VDE – Teil 2 Modelle der funktionalen Sicherheit

Modelle der Funktionalen Sicherheit
Modelle der Funktionalen Sicherheit

Im zweiten Teil unserer Artikelserie zum Thema funktionale Sicherheit werden die einzelnen Modelle der funktionalen Sicherheit beschrieben. Dabei wird auf die Grenzen der Ausfallmodelle der DIN EN 61508 ebenso eingegangen wie auf das Einbinden der Risikoanalyse in die Norm.

Die Definition der funktionalen Sicherheit lautet nach DIN EN 61508-4 (VDE 0803-4):2011, 3.1.12 [1] : „Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des sicherheitsbezogenen E/E/PE-Systems und anderer risikomindernder Maßnahmen abhängt.“

EUC bedeutet „Equipment under Control“, also beispielsweise ein Rührkesselreaktor in einer chemischen Fabrik, und das EUC-Leit- oder Steuerungssystem ist die zugehörige Instrumentierung mit Automatisierungssystem. E/E/PE steht für „elektrisch, elektronisch und programmierbar elektronisch“ und bezeichnet die eingesetzte Technologie; die ist heute üblicherweise programmierbar elektronisch, also die Verwendung eines mikrorechnerbasierten, eingebetteten Systems zur Ausführung der Sicherheitsfunktion. An der Abfassung der IEC 61508 haben sich viele Fachleute aus der chemischen Industrie beteiligt und die Wortwahl entsprechend beeinflusst. In anderen Anwendungsgebieten wäre das Equipment under Control beispielsweise der Antrieb eines Eisenbahntriebwagens, eine Einrichtung zur Weichenstellung oder eine Stanzmaschine. Der Begriff „korrekte Funktion“ weist auf die spezifikationsgemäße Ausführung der Sicherheitsfunktion hin.

Der Trennung von „EUC-Leit- oder Steuerungssystem“ und „sicherheitsbezogenes E/E/PE-System“ liegt die Vorstellung eines „normalen“ Automatisierungssystems zugrunde, das von einem sicherheitsbezogenen Schutzsystem überwacht wird, welches zur Abwendung von Gefahren eingreift. Das mag sich bei der Drucküberwachung eines Rührkesselreaktors anbieten, bei einer Stanzmaschine aber nicht unbedingt: Bis ein übergeordnetes System hier erkannt hätte, dass sich die Hand des Bedieners unter dem niedergehenden Stempel befindet, und eingegriffen hätte, wäre letztere bereits gequetscht. Hier werden die Sicherheitsfunktionen - z.B.: „erkennt das Lichtgitter einen Gegenstand unter dem niedergehenden Stempel, hat der Antrieb der Stanze sofort zu stoppen“ - deshalb bereits in die Antriebssteuerung eingebaut, die beiden oben genannten Systeme fallen zusammen.