6 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit

(1) In den Nummern 4 und 5 wurde aufgrund der Gefährdungsbeurteilung nach Kapitel 3 die Zuverlässigkeit einer Ex-Vorrichtung einschließlich der ihr zugeordneten Nicht-MSR-Einrichtungen über die qualitative Ausfallwahrscheinlichkeit bestimmt und einer Klassifizierungsstufe zugeordnet. Für MSR-Einrichtungen sollen entweder vorliegende Bewertungen der Zuverlässigkeit nach Herstellernormen verwendet oder eine Bewertung der Betriebsbewährung nach Anhang 2 durch den Arbeitgeber durchgeführt werden. Den unterschiedlichen Zuverlässigkeitskennwerten nach Herstellernormen oder Arbeitgeber-Aussagen zur Betriebsbewährung werden in dieser Nummer Klassifizierungsstufen zugeordnet.

(2) MSR-Einrichtungen sind je nach Erfordernis in verschiedenen Technologien (elektrisch, mechanisch, pneumatisch, hydraulisch oder elektronisch) ausgeführt. MSR-Einrichtungen können daher im Ganzen oder in Teilen aus einfachen oder komplexen Funktionseinheiten bestehen.

(3) Die funktionale Sicherheit der Funktionseinheiten wird durch Fehlervermeidung oder Fehlerbeherrschung (automatische oder organisatorische Einleitung von Gegenmaßnahmen) unter Beachtung aller Betriebsbedingungen und vorgesehenen Wartungs- oder Prüfungsmaßnahmen sichergestellt. Dazu müssen die allgemeinen Anforderungen nach Anhang 1 unabhängig von der Klassifizierungsstufe erfüllt werden.

(4) Der Zusammenhang zwischen funktionaler Sicherheit und Klassifizierungsstufen wird in den Tabellen 9 bis 13 und in Anhang 2 beschrieben.

(5) Sollen keine hinsichtlich der funktionalen Sicherheit bewerteten Funktionseinheiten Verwendung finden, so kann z. B. durch die Verwendung bewährter Bauteile nach DIN EN ISO 13849-2:2008 sowie ggf. Redundanz die geforderte Klassifizierungsstufe erreicht werden (siehe Tabelle 9).

Tabelle 9: Anforderungen an die Funktionale Sicherheit in Abhängigkeit von der Klassifizierungsstufe

Klassifizierungs­stufe K3 K2 K1
erforderliche Fehler-
sicherheit (HFT)
Zweifehlersicherheit
(HFT=2)
Einfehlersicherheit
(HFT=1)
Nicht-fehlersicher
(HFT=0)
funktionale Sicherheit
(Mindest-
anforderungen)
1 v 3 Redundanz
 
einschließlich
 
Zusatzmaßnahmen nach Anhang 1
und bewährte Bauteile nach DIN EN IS. 13849-2:2008

  oder
 
Fail Safe1
1 v 2 Redundanz
 
einschließlich
 
Zusatzmaßnahmen nach Anhang 1
und bewährte Bauteile nach DIN EN IS. 13849-2:2008
 
oder
 
Fail Safe1
 
 
 
 
Zusatzmaßnahmen nach Anhang 1
und bewährte Bauteile nach DIN EN IS. 13849-2:2008
 
oder
 
Fail Safe1

Hinweis: Von einem Hersteller als Fail Safe klassifizierte Funktionseinheiten können nach Tabelle 9 für alle Klassifizierungsstufen verwendet werden.

1 Fail Safe oder fehlersicher ist eine Funktionseinheit, wenn es die Fähigkeit besitzt, beim Auftreten gefährlicher Fehler (z. B. innerer Fehler) im sicheren Zustand zu bleiben oder vor Ablauf der Fehlertoleranzzeit in einen anderen sicheren Zustand überzugehen. Die Eigenschaft „Fail Safe“ ist unverlierbar, sie wird vom Hersteller bestätigt.

