Was rechtfertigt die Wahl zwischen ISO 13849 oder IEC 62061?

Es existieren zwei verschiedene Normen zur Bewertung des erforderlichen und erreichten Sicherheitsniveaus eines sicherheitsbezogenen Steuerungssystems: ISO 13849 und IEC 62061.

Ob die eine oder die andere verwendet wird, ist eine Wahl des Konstrukteurs. Dies wird durch die Tatsache gestützt, dass die übergeordnete Typ-A-Sicherheitsnorm für Risikobeurteilung und Risikominderung, ISO 12100:2010, in Abschnitt 6.2.11.1 spezifiziert:

Die Konstruktionsmaßnahmen des Steuerungssystems sind so zu wählen, dass ihre sicherheitsbezogene Leistung einen ausreichenden Beitrag zur Risikominderung liefert (siehe ISO 13849-1 oder IEC 62061).

Dieser Wortlaut ist eindeutig eine unbedingte Wahl, daher ist es gerechtfertigt, eine der beiden Normen ohne spezifische Begründung zu wählen.

Es ist auch möglich, unterschiedliche Normen für verschiedene Sicherheitsfunktionen und sogar für verschiedene Subsysteme einer Sicherheitsfunktion zu wählen. Es gibt keine harte Anforderung, eine Begründung zu verwenden, warum eine bestimmte Norm verwendet wird. Der Autor dieses Artikels empfiehlt jedoch, eine nominelle Begründung für die abwechselnden Wahlen zu verwenden.

Die folgenden Begründungen sind Beispiele (informativ - in keiner der relevanten Normen aufgeführt):

• Eignung: Die gewählte Norm ist besser für die spezifische Sicherheitsfunktion oder das Subsystem geeignet, beispielsweise weil sie den Performance Level oder erforderlichen SIL nach besser definierten Kriterien oder mit einem höheren Genauigkeitsgrad bewerten kann (dies ist eine gute Begründung für die Verwendung von IEC 62061, da sie besser definierte Kriterien besonders für die Schwere der Verletzung und die Häufigkeit der Exposition hat).
• Ein häufiges Beispiel hierfür ist, dass die Schwere S2 in ISO 13849 den Tod einschließt, aber generell für jede dauerhafte Verletzung verwendet werden muss, während IEC 62061 4 verschiedene Schweregrade statt 2 bietet, was dem Konstrukteur ermöglicht, einen präzise risikoadjustierten Ansatz zu wählen, anstatt einfach anzunehmen, dass fast jeder Vorfall, der medizinische Behandlung erfordert, gleich schwerwiegend wie der Tod ist.
• Software-Unterstützung: Die gewählte Norm wird besser von einem Software-Tool unterstützt, das für die Bewertung verwendet wird. Das typische Beispiel, das hier zu nennen ist, ist, dass SISTEMA nur ISO 13849 unterstützt (IEC 62061 wird nur unterstützt, wenn Sie es extern berechnen).
• Vertrautheit: Die Person, die die Bewertung durchführt, ist besser mit der gewählten Norm vertraut (dies rechtfertigt im Allgemeinen keine gemischte Verwendung beider Normen, es sei denn, es gibt mehrere Autoren mit unterschiedlichen Präferenzen)
• Präzedenzfall: Für einen bestimmten Satz von Sicherheitsfunktionen oder Subsystemen basiert die Bewertung (lose oder streng) auf früheren Bewertungen ähnlicher Funktionen oder Subsysteme (entweder im selben Unternehmen oder vom Autor in der Vergangenheit durchgeführt)
• Qualitätsmanagement: Das Qualitätsmanagementsystem des Unternehmens erfordert oder empfiehlt die Verwendung einer bestimmten Norm für die Bewertung (dies ist im Allgemeinen keine Begründung für die gemischte Verwendung beider Normen, kann aber mit einer Eignungs- oder Präzedenzfall-Begründung kombiniert werden)
• Kundenanforderung: Der Kunde verlangt die Verwendung einer bestimmten Norm für die Bewertung (dies ist im Allgemeinen eine begrenzte Begründung für die gemischte Verwendung beider Normen, kann aber mit einer Eignungs-, Präzedenzfall- oder Qualitätsmanagement-Begründung kombiniert werden)

Die folgenden Begründungen werden vom Autor nicht empfohlen:

• Verfügbarkeit von vorzertifizierten Komponenten: Einige Komponenten sind nach einer der beiden Normen vorzertifiziert, aber nicht nach der anderen - nicht empfohlen, da man einfach die Zuordnungstabelle in beide Richtungen verwenden kann und sollte.

Die folgenden Begründungen sollten unter allen Umständen als verbotene Begründungen angesehen werden, da ihre Verwendung implizieren würde, dass die Sicherheitsanforderungsspezifikation nachträglich erstellt wird und als fahrlässiger Mangel an Sorgfalt im Konstruktionsprozess interpretiert werden kann:

• Es ist günstiger, eine der beiden Normen anstelle der anderen zu implementieren
• Ein bestimmter Satz von Komponenten erfüllt die Bewertungskriterien einer der beiden Normen, aber nicht die der anderen.

Quelle: ISO 12100:2010, Abschnitt 6.2.11.1, erster Absatz.

Qualifikation des Autors: Uli Köhler ist Funktionaler Sicherheitsingenieur und Berater und ist als CMSE® – Certified Machinery Safety Expert (TÜV NORD) zertifiziert