# Sicherheitsgerichtete Software für Maschinen



## Tommi (3 Juni 2008)

Hallo zusammen,

in der DIN EN ISO 13849-1 (Nachfolger von DIN EN 954-1) wird
die Anwendung eines V-Modells zur Erstellung sicherheits-
gerichteter Software gefordert.
Die Software muss verifiziert und dann validiert werden.

Es bedeutet, dass man sein Programm und auch den Test
des Programmes, (z.B. auf Plausibilität von Sensorzuständen)
bereits vor der Implementierung planen muss.

Ich finde es gut, das Programmierer, welche per Software
Sicherheitsfunktionen "bauen", systematisch vorgehen müssen!!!

Andererseits muss der Aufwand im Rahmen bleiben, sonst
macht es keiner oder nur wenige.

Nun ist die Norm noch nicht verbindlich in Kraft (soviel ich weiss)
aber 2009 ist es wohl so weit. 

Ich habe gerade begonnen, mir über die Umsetzung Gedanken
zu machen und würde gerne Gleichgesinnte finden.

Bitte melden.

Gruß
Tommi


----------



## HBL (4 Juni 2008)

Guten Morgen Tommi

Die Norm EN ISO 13859-1 ist seit letztem Jahr in Kraft. Die Norm EN 954-1 wird per Nov. 2009 zurückgezogen.

Ich bin zwar kein "Softi", aber in der Umsetzung und Lösungsfindung der neuen Norm EN ISO 13849-1 werde ich mich beteiligen.

Gruss

Hans


----------



## HDD (7 Juni 2008)

Hi,
ihr zwei mich interessiert das Thema auch sehr vor allem die Parktische Umsetzung der Norm
EN ISO 13849-2:2003 die ja eine Validierung verlangt. Die Validierung soll ja nachwiesen das JEDES sicherheitsbezogene Teil einer Steuerung die Anforderung erfüllen muss! Ich hab jetzt mal gesucht wie man da vorgehen muss bzw. was bei der Softwareerstellung beachtet werden muss 
- Spezifaktion
- Nachweis der Gestaltung 
- Prüfungen (Prüfberichte)
Für mich bedeutet das am besten eine geprüfte Software, dass werden die aller meisten sowieso machen, und dann noch geprüfte Bausteine die vom Hersteller der SPS dokumentiert sind, einzusetzen. Dann kann man bei der Validierung die Doku des Herstellers beifügen und muss meiner Meinung nach „nur“ noch einen Prüfbericht anfertigen für die Inbetriebnahme der fertigen Steuerung. Klar ist aber auch das dies nur für die erstellte Software dann gilt es muss ja noch das ganze System bearbeitet werden.
Oder wie seht Ihr das?

HDD


----------



## Tommi (8 Juni 2008)

Ich  habe gerade geantwortet, aber es ist nicht angekommen???


----------



## Tommi (8 Juni 2008)

Zweiter Versuch:

Ich meine, dass man nach der Programmierung einer Maschinensoftware zuerst die Module (z.B. Kat.4 Not-Halt-Schalter mit entsprechendem Funktionsbaustein) testen muss (Funktion, Drahtbruch, Querschluss).

Dann das System (hat Not-Halt in allen Betriebsarten Priorität, werden nach Schutztüröffnung alle Antriebe wirklich stillgesetzt? usw.)

Hierfür muss es einen Plan geben und man muss alles dokumentieren!!!!!

Beim System darf man nicht nur das Softwaresystem betrachten, sondern immer das Gesamtsystem, d.h. die Maschine oder Anlage.

System bezeichnet ein Gebilde, dessen wesentliche Elemente (Teile) so aufeinander bezogen sind, dass sie eine Einheit (ein Ganzes) abgeben.
(Wikipedia)

Eine Software ohne Hardware ist wie ein König ohne Land.

Alles sehr viel Aufwand mit bisher wenig Hilfe.

