Eine solche Situation stellt eine typische Herausforderung bei der Sicherstellung der elektromagnetischen Verträglichkeit (EMV) dar und sie wird in der Regel durch die entsprechende Festlegung von Maßnahmen bearbeitet.

Der Nachweis der notwendigen Störfestigkeit erfolgt in der Regel durch standardisierte EMV-Störfestigkeitstests; in diesem Zusammenhang werden Bewertungskriterien eingeführt, die das Verhalten von Geräten im Fall einer Beaufschlagung mit elektromagnetischen Störungen charakterisieren. Das jeweils anzuwendende Bewertungskriterium hängt von der elektromagnetischen Umgebung ab, für die das Gerät vorgesehen ist, sowie von dem elektromagnetischen Phänomen, das auf das Gerät einwirkt.

Die Festlegung der Störfestigkeitspegel sowie der Bewertungskriterien berücksichtigt neben den technischen Anforderungen auch wirtschaftliche Randbedingungen. Daraus kann letztlich die Tatsache resultieren, dass Beeinflussungen nicht vollständig und nicht für alle Installationen vermieden werden. Denn die Festlegung unter wirtschaftlichen Aspekten – und damit ist u.a. auch der volkswirtschaftliche Aspekt gemeint – bedeutet in der Tat, dass Pegel und Bewertungskriterien so festgelegt werden, dass mit einer vernünftigerweise vertretbaren geringen Anzahl von Fällen noch Beeinflussungssituationen in Kauf zu nehmen sind, die dann individuell bearbeitet werden müssen.

Dieser Ansatz zielt vorwiegend auf eine ausreichende und zufriedenstellende Verfügbarkeit und stellt somit einen Aspekt der Produktqualität dar. Dieser Ansatz stellt jedoch nicht sicher, dass das betrachtete Gerät in jedem Fall in seiner beabsichtigten Betriebsart arbeitet, beispielsweise dann nicht, wenn der Pegel der einwirkenden Störung den Störfestigkeitswert überschreitet oder falls eine bestimmte Störgröße zu einem Verlust der Funktionalität führt (was z.B. im Fall des Bewertungskriteriums C nach den Anforderungen der Fachgrundnormen erlaubt ist).

Der zunehmende Einsatz von elektrischen und elektronischen Betriebsmitteln für Systeme, bei denen eine Beeinträchtigung der Funktion zu sicherheitskritischen Zuständen führen kann (wie Transporttechnik oder Prozessindustrie), muss jedoch zu einem Überdenken dieses Ansatzes führen. Denn, wann immer ein elektronisches Gerät eine Anwendung, einen Prozess oder ein System steuert und dieses im Fall einer Beeinflussung den Betreiber oder sonstige Personen einem höheren Risiko aussetzt, dann ist die Zuverlässigkeit des steuernden Geräts nicht nur ein Aspekt der Verfügbarkeit. Sie wird vielmehr ein Aspekt der Sicherheit, der unter dem Begriff der „funktionalen Sicherheit“ beschrieben wird.

Notwendigerweise ergibt sich damit die Forderung, für sicherheitsbezogene Systeme und für darin eingesetzte Geräte eine Sicherheitsanalyse durchzuführen. Diese sollte alle relevanten Faktoren, wie klimatische oder mechanische berücksichtigen, aber auch solche, wie sie durch das Vorhandensein elektromagnetischer Phänomene auftreten können. Denn elektromagnetische Phänomene sind mittlerweile nahezu überall vorhanden, bilden diese ja letztlich unsere elektromagnetische Umwelt. Allerdings sei angemerkt, dass ein solches systematisches, die Sicherheitsaspekte betreffendes Vorgehen auch nur auf sicherheitsbezogene Systeme und darin eingesetzte Geräte angewandt werden sollte, und nicht grundsätzlich auf alle elektrischen/elektronischen Betriebsmittel.

