Teknisk resumé
Vigtigste pointer:

Artiklen præsenterer DS/EN IEC 61508 som fundamentet for en metode til at minimere risiko og fastlægge SIL gennem hele systemets livscyklus. Den peger på sammenhænge med sektorspecifikke standarder (bl.a. EN 5012x, DS/EN 61511, IEC 61513, DO-178C/DO-254) og eksempler på anvendelser.

  • DS/EN IEC 61508 er en universel grundlæggende standard for funktionel sikkerhed for E/E/PE-systemer.
  • Den definerer 4 søjler: sikkerhedslivscyklus, SIL-niveauer, sikkerhedsledelse og dokumentation.
  • Den kan tilpasses mange brancher: maskiner, jernbane, procesindustrien, energisektoren (også nuklear) og automatik.
  • I maskiner understøtter den tilgangen i overensstemmelse med DS/EN 62061 og DS/EN ISO 13849-1 (risikovurdering, integritet, redundans).
  • Den understreger kravene til kanaluafhængighed, til at undgå fælles fejlårsager samt til kompetencen hos de personer, der udfører arbejdet.

DS/EN IEC 61508 (eng. IEC 61508) er en standard, der ofte betragtes som “grundlaget” for andre branchespecifikke dokumenter om funktionssikkerhed. Den fastlægger principper for at minimere risiko i styresystemer baseret på elektrisk, elektronisk eller programmerbar elektronik (E/E/PE). Dens krav bygger på fire grundpiller:

  1. Sikkerhedslivscyklus (Safety Lifecycle)
    – fra den indledende idé og fareanalyse til systemet tages ud af drift.
  2. Sikkerhedsintegritetsniveauer (SIL)
    – tildeles sikkerhedsfunktioner for at fastlægge krav til pålidelighed.
  3. Ledelse af funktionssikkerhed
    – klart definerede roller, ansvar, verifikationsprocedurer og kompetencegennemgange.
  4. Dokumentation
    – udarbejdelse, opbevaring og opdatering af alle relevante data og rapporter til drift og eventuelle inspektioner.

Disse forudsætninger betyder, at 61508 ikke kun gælder én enkelt sektor. Tværtimod er standarden udformet, så den kan tilpasses de enkelte branchers særlige forhold: fra maskinindustrien over jernbane og luftfart til energisektoren (herunder kernekraft) samt procesautomatisering.

Anvendelse i forskellige brancher

Maskiner og produktionslinjer: DS/EN 62061 samt DS/EN ISO 13849

Når det gælder konstruktion af maskiner og produktionslinjer, henvises der ofte til:

  • DS/EN 62061 – “Maskinsikkerhed – Funktionssikkerhed for elektriske, elektroniske og programmerbare elektroniske styresystemer til maskiner”,
  • DS/EN ISO 13849-1 – som beskriver “Performance level” (PL).

Begge standarder bygger i høj grad på koncepter fra 61508, især når det gælder risikovurdering, fastlæggelse af sikkerhedsintegritet og principper for redundans. Se også hvordan man vurderer risiko i henhold til ISO 12100.

Praktiske eksempler:

  • Automatisk pakkelinje: Vi anvender lysgitre og nødstop og designer styresystemet, så maskinerne ved afbrydelse af strålen standser øjeblikkeligt og sikkert.
  • Samarbejdende robotter (cobots): Ekstra krav til reaktion ved kontakt med mennesker, ofte med inddragelse af SIL 2 eller SIL 3.

Med 61508 fastlægges den overordnede metode, mens 62061/13849-1 præciserer, hvordan man trin for trin gennemfører risikovurderingen og implementerer de enkelte sikkerhedsfunktioner i en maskine. I praksis hænger det også tæt sammen med kravene til el-udrustning; se fx DS/EN 60204-1: De 10 vigtigste principper.

Jernbane: EN 5012x-serien

I jernbanebranchen anvendes følgende standarder ofte:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (jernbanesoftware),
  • EN 50129 (elektroniske systemer i jernbanesignalering).