Aber bei steigender Anlagenkomplexität in Zukunft notwendig. Sowohl aus Sicht des Arbeitsschutzes als auch der Gerichtsfestigkeit!

Hilfe für den Programmierer/Inbetriebnehmer ist hier erforderlich.

Die kann von den Softwareherstellern, der BG oder auch von Sicherheitsfachkräften kommen.

Vielen Dank für die bisherigen Antworten.

Bitte schreibt weiter, auch wenn Ihr anderer Meinung seid.

Vielleicht gibt es ja auch schon Hilfen!

Gruß
Tommi


----------



## HDD (8 Juni 2008)

Hi Tommi,
ich sehe das genau so wie Du und kann auch nicht finden wo ich etwas gegenteiliges behauptet habe. Du hast speziell eine frage zur software gestellt



Tommi schrieb:


> in der DIN EN ISO 13849-1 (Nachfolger von DIN EN 954-1) wird
> die Anwendung eines V-Modells zur Erstellung sicherheits-
> gerichteter Software gefordert.
> Die Software muss verifiziert und dann validiert werden.
> ...


 
Natürlich muss man das ganze System sehen und nicht nur die Software wer hat auch was anderes behauptet.


HDD schrieb:


> ihr zwei mich interessiert das Thema auch sehr vor allem die Parktische Umsetzung der Norm
> EN ISO 13849-2:2003 die ja eine Validierung verlangt. Die Validierung soll ja nachwiesen das JEDES sicherheitsbezogene Teil einer Steuerung die Anforderung erfüllen muss!


 
So zurück zum Thema für mich bedeutet es nicht das du Grundlegende Sicherheitsprinzipien noch mal erfinden musst vorausgesetzt man nimmt zertifizierte Komponenten. Und setzt diese dann nach Herstellerangabe ein. Ich z.B. setze hier Komponenten von einen Hersteller ein der vieles über M12 Stecker macht und auch vorgefertigte Leitungen und Verteiler dafür hat, dieses alles hat dann auch Laut Hersteller die Kat 4, die SPS von denen hat Kat 4 PL e und SIL3 also wenn ich das alles so mache wie der es vorschreibt bin ich auf der sicheren Seite und kann das abhaken jetzt muss ich „*nur noch*“ die Inbetriebnahme machen und Dokumentieren.

Also muss ich nicht prüfen ob das eingesetzte zertifizierte System Drahtbruch sicher oder was auch immer ist das hat der Hersteller für mich getan! Das bezieht sich auf diese Komponenten natürlich musst du dann auch weiter Dokumentieren ob die Kontaktvervielfältigung sicher ist ob der FU auch eine sichere Abschaltung hat usw., aber auch hier nehmen ich nur zertifizierte Komponenten! Das ganze macht auch nicht bei Elektrik halt, alles andere muss auch geprüft werden!!!!!
Bei der Softwareerstellung nehme ich nur TÜV geprüfte Bausteine und kann das also auch Dokumentieren! 

HDD


----------



## HDD (8 Juni 2008)

Hi Tommy,
ich hab noch was vergessen es gibt von der BGIA schon eine software für die Bewertung nach 13849
http://www.dguv.de/bgia/de/pra/softwa/sistema/index.jsp

Schau Dir auch mal die Beispiele an da werden komplette Systeme bearbeitet auch die Pneumatik und Hydraulik!
HDD


----------



## HDD (8 Juni 2008)

Hier mal ein Beispiel wie die Doku dann aussehen kann.

HDD


----------



## Tommi (11 Juni 2008)

Hallo HDD,

ich meinte, dass man *die Aussenbeschaltung*, die ein zertifizierter
Baustein überwachen soll, auch testen muss. D.h., man prüft
nicht den Baustein, sondern die korrekte Verdrahtung.

"Man macht einen Querschluss auf der Eingangsbaugruppe der sicheren SPS, um zu sehen, ob auch ein Querschluss gemeldet wird."

Oder übertreibe ich da???

Vielen Dank für den Dialog.