Die in der Vergangenheit getrennt vorgenommene Betrachtung von Aspekten der EMV einerseits und denjenigen der funktionalen Sicherheit auf der anderen Seite, spiegelt sich auch in den Normungsaktivitäten wider. Beide Aspekte hatten ihre eigene „Welt“ von Normen, die teilweise sogar in verschiedenen Normungsorganisationen erarbeitet wurden. Im vorliegenden Beitrag wird schwerpunktmäßig die Situation in der Normungsorganisation IEC (International Electrotechnical Commission) betrachtet.

Das Gebiet der funktionalen Sicherheit selbst ist ausführlich in der Normenreihe DIN EN 61508 behandelt. Die einzelnen Teile befassen sich mit allgemeinen, grundsätzlichen Anforderungen, mit Anforderungen bezüglich der Hardware und Software, und einige informative Teile geben Beispiele und Anleitungen zum Gebrauch der normativ anzuwendenden Teile. Da die Sicherheit von sicherheitsbezogenen Systemen sich nicht auf eine oder mehrere spezielle Phasen der Gesamtlebensdauer beschränkt, beschreibt und betrachtet die Reihe DIN EN 61508 die gesamte Lebensdauer eines sicherheitsbezogenen Systems und seiner Geräte.

Sicherheitsfunktionen werden mehr und mehr von elektrischen, elektronischen oder programmierbaren elektronischen (E/E/PE) Systemen übernommen. Solche Systeme sind in der Regel komplex, und dadurch ist es nahezu unmöglich, alle potenziellen Fehlerarten oder Betriebszustände zu definieren, geschweige denn zu prüfen. Die besondere Herausforderung bei der Entwicklung solcher Systeme liegt daher darin, sie so zu entwerfen, dass entweder keine gefahrbringenden Ausfälle auftreten, oder dass diese entsprechend beherrscht werden.

Solche gefahrbringenden Ausfälle können die Folgen von zufälligen Hardware-Fehlern, von systematischen Hardware-Fehlern, von Software-Fehlern, menschlicher Fehlbedienung oder von Umgebungseinflüssen sein. Bezüglich letzterer verlangt DIN EN 61508 bereits eine ausreichende Störfestigkeit (siehe IEC 61000-1-1) zur Erzielung der elektromagnetischen Verträglichkeit unter Berücksichtigung sowohl der jeweils vorhandenen elektromagnetischen Umgebung (siehe IEC 61000-2-5) als auch der geforderten Sicherheitsintegritätslevel.

Das Gebiet der EMV ist hinsichtlich der Normung in CISPR-Dokumenten einerseits und in der IEC-Normenreihe IEC 61000-X-Y behandelt, mit der Klassifizierung in Grund- und Fachgrundnormen sowie in Dokumente, die sich mit grundsätzlichen EMV-Aspekten bzw. mit Maßnahmen und Installationshinweisen beschäftigen. Darüber hinaus existiert eine Vielzahl von Produkt- oder Produktfamiliennormen, die EMV-Anforderungen beinhalten. Der Zusammenhang zwischen den verschiedenen Typen von Normungsdokumenten ist im IEC Guide 107 ausführlich beschrieben.

Herausforderungen in der Normung zum Themenbereich EMV und funktionale Sicherheit

Es existiert mittlerweile eine große Anzahl von EMV-Normen, die sich mit den Themen der Störaussendung, der Störfestigkeit sowie mit Aspekten der elektromagnetischen Umgebung oder Test- und Messverfahren befassen. Auf der anderen Seite gibt es Normen, die das Thema der funktionalen Sicherheit grundsätzlich angehen, wie beispielsweise die Reihe DIN EN 61508.