(6) Liegen vom Hersteller Bewertungen der funktionalen Sicherheit entsprechend der DIN EN 61508:2010, DIN EN 61511:2004, DIN EN 62061 (VDE 0113-50):2013 oder DIN EN 50495:2010 vor, so erfolgt die Zuordnung des Safety Integrity Level (SIL oder SILCL) zu der Klassifizierungsstufe entsprechend Tabelle 10. SILCL ist die SIL-Anspruchsgrenze bzw. SIL-Claim-Limit (in Anlehnung zu DIN EN 62061 (VDE 0113-50):2013). SILCL ist als maximaler SIL definiert, der für eine Funktionseinheit in Bezug auf strukturelle Einschränkungen und systematische Fehlerintegrität in Anspruch genommen werden kann. Die Funktionseinheiten, aus denen das System besteht, das die Sicherheitsfunktion realisiert, müssen über eine entsprechende SIL-Eignung (SILCL) verfügen.

Tabelle 10: Zuordnung des SIL zu der Klassifizierungsstufe

Klassifizierungsstufe Safety Integrity Level
(SIL oder SILCL)
K1 SIL 1 oder SILCL 1
K2 SIL 2 oder SILCL 2
K3 SIL 3 oder SILCL 3

(7) Die Bestimmung des SIL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN 50495 (VDE 0170-18):2010. Der SIL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 10.

(8) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN ISO 13849:2008 bzw. DIN EN 954:1997 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 11.

Tabelle 11: Zuordnung des Performance Levels (PL) nach DIN EN ISO 13849-1:2008 und der Kategorien nach DIN EN ISO 13849-1:2006 bzw. DIN EN 954:1997 zu den Klassifizierungsstufen

 
Klassifizierungsstufe
DIN EN ISO 13849:2008 bzw. DIN EN ISO 13849:2006 (alt) bzw. DIN EN 954:1997
PL1 Kategorie2 MTTF3 DC4
K1 b
c
B oder 1
2
mittel
niedrig
kein
niedrig
K2 d 2
2
3
hoch
hoch
mittel oder hoch
niedrig
mittel
niedrig
K3 e 3 oder 4 hoch mittel oder hoch
1 PL, Performance Level
Der Performance Level beschreibt die Anforderungen an die funktionale Sicherheit der sicherheitstechnischen Funktionen, wobei der Performance Level e den höchsten Grad der Sicherheitsintegrität, der Sicherheits-Integritätslevel b den niedrigsten darstellt.
2 Kategorie nach DIN EN IS. 13849-1:2006
3 MTTF erwartete mittlere Zeit (Mittelwert) bis zum Ausfall
4 DC, Diagnosedeckungsgrad: Anteil der gefahrbringenden Ausfälle, die während des Betriebs durch automatische Diagnosetests erkannt werden.

(9) Die Bestimmung des PL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN ISO 13849:2008. Der PL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 11.

(10) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN 13463-6:2005 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 12.

Tabelle 12: Zuordnung der Ignition Protection Level (IPL) für mechanische Bauteile nach der DIN EN 13463-6 zu den Klassifizierungsstufen

  DIN EN 13463-6
Klassifizierungsstufe IPL1
K1 1
K2 2
K3

1 IPL, Ignition Protection Level (siehe DIN EN 13463-6:2005)

(11) Liegen vom Arbeitgeber Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend Anhang 2 zur Betriebsbewährung vor, so erfolgt die Zuordnung zu den Klassifizierungsstufe entsprechend Tabelle 13.

Tabelle 13: Funktionale Sicherheit von betriebsbewährten Funktionseinheiten in Abhängigkeit von der Klassifizierungsstufe

Klassifizierungsstufe K3 K2 K1
erforderliche Fehlersicherheit (HFT) Ein-Fehler-sicher
(HFT = 1)
nicht fehlersicher
(HFT = 0)
nicht fehlersicher
(HFT = 0)
funktionale Sicherheit 1 v 2 Redundanz oder
2 v.3 Redundanz
und
Anforderungen nach Anhang 2
Anforderungen nach Anhang 2 Anforderungen nach Anhang 2

(12) Sind komplexe Funktionseinheiten nicht nach Anwendungsnormen durch den Hersteller oder als fail safe klassifiziert und liegt für sie keine Betriebsbewährung nach Anhang 2 vor, ist eine Einzelfallanalyse notwendig.