Tommi


----------



## Tommi (11 Juni 2008)

Hallo HDD, nicht, dass Du mich missverstehst.

Ich meinte "Vielen Dank für den Dialog" ehrlich und nicht zynisch.

So, mein Hund wartet auf mich. WUFF........

Tommi


----------



## HDD (13 Juni 2008)

Hi Tommi,
ich finde dieses Thema wie schon geschrieben sehr Interesseant!
Aus dem von Dir angeführten Grund setze ich ein System ein das über M12 Stecker verdrahtet wird und auch keine Zweikanaligkeit benötigt um die kat4 oder sil3 zuereichen!
Ich melde mich morgen nochmal zu dem Thema!

HDD


----------



## moeins (7 Juli 2008)

Hallo,

ich sehe das System bzw. die neue Norm(en) nicht als praktikabel an. 
Auf dem Papier alles super aber völlig an der Praxis vorbei entwickelt.

Fängt schon damit an, das man hellseherische Fähigkeiten benötigt um die Bauteil-Zyklen/Jahr vorrauszusagen. Weiß ich ob die Maschine in 5 Jahren im 3-Schichtbetrieb läuft oder mangels Aufträgen überhaupt nicht?!?
Da muß ich ja schon von einer 24/365 Auslastung bei der Kalkulation ausgehen. Aber wie lange läuft sie denn? 20Jahre? 40Jahre? Wir haben teilweise noch umgebaute Drehbänke von 1920 im Einsatz.

- Was mache ich wenn der Schichtelektriker im Störfall ein Schütz oder Endschalter gegen ein  anderes Fabrikat tauscht? 
- Was passiert beim Austausch einer SPS oder Antriebssystems mit neuerer Firmwareversion? 
- Was ist wenn ich Kabel einsetze die sich aufgrund der Umgebung nach 5 Jahren auflösen? Kann ich das vorraussehen?
- Die Simatic F-CPUs haben eine Laufzeit von 10Jahren, was ist danach? Wer tauscht sie aus? Es ist nicht die Regel das vorrauschauend Teile getauscht werden.
- Wie siehts mit den Hydraulikelementen aus? Wo bekomme ich dort eine zuverlässige Rückmeldung? Wo ist die Selbstüberwachung?
- Wenn ich die Elektrik 2-Kanalig ausführe muss ich das mit der Hydraulik auch tun, nur wer bezahlt den Aufwand?


Keine Frage das man sich Gedanken über die Sicherheit machen sollte, aber dann muss ich ein System schaffen das einfach zu händeln ist und nicht stundenlanges Suchen in Tabellen und Berechnen von MTTF-Werten erfordert...


----------



## kiestumpe (7 Juli 2008)

Erstmal möcht ich vorrausschicken, dass es mir am Anfang auch so erging, 
als ich GAMP 4 in der Han dhielt,
aber dennoch versuch ich das mal zu beantworten, ohne Anspruch darauf alles zu beantworten.


moeins schrieb:


> Hallo,
> 
> ich sehe das System bzw. die neue Norm(en) nicht als praktikabel an.
> Auf dem Papier alles super aber völlig an der Praxis vorbei entwickelt.
> ...



Beim V-Modell steht sowas bereits im Lastenheft, daher dieses Vorgehen.
#


moeins schrieb:


> - Was mache ich wenn der Schichtelektriker im Störfall ein Schütz oder Endschalter gegen ein  anderes Fabrikat tauscht?


Die Sicherheitskategorie muss z.B. in der HDS festgelegt sein, der Schütz muss mit dieser Zertifiziert sein. Das Wartungsbuch kann weitere Hinweise enthalten, oder den Hinweis, dass dies nur durch entsprechende Service-Fachkräfte ausgeüfhrt werden darf.





moeins schrieb:


> - Was passiert beim Austausch einer SPS oder Antriebssystems mit neuerer Firmwareversion?