Eine Behandlung der Thematik funktionaler Sicherheit bezüglich des Einwirkens elektromagnetischer Phänomene verlangt jedoch eine kombinierte Betrachtung beider Bereiche. Dies stellt sich allerdings als eine schwierige und problematische Aufgabe dar, da unterschiedliche Ansätze, Philosophien und Vorgehensweisen berücksichtigt und miteinander in Einklang gebracht werden müssen. Die Herausforderungen bestehen im Einzelnen aus den folgenden:

In seiner grundsätzlichen Bedeutung stellt der Aspekt der funktionalen Sicherheit denjenigen innerhalb des Gesamtbilds Sicherheit dar, der sich mit der korrekten Funktion eines sicherheitsbezogenen Systems befasst. Damit betrifft dieser Aspekt eher die Eigenschaften auf Systemebene (die eine Sicherheitssituation kennzeichnenden Parameter wie die Sicherheitsintegrität beziehen sich auf ein System) und nicht so sehr diejenigen auf Geräteebene, obwohl die Systemanforderungen in der ein oder anderen Art auf die Geräteebene übertragen werden müssen.

Auf der anderen Seite werden die EMV-Grundnormen zur Störfestigkeit in erster Linie dazu benutzt, um Geräte hinsichtlich ihrer EMV-Eigenschaften zu qualifizieren, und damit beschreiben sie eher die Eigenschaften auf Geräteebene. Daraus ergibt sich als direkte Konsequenz die Aufgabe, von Sicherheitsanforderungen ein sicherheitsbezogenes System betreffend auf Störfestigkeitsanforderungen für Geräte, die ein solches System aufbauen, zu schließen.

Ein weiterer Aspekt betrifft die elektromagnetische Umgebung, in der ein sicherheitsbezogenes System betrieben werden soll. Bezüglich der zu erreichenden Störfestigkeit stellt die elektromagnetische Umgebung wohl den problematischsten Faktor dar, da sie sich letztlich aus der Summe aller möglichen elektromagnetischen Phänomene zusammensetzt, die am geplanten Aufstellungsort auftreten und auf das sicherheitsbezogene System bzw. seine Geräte einwirken können. Eine solche elektromagnetische Umgebung kann nur bis zu einem bestimmten Grad standardisiert werden, und wenn, dann eher in einer generischen Art, beispielsweise durch eine Beschreibung mittels einer Umgebungsklassifikation.

Jeder spezifischere Ansatz, um geeignete Störfestigkeitsanforderungen zu definieren, erfordert die Berücksichtigung weiterer Phänomene (im Vergleich zu denen, wie sie in den Fachgrundnormen IEC 61000-6-1 und IEC 61000-6-2 aufgeführt sind). In diesem Zusammenhang sei auf das Dokument IEC 61000-2-5 verwiesen, das eine detaillierte Aufstellung aller elektromagnetischen Phänomene mit ihren relevanten Parametern enthält.

Die Kombination beider Aspekte, d.h. der Ableitung von Gerätestörfestigkeitsanforderungen auf der Basis der jeweiligen elektromagnetischen Umgebung führt zu einer „besseren“ Störfestigkeit von Geräten, die in sicherheitsbezogenen Systemen eingesetzt werden. Um die Störfestigkeit zu verbessern, können verschiedene Wege beschritten werden: so kann „besser“ beispielsweise bedeuten, dass die einzelnen Geräte eine höhere Störfestigkeit besitzen und/oder für sie ein modifiziertes Bewertungskriterium bei einer möglichen Reaktion auf Beaufschlagung mit Prüfstörgrößen angewandt wird.

In diesem Zusammenhang sei explizit erwähnt, dass erhöhte Störfestigkeit nicht notwendigerweise bedeutet, dass ein Gerät in keinem Fall beeinflusst wird. Denn die grundsätzliche Anforderung an ein sicherheitsbezogenes System besteht darin, einen sicheren Zustand zu bewahren bzw. einzuleiten. Damit ist es zulässig, dass Geräte beeinflusst werden, wenn eine Beeinflussung in der Art erfolgt, dass das sicherheitsbezogene System einen solchen sicheren Zustand bewahrt bzw. ihn einleitet.

