten Systeme (pre-designed) mit LVL-Sprachen beschrieben, für die ein vereinfachtes Validierungsverfahren möglich wird, analog zur EN ISO 13849.
Beim Einsatz von FVL-Sprachen sieht der Verifikations- und Validierungsprozess entsprechend umfangreicher aus.
Im Gegensatz zur funktionalen Sicherheit schützt Cyber-Security die Güter vor einer Beeinträchtigung durch beabsichtigte oder versehentliche Attacken auf die Verfügbarkeit, Integrität und Vertraulichkeit der Daten. Ein wichtiges Einfallstor für Attacken stellen in der Vergangenheit insbesondere die Netzwerkübergänge zwischen der Office-IT und dem Produktionsnetz (OT) dar. Künftig müssen mögliche Rückwirkungen auf die funktionale Sicherheit bewertet werden, etwa mittels einer IT-Risikobeurteilung in Anlehnung an die Norm IEC 62443.
Bestehende Safety-Konzepte gehören auf den Prüfstand
Beide Normen nähern sich nach den zu erwartenden Änderungen weiter an. In der Praxis lassen sich Teilsysteme, die nach einer der beiden Normen entwickelt wurden, künftig einfacher in die andere Norm überführen. Bestehende Safety-Konzepte sollten Maschinen- und Anlagenbauer im Hinblick auf die geänderte Risikoeinstufung der Normen neu bewerten. In einigen Fällen ergibt sich eine höhere Flexibilität hinsichtlich der anzunehmenden Risiko-Parameter. Ob sich Auswirkungen auf bisherige Sicherheitsbewertungen ergeben, ist im Einzelfall zu bewerten.
Übergangsfristen nach Ratifizierung?
Beide Normungsvorhaben befinden sich in der finalen Phase. Ein positiver Abstimmungsverlauf vorausgesetzt, wird die EN / IEC 62061 in 2021 ratifiziert werden, bei der EN ISO 13849 kann dies eventuell auch erst 2022 der Fall sein. Ob und welche Übergangszeiten es für die Publizierung der Normen im Amtsblatt geben wird, ist derzeit noch offen. Es besteht aber eine berechtigte Hoffnung, dass es eine Übergangsfrist von etwa zwei bis drei Jahren geben wird.
Dennoch ist es ratsam, sich frühzeitig – also jetzt – mit den zu erwartenden Neuerungen auseinander zu setzen. Damit wächst das Know-How und die Zukunftsfähigkeit steigt, zumal die Themen nicht nur aus normativer Sicht von großer Bedeutung sind.
Der ZVEI hat im Technischen Ausschuss Sicherheitstechnik (TASi) eine Informationsbroschüre erarbeitet, die eine erste Orientierung gibt.
Klaus Stark
Carsten Gregorius
Frank Bauder
(sk)
