Fachartikel Installationstechnik , Regulierung , Sicherheit

Sicherheitsfunktionen und EMV

Die neue Fachgrundnorm IEC / EN 61000-6-7 und ihre Relevanz für die Prüfpraxis

05.01.2017

Statt elektromechanischer Systeme wird in Geräten immer häufiger Elektronik für Sicherheitsfunktionen eingesetzt. Um Maschinen bei drohender Gefahr abzuschalten, nutzt man beispielsweise Sensoren und opto-elektronische Komponenten, die somit Sicherheitsfunktionen wahrnehmen. Deshalb müssen sie auch unter elektromagnetischen Einwirkungen normgerecht funktionieren und entsprechend dokumentiert sein. Ein Überblick über die komplexe Normensituation soll helfen, geeignete Prüfungen zu konzipieren.

Wenn man Geräte mit Sicherheitsfunktionen bezüglich elektromagnetischer Phänomene prüfen will, wird man mit einer unübersichtlichen Normensituation konfrontiert. Einerseits enthalten verschiedene, seit vielen Jahren existierende Produktnormen (Bild 2) Anforderungen oder Empfehlungen zur ­Thematik «EMV und funktionale Sicherheit». Andererseits ist nun eine Fachgrundnorm IEC / EN 61000-6-7 entstanden, die diesem Themengebiet gewidmet ist. Sie gilt für alle Produkte, die nicht durch die spezifischen Produktenormen abgedeckt sind. Dies sind beispielsweise Antriebe für Linearmotoren. Ab dem 13. November 2017 ist die neue Fachgrundnorm zwingend anzuwenden.

Diese Reihenfolge des Erscheinens ist aussergewöhnlich. Normalerweise wird eine Fachgrundnorm vor den Produktnormen veröffentlicht, denn Fachgrundnormen haben eigentlich die Aufgabe, die Enstehungszeit von Produktnormen zu überbrücken, im Sinne von «besser als gar nichts».

Die durch dieses unübliche Vorgehen entstandenen Schwierigkeiten äussern sich auch darin, dass es eine ganze Seite braucht, um die Zusammenhänge zum IEC-Leitfaden 107 und zur Basisnorm 61000-1-2 zu erläutern. Dieses Dokument hat sich von einer Technischen Spezifikation TS zu einer Norm gemausert. Die IEC-Version ist im April 2016 erschienen, als EN dürfte sie demnächst ratifiziert werden.

Als weiteres wichtiges Basisdokument ist die Grundlagennorm IEC 61508 zu nennen. Diese Norm befasst sich mit der Entwicklung von elektrischen, elektronischen und programmierbaren elektronischen Systemen, die eine Sicherheitsfunktion ausführen. Die Norm wurde erstmals 1998 veröffentlicht. Seit 2010 liegt eine neue Fassung vor, die seit Februar 2011 auch in deutscher Sprache vorliegt. Das systematische Vorgehen in Bezug auf Spezifikation, Design und Verifikation von sicherheitsbezogenen Systemen ist in dieser Norm beschrieben. Zudem sind hier die Bedeutung und Zuordnung der SIL-Level definiert.

Der Sicherheits-Integritäts-Level SIL

Mit dem SIL lassen sich Systeme in Bezug auf die Zuverlässigkeit ihrer Sicherheitsfunktionen wie Notausschaltungen, Abschalten überhitzter Geräte oder Bewegungsüberwachung beurteilen. Die sicherheitsgerichteten Konstruktionsprinzipien, die für ein minimales Risiko einer Fehlfunktion eingehalten werden müssen, werden aus dem SIL abgeleitet.

Es gibt 4 Sicherheits-Integritäts-Level mit spezifischen Zeiträumen, in denen ein einziger Fehler auftreten darf:

  • SIL  1: 10 Jahre
  • SIL  2: 100 Jahre
  • SIL  3: 1000 Jahre
  • SIL  4 10 000 Jahre


Beispielsweise darf bei SIL 3 nicht mehr als ein gefährlicher Ausfall der Sicherheitsfunktion in 1000  Jahren stattfinden.