Hver af dem henviser – i en sikkerhedsmæssig sammenhæng – til grundlæggende regler, der minder om 61508. Her findes også SIL-niveauer (typisk 0–4) samt strenge krav til uafhængighed mellem kredsløb (kanalredundans) og robusthed over for forstyrrelser (fejl med fælles årsag).

Eksempel:

  • Togtrafikstyring: Ved risiko for kollision aktiveres bremserne automatisk. Hvis et sådant system er klassificeret som SIL 4, skal det opfylde ekstremt skrappe krav til pålidelighed og testprocedurer i henhold til EN 50128/50129.

Procesindustrien: DS/EN 61511

Når det drejer sig om kemiske anlæg, petrokemi, raffinaderier eller gasbehandlingsanlæg, anvendes standarden DS/EN 61511 – som er direkte afledt af 61508, men specifikt fokuserer på såkaldte SIS (Safety Instrumented Systems).

  • Vi designer sikkerhedsløkker (SIF – Safety Instrumented Function) og fastlægger SIL for hver enkelt.
  • Vi bruger ofte metoden HAZOP i analysen af procesfarer.
  • Vi sikrer, at sensorer og aktuatorer har den nødvendige pålidelighed og testes med regelmæssige intervaller.

Kernekraft: IEC 61513

Når en fejl kan udgøre en risiko for store områder (atomkraftværker), er kravene til funktionssikkerhed endnu mere restriktive.

  • IEC 61513 (i Polen nogle gange omtalt som PN-IEC 61513) beskriver krav til beskyttelses- og kontrolsystemer for kernekraftværksblokke.
  • Der kræves flerkanalsredundans (fx 2oo3, 2oo4 – “two out of three” osv.) samt meget streng kontrol med softwareudviklingen.

Luftfart: DO-178C / DO-254

Selv om man i luftfarten ikke bruger 61508 direkte, er tankegangen sammenfaldende. Dokumentet DO-178C (for indlejret software) og DO-254 (for hardware) indfører kritikalitetsniveauer A–E baseret på konsekvensen af en fejl (fra mindre gener til flykatastrofe). Metoden til analyse, redundans, test og konfigurationsstyring minder i praksis meget om 61508 – med særligt fokus på detaljerede regler for certificering af avionik.

DS/EN IEC 61508: Grundprincipper og deres praktiske betydning

  1. Sikkerhedslivscyklus
    • Omfatter faserne: fra definition af konceptet, over detaljeret design (hardware, software), til installation, idriftsættelse/accept, drift og ændringer.
    • Dermed nøjes man ikke med en enkelt audit ved projektets afslutning; sikkerheden skal analyseres og dokumenteres gennem hele anvendelsesperioden.
  2. Sikkerhedsintegritetsniveauer (SIL)
    • Der er fire niveauer: SIL 1 – mindst stringent; SIL 4 – mest stringent.
    • Hvert niveau angiver acceptable grænser for sandsynligheden for farlig fejl (fx PFD for sjældent aktiverede funktioner).
  3. Risikovurdering og dokumentation
    • Før du begynder at designe, skal du vide, hvilke farer der findes, og i hvilket omfang.
    • Dokumentation (analyser som fx HAZOP, FMEA, fejltræ) udgør rygraden i systemet – ved kontrol eller audit kan du dokumentere, at dine designbeslutninger er truffet på et sagligt grundlag.
  4. Uafhængighed og redundans
    • Redundans er kun effektiv, hvis to (eller flere) kanaler ikke fejler samtidig af samme årsag (fejl med fælles årsag).
    • Høj SIL kræver oftest forskellige teknologier, separate strømforsyninger osv.
  5. Kompetencestyring
    • Personer med ansvar for design og vedligehold af sikkerhedssystemer skal have de nødvendige kvalifikationer og erfaring (det understreger standarden eksplicit).