Die System muss revalidiert werden, dazu auch die Sicherheitsrelevanten Teile.


moeins schrieb:


> - Was ist wenn ich Kabel einsetze die sich aufgrund der Umgebung nach 5 Jahren auflösen? Kann ich das vorraussehen?


Einsatzbereich in Funktionspezifikation nach Temperatur und Luftfeuchte festlegen. Allerdings ist hier die Schwierigkeit, zu wissen was voraussehbare Fehlbedienung sein kann.




moeins schrieb:


> - Die Simatic F-CPUs haben eine Laufzeit von 10Jahren, was ist danach? Wer tauscht sie aus?
> Es ist nicht die Regel das vorrauschauend Teile getauscht werden.


Im Wartungshandbuch vermerken


moeins schrieb:


> - Wie siehts mit den Hydraulikelementen aus? Wo bekomme ich dort eine zuverlässige Rückmeldung? Wo ist die Selbstüberwachung?


Was schlagen die Richtlinien aktuell vor?



moeins schrieb:


> - Wenn ich die Elektrik 2-Kanalig ausführe muss ich das mit der Hydraulik auch tun, nur wer bezahlt den Aufwand?


Moment, nicht alle Aktoren fallen in der Regel darunter. Eine gute Analyse tut hier absolut Not.



moeins schrieb:


> Keine Frage das man sich Gedanken über die Sicherheit machen sollte, aber dann muss ich ein System schaffen das einfach zu händeln ist und nicht stundenlanges Suchen in Tabellen und Berechnen von MTTF-Werten erfordert...


Das Problem ist halt, dass es im Zweifelsfall dokumentarisch bzw. nachvollziehbar gemacht werden muss - und da reicht nicht "Ich denke, dass das sicher ist"  
Trotzdem ein schwieriges Kapitel...


----------



## moeins (8 Juli 2008)

kiestumpe schrieb:


> Erstmal möcht ich vorrausschicken, dass es mir
> 
> Beim V-Modell steht sowas bereits im Lastenheft, daher dieses Vorgehen.


Ich glaube einem Produktionsleiter schert es herzlich wenig was mal im Lastenheft stand, der will seine Produktionszahlen erreichen und nimmt sicherlich keine Rücksicht auf irgendwelche festgelegten Maschinenzyklen.




> Das Wartungsbuch kann weitere Hinweise enthalten, oder den Hinweis, dass dies nur durch entsprechende Service-Fachkräfte ausgeüfhrt werden darf.


Ich kenne das so, das diese Handbücher in irgendwelchen Archiven der Bereichs/Produktionsleiter verschwinden und der Vorarbeiter froh ist wenn die Maschine ohne nennenswerte Stilllstandszeiten durchläuft. Deshalb wird auch meistens das Bauteil eingebaut, was gerade im Lager verfügbar ist.

Man darf auch eine Maschine nicht durch die ganzen Sicherheitsfunktionen unbedienbar machen. Was letztendlich zählt ist das der Betrieb die Stückzahlen/Zeiteinheit schafft. Sonst wandert er komplett Richtung Osten/Niedriglohnländer.
Mitarbeiter werden ja hinsichtlich der Gefahren geschult und sich sich dessen bewußt.


----------



## kiestumpe (8 Juli 2008)

Das mag zwar alles zutreffen, liegt jedoch in der Verantwortung des Betreibers und nicht des Herstellers. Das muss man generell unterscheiden.


----------



## istat_gb (15 Juli 2009)

Hallo,

ich interesiere mich auhc stark für dieses Thema.


Soweit ich bisher informiert bin kann ich kiestumpe nur zustimmen! Wir schreiben beispielsweise auch in unseren Dokus, dass die Bauteile nur durch Identische ersetzt werden dürfen (Daher auch die E-V-Listen). Für die Verwendung von anderen Bauteilen (das gilt auhc für die bestimmungsgemäße Verwendung: Stückzahlen, Schichtbetrieb und all dies wird darin festgehalten)...

Wenn die Bedienungsanleitung dann nicht gelesen wird kann der Hersteller nichts dafür!


----------