Eine weitere Herausforderung besteht in der quantitativen Festlegung der Störfestigkeitspegel für Geräte, die zum Einsatz in einem sicherheitsbezogenen System geplant sind. Ein Großteil der Schwierigkeiten resultiert daraus, dass die Wahrscheinlichkeiten hinsichtlich des Auftretens eines elektromagnetischen Phänomens sowie diejenigen, die mit den Parametern des Phänomens assoziiert sind, nicht mit den Wahrscheinlichkeiten korreliert werden können, die für gefahrbringende Ausfälle mittels des Sicherheitsintegritätslevels spezifiziert sind.

Normungsdokumente in den Gebieten der EMV und der funktionalen Sicherheit

Wie in den meisten technischen Gebieten sollte auch in dem Bereich EMV und funktionale Sicherheit ein gemeinsames Verständnis und eine abgestimmte Vorgehensweise vorhanden sein, die beide eine Anleitung liefern, wie funktionale Sicherheit bezüglich des Einflusses elektromagnetischer Phänomene zu erreichen ist. Eine solche abgestimmte Vorgehensweise beschränkt sich in erster Linie auf die Festlegung grundsätzlicher Prozesse und Prozeduren, die in internationalen Normungsdokumenten niedergelegt sein sollten.

Solche Prozesse und Prozeduren betreffen die Methodik zur Erreichung und Sicherstellung der funktionalen Sicherheit, die Beschreibung von Sicherheitsparametern, wie Sicherheitsintegritätslevel (SIL), die Störfestigkeitsanforderungen für sicherheitsbezogene Systeme und darin eingesetzte Geräte, die Situation der gesamten Lebensdauer eines sicherheitsbezogenen Systems.

In vielen Fällen jedoch, und trotz des Vorliegens solcher Normungsdokumente, wird ein individuelles, spezifisches „Sicherheitsmanagement“ notwendig sein, das selbst jedoch durchaus wieder auf den allgemeinen Prozessen und Prozeduren, wie sie in den Normungsdokumenten beschrieben sind, basieren wird.

Obwohl sicherheitsbezogene Systeme in der Regel individuelle, spezifische Installationen sind, dürften sie normalerweise aus mehr oder weniger standardisierten Geräten bzw. Komponenten aufgebaut sein, d.h. aus solchen Geräten, die zur Verwendung in sicherheitsbezogenen Systemen bestimmt sind. Damit stellt sich die Frage nach einer allgemein akzeptierten Spezifikation solcher Geräte, wie sie beispielsweise in Produkt-/Produktfamiliennormen enthalten ist.

Dies bedeutet aber nicht notwendigerweise, dass solche derart spezifizierten Geräte in beliebigen sicherheitsbezogenen Systemen verwendet werden können; sondern es ist jeweils zu überprüfen, ob eine solche Spezifikation auch den Einsatzbedingungen, d.h. der jeweiligen elektromagnetischen Umgebung, entspricht.

Normalerweise werden solche Spezifikationen in der Art erarbeitet und festgelegt, dass damit eine relativ große Anzahl an typischen Installationen oder Einsatzfällen abgedeckt werden kann. Allerdings können dann durchaus Anwendungsfälle vorhanden sein, in denen strengere Anforderungen als die in einer solchen allgemeinen Spezifikation definierten an die einzelnen Geräte zu stellen sind.

Dann sind die Störfestigkeitseigenschaften der für die Installation vorgesehenen Geräte zu verbessern, entweder durch eine Erhöhung der Gerätestörfestigkeit selbst oder durch die Anwendung entsprechender Maßnahmen auf Systemebene, bzw. durch eine Kombination beider Maßnahmen.