Hvad får vi ud af at bruge DS/EN 61508

  1. Færre fejl og mindre nedetid – gennem bedre risikokontrol og tidligere identifikation af mangler.
  2. Overholdelse af krav – kunder, inspektører og forsikringsselskaber kræver ofte certificering efter sådanne standarder.
  3. Større tillid – systemer designet i henhold til 61508 / 61511 / 62061 / EN 5012x opfattes som mere pålidelige.
  4. Langsigtet effektivitet – selv om implementeringen kan være omkostningstung, kan den reducere potentielle tab som følge af ulykker eller juridiske problemer.

DS/EN IEC 61508: De mest almindelige fejl og faldgruber

  1. Manglende passende analyse af fejl med fælles årsag: Et redundant system kan svigte, hvis kanalerne deler samme strømforsyning eller samme databuss.
  2. At nøjes med én komponent med SIL-certifikat: At en sensor eller en controller har SIL 2/3-certifikat betyder ikke automatisk, at hele systemet har samme niveau – det er den samlede arkitektur, der tæller (sensorer, kabelføring, software, aktuatorer).
  3. Manglende periodiske tests: For systemer, der aktiveres sjældent, er test under reelle forhold et krav. Uden det ved vi ikke, om sikkerhedsfunktionen virker i det kritiske øjeblik.
  4. At springe ændringsfasen over: Hvis du ændrer blot en del af softwaren eller udskifter en ventil, skal du gentage visse trin i sikkerhedslivscyklussen – især analysen af ændringens påvirkning.
  5. Negligering af kompetencer: Fra designeren til vedligeholdelsespersonalet – alle har behov for relevant oplæring for at vide, hvordan forudsætningerne for funktionssikkerhed efterleves.

DS/EN 61508 er udgangspunktet, og sektorspecifikke standarder (DS/EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 osv.) tilpasser dens principper til de enkelte industrigrenes særlige forhold. For dig som designer eller bruger af sikkerhedssystemer betyder det:

  • Klare og sammenhængende retningslinjer for, hvordan man griber risikoanalyse, fastlæggelse af SIL og test af systemer an.
  • Krav om at udarbejde detaljeret dokumentation – fra testprotokoller til registreringer af personalets kompetencer.
  • Større sikkerhed for, at de implementerede løsninger lever op til internationale standarder og vil blive accepteret af kunder og tilsynsmyndigheder.

I sidste ende kan det godt være en omkostnings- og tidskrævende proces, men korrekt implementering af DS/EN 61508 (eller dens “afledte” standarder) giver lavere risiko for ulykker, mere stabil drift af anlægget og et bedre omdømme i branchen. Disse standarder er derfor ikke “unødigt papirarbejde”, men et effektivt værktøj til at beskytte liv, helbred og værdier.

DS/EN IEC 61508 – et universelt fundament for funktionssikkerhed

Det er en standard, der fastlægger principperne for at minimere risiko i styringssystemer baseret på elektrisk, elektronisk eller programmerbar teknik (E/E/PE). Den betragtes ofte som grundlag for branchespecifikke standarder for funktionel sikkerhed.

Standarden er baseret på sikkerhedslivscyklussen, SIL-niveauer, styring af funktionel sikkerhed samt dokumentation. Disse elementer skal sikre en sammenhængende tilgang fra koncept til udfasning af systemet fra drift.

SIL (1–4) er sikkerhedsintegritetsniveauer, der tildeles sikkerhedsfunktioner, og som fastlægger kravene til pålidelighed. SIL 1 er det mindst strenge niveau, mens SIL 4 er det mest strenge.

På maskinområdet videreudvikles koncepterne fra 61508 bl.a. i DS/EN 62061 og DS/EN ISO 13849-1, og i procesindustrien i DS/EN 61511 for SIS og SIF. 61508 giver en overordnet metode, mens sektorspecifikke standarder præciserer kravene til implementering.

Dokumentation af analyser og konstruktionsbeslutninger gør det muligt at påvise berettigelsen af de valgte løsninger under en audit eller kontrol. Standarden understreger også behovet for klart definerede roller samt kvalifikationer hos de personer, der konstruerer og vedligeholder sikkerhedssystemer.

Del: LinkedIn Facebook