Prüfung der Sicherheits­funktionen

Vor der Prüfung bestimmt man, welche Funktionen sicherheitsrelevant sind. Funktionen ohne Sicherheitsauswirkungen dürfen vorübergehend oder dauerhaft beeinflusst werden.

Funktionen eines Prüflings, die für sicherheitsbezogene Anwendungen benutzt werden, dürfen nicht ausserhalb ihrer Spezifikation beeinflusst werden oder können vorübergehend oder dauerhaft gestört werden, falls der Prüfling auf eine Störung so reagiert, dass ein feststellbarer definierter Zustand (DS) eingestellt oder in einer bestimmten Zeit erreicht wird. Das Bewertungskriterium DS (Defined State) wurde früher als FS (Fail Safe) bezeichnet. Auch eine Zerstörung ist erlaubt, falls ein feststellbarer, definierter Zustand (oder Zustände) eingestellt oder in einer bestimmten Zeit erreicht wird.

Dies bedeutet für die Prüfung, dass die Sicherheitsfunktion während der elektromagnetischen Beeinflussung kontinuierlich ausgelöst und überwacht werden muss. Es kann deshalb erforderlich sein, dass sich eine Person während der Einstrahlung des elektromagnetischen Feldes (20 V/m) in der Absorberhalle befindet. Eine entsprechende Schutzkleidung ist dann empfehlenswert (Bild 1).

Bei einer Prüfung ist es oft schwierig, die Sicherheitsfunktionen möglichst realitätsnah zu betreiben. Eine Simulation oder Abweichung von den Betriebsbedingungen der Praxis birgt das Risiko, dass die «echte» Sicherheitsfunktion dann doch nicht funktioniert, weil ein Aspekt übersehen wurde.

Typischerweise werden zwei gegensätzliche Zustände geprüft: Einerseits die Normalfunktion mit erhöhten Prüfpegeln und andererseits die ausgelöste Sicherheitsfunktion, die im definierten Zustand bleiben muss.

Komponentensicht

Ein Sensor befindet sich nie am Ende der gesamten Funktionskette. Wenn eine nachgelagerte Steuerung den Ausfall des Sensors erfassen und selbst in einen definierten Zustand gehen kann, ist die Funktionskette genügend sicher. Bietet der Sensor jedoch keine kontinuierliche Funktionsüberprüfung, ist die Funktionskette unterbrochen. Die Norm fordert, dass eine Abweichung von der ungestörten Funktion vom übergeordneten System detektierbar sein muss und mit dem definierten Zustand übereinstimmen muss. Eine Komponente, die zum Einbau in ein sicherheitsbezogenes System vorgesehen ist, muss daher ausreichend spezifiziert sein.

Von den Herstellern sind solche Angaben zum effektiven Verhalten des Sensors bisher leider nur in wenigen Fällen erhältlich. Oft steht in den Datenblättern zwar, dass die Norm zur Funktionalen Sicherheit erfüllt wird, aber das tatsächliche Verhalten bei den verschiedenen Beeinflussungen wird nicht erläutert. Für den definierten Zustand DS ist auch eine dauerhafte Schädigung des Prüflings zulässig. Geht der Systemintegrator aufgrund der im Datenblatt deklarierten Normerfüllung davon aus, dass die Sicherheit gewährleistet ist, kann so ein hohes Risiko entstehen. Die fatale Folge könnte sein, dass ausgerechnet ein sicherheitsrelevanter Sensor ausfällt, ohne dass die Steuerung dies bemerkt und adäquat reagieren kann.

Hersteller müssen deshalb angeben, ob eine Komponente die Prüfungen mit Einhaltung der Spezifikationen erfüllt.Liegt eine Beeinflussung vor, sollte das Verhalten pro Phänomen beschrieben werden, damit der Systemintegrator dies berücksichtigen kann.

Leider enthält die neue Fachgrundnorm 61000-6-7 keine Vorgaben für die Begleitdokumentation des Produkts, wie dies in einigen Normen bereits als umfassende Beschreibung des EMV-Verhaltens gefordert ist.

Risikoanalyse erforderlich

Wie mittlerweile fast alle Europäischen Richtlinien, fordert nun auch die EMV-Richtlinie 2014/30/EU eine Risikoanalyse. Ein solches EMV-Assessment dient dazu, mögliche Lücken der harmonisierten Normen zu den eigentlichen Schutzzielen der Richtlinie aufzudecken. Bei der EMV beschränkt sich die Betrachtung explizit auf die Wechselbeziehung von Geräten. Einflüsse auf die Sicherheit oder Biologie werden von der EMV-Richtlinie explizit ausgeschlossen.

Die verschiedenen EMV-Phänomene können sich aber sehr wohl auf die Sicherheit auswirken, denn jede elektronische Schaltung kann elektromagnetisch beeinflusst werden – bis hin zum Totalausfall oder Defekt. Somit muss im Rahmen der funktionalen Sicherheit analysiert werden, ob ein Gerät in Folge einer solchen Beeinflussung in einen gefährlichen Zustand kommen kann oder nicht. Das Instrumentarium ist wiederum eine Risikoanalyse, nun aber in Bezug auf Sicherheit, mit dem Schweregrad des Personenschadens.

Bei der Prüfung der funktionalen Sicherheit sind die Phänomene gleich wie bei der «klassischen» EMV-Typenprüfung, werden aber um die Einkopplung der niederfrequenten Spannung gemäss 61000-4-16 und die Prüfung gegen Ausfall der Gleichspannungsversorgung nach 61000-4-29 ergänzt. Bei den meisten Phänomenen wird der Prüfschärfegrad gegenüber der normalen Industrieumgebung um eine Stufe erhöht (Tabelle). Bei Anwendungen für SIL 3 oder höher wird zudem die Einwirkdauer um Faktor 3 bis 5 verlängert.

Dieser Ansatz lässt es oft zu, dass ein Teil der Prüfungen kombiniert durchgeführt werden kann. Funktioniert das Gerät in der Normalfunktion bei den höheren Pegeln für die funktionale Sicherheit einwandfrei (Kriterium A), ist auch die EMV für diesen Betriebszustand erfüllt.

Aus der EMV-Risikoanalyse kommen eventuell noch weitere Phänomene hinzu. Bei der hochfrequenten Einstrahlung werden spezielle Frequenzen zusätzlich gesondert geprüft.

Die Fachgrundnorm 61000-6-7 wird sich als neue Basis zur Beurteilung der funktionalen Sicherheit bei elektromagnetischen Phänomenen etablieren. Es ist auch denkbar, dass sie für Komponenten angewandt wird, deren Endanwendung unbekannt ist und das Produkt nicht ausschliesslich einer einzigen Produktnorm zugeordnet werden kann.

Autor
Christoph Hauser

ist Leiter des EMV-Labors im Bereich «Prüfung und Zertifizierung» von Electrosuisse.

  • Electrosuisse
    8320 Fehraltorf


 

IEC 61000-6-7

• Fachgrundnorm für die Immunitätsprüfung von Geräten, die für Sicherheitsfunktionen im Industriebereich eingesetzt werden.
• Die IEC-Norm ist im Oktober 2014 erschienen, die EN im Mai 2015, ab 13. November 2017 ist sie verbindlich.
• Direkte Bindung an 61508 und 61000-1-2
• Die Norm beschränkt sich auf die Verifikationsphase.
• Produktnormen haben grundsätzlich Vorrang.
• Die Produktnorm soll weggelassene Phänomene oder reduzierte Prüfanforderungen technisch begründen.
• Das Kriterium heisst nun DS (Defined State) statt Fail Safe (FS).
• Prüfpegel und Einwirkdauer werden definiert gemäss 61000-1-2.

Kommentare

Bitte addieren Sie 3 und 4.