Entsprechend dieser Überlegungen wird eine Reihe von Normungsdokumenten unterschiedlichsten Typs benötigt, damit das Verfahren zur Sicherstellung der funktionalen Sicherheit relativ standardisiert durchgeführt wird. Dabei wird der Begriff Normungsdokumente im allgemeinen Sinne verwendet, d.h. er bezeichnet internationale Normen sowie technische Spezifikationen. Im Detail besteht das System der Normungsdokumente zum Thema funktionaler Sicherheit aus folgenden Bausteinen:

• Grundnormen („Basic Standards“ oder „Basic publications“)
• Produkt- bzw. Produktfamiliennormen
• Anwendungs- bzw. Sektornormen
  

Abbildung 1 zeigt eine grafische Veranschaulichung des Zusammenhangs zwischen den verschiedenen Normungsdokumenten EMV und funktionale Sicherheit betreffend. Die folgende Tabelle liefert einen Überblick der aktuell veröffentlichten Normungsdokumente im Detail.

Abb. 1: Zusammenhang zwischen Normungsdokumenten zum Thema EMV und funktionale Sicherheit

Normungsdokumente zum Thema EMV und funktionale Sicherheit

Es sei angemerkt, dass einige der in Tabelle 1 aufgeführten Dokumente in europäische Normen (EN) übergeführt wurden. Das bedeutet aber nicht notwendigerweise, dass sie unter der EMV-Richtlinie gelistet sind oder gelistet werden; eine solche Listung ist nicht zu erwarten, da die EMV-Richtlinie Sicherheitsaspekte explizit ausklammert.

IEC 61000-1-2 stellt die Basispublikation zum Thema EMV und funktionale Sicherheit dar. Es handelt sich dabei um den Publikationstyp einer technischen Spezifikation und dieses Dokument befasst sich mit der allgemeinen Methodik zum Erreichen der funktionalen Sicherheit im Hinblick auf elektromagnetische Phänomene. Eine erste Ausgabe wurde bereits im Jahr 2001 veröffentlicht. Aufgrund der notwendigen Berücksichtigung der in der Reihe DIN EN 61508 beschriebenen Vorgehensweise war eine Überarbeitung von IEC 61000-1-2 notwendig, was in der Veröffentlichung der zweiten Ausgabe im Jahr 2008 resultierte.

Ausgangsbasis für die Entwicklung eines sicherheitsrelevanten Systems und die Verknüpfung zur EMV-Thematik stellt die „Safety Requirements Specification“ (Sicherheitsanforderungsspezifikation) dar, in der alle Funktionen mit ihren Sicherheitseigenschaften sowie die zugehörigen Umgebungsbedingungen festgelegt sind. Diese Festlegungen resultieren aus einer anwendungsbezogenen Gefährdungs- und Risikoanalyse, mit deren Hilfe die sicherheitsrelevanten Funktionen bestimmt werden, der jeweils notwendige SIL gewählt wird und die Umgebungsbedingungen einschließlich der EMV-Anforderungen festgeschrieben werden. Analyse und Spezifikation sind Aufgabe der für das sicherheitsbezogene System verantwortlichen Planer. Der System-/Gerätehersteller muss die Spezifikation erfüllen und mit entsprechenden Methoden an seinen Produkten nachweisen.

Für die korrekte Funktion eines sicherheitsbezogenen Systems ist es äußerst wichtig, dass elektromagnetische Störgrößen (als Teil der am Betriebsort herrschenden elektromagnetischen Umgebung) zu keinen gefahrbringenden Beeinflussungen des Systems führen. Dabei sind abhängig von den Charakteristika dieser elektromagnetischen Umgebung mehr oder weniger unterschiedliche Typen von elektromagnetischen Phänomenen zu berücksichtigen.

Dies bedeutet in einem ersten Schritt, dass eine entsprechende Störfestigkeit über den Entwurf eines sicherheitsbezogenen Systems implementiert werden muss. Die technische Spezifikation IEC 61000-1-2 wird dieser Forderung durch die Beschreibung einer Methodik gerecht, wie funktionale Sicherheit von elektrischen oder elektronischen Geräten, Systemen oder Installationen bezüglich der Einwirkung elektromagnetischer Phänomene erreicht werden kann.

Das Dokument gibt Informationen und Anleitungen zu

• Verfahrensweisen für die Ermittlung und Festlegung von EMV-Anforderungen unter Berücksichtigung der jeweiligen elektromagnetischen Umgebung,
• Prozeduren hinsichtlich einer systematischen Erfassung aller EMV-relevanten Aspekte mithilfe einer „EMV-Sicherheitsplanung“, 
• Design-/Entwurfsaspekten einschließlich Installationsaspekten auf Geräteebene, 
• Empfehlungen zur Validierung und Verifizierung der Einhaltung von Anforderungen, 
• Aspekten, die im Rahmen von Geräteprüfungen (d.h. Art von Prüfungen, ggf. Modifizierung von Standardprüfaufbauten usw.) in Betracht zu ziehen sind, Dokumentation.
  

Im Allgemeinen sind sicherheitsbezogene Systeme räumlich relativ ausgedehnt, bzw. stellen große Installationen dar, sodass ihre Störfestigkeit nicht über standardisierte Störfestigkeitsprüfungen nachgewiesen werden kann. In den meisten Fällen sind die Komponenten/Geräte eines solchen Systems relativ kompakt, sodass zumindest auf Geräteebene ein standardisierter Störfestigkeitsnachweis erbracht werden kann.

Gerätehersteller müssen nachweisen, dass ihre Geräte eine geforderte Spezifikation einhalten, wobei der Nachweis über die Anwendung geeigneter Verfahren erfolgt, z.B. durch Prüfungen. In der Regel betrachten sie nicht Aspekte auf Anwendungs- oder Systemebene (da diese ihnen in der Regel nicht bekannt sind), z.B. Risiken der Anwendung aufgrund von Ausfällen eines sicherheitsbezogenen Systems. Allerdings sollte Zielstellung für alle Geräte in einem solchen System sein, dass sie mit definierten Bewertungskriterien, die die Belange der funktionalen Sicherheit berücksichtigen und die in der Sicherheitsanforderungsspezifikation formuliert sind, übereinstimmen.

Beispiele für Produkt-, bzw. Produktfamiliennormen wurden in der jüngsten Vergangenheit von einer Arbeitsgruppe des Unterkomitees IEC SC 65A (das die Pilotfunktion innerhalb der IEC zur Thematik funktionaler Sicherheit besitzt) erarbeitet. Diese Normen (DIN EN 61326-3-1 und DIN EN 61326-3-2) führen Störfestigkeitsanforderungen für Geräte auf, die zur Verwendung in sicherheitsbezogenen Systemen vorgesehen sind, wobei der Schwerpunkt auf Geräten aus dem Spektrum der Mess-, Steuer- und Regeltechnik liegt. Den beiden Normen liegen jeweils unterschiedliche Ansätze zugrunde, wie aus der jeweils berücksichtigten elektromagnetischen Umgebung auf entsprechende Störfestigkeitsanforderungen geschlossen werden kann:

„(A) Die Berücksichtigung einer „allgemeinen“ elektromagnetischen Umgebung – allgemein für eine Umgebungsklasse – ohne spezielle Einschränkungen, beispielsweise einer typischen industriellen Umgebung (wie sie im Detail in der Norm DIN EN 61326-3-1 beschrieben ist) – und das Inbetrachtziehen aller elektromagnetischen Phänomene, die dort auftreten können, zusammen mit ihren maximal zu erwartenden Pegeln bei der Festlegung von Störfestigkeitspegeln für Geräte als Komponenten eines dort installierten sicherheitsbezogenen Systems.

Maximale Amplituden bedeutet in diesem Zusammenhang technisch gerechtfertigte und begründete (denn es sind immer Situationen vorstellbar, in denen die angenommenen Pegel durch spezielle Besonderheiten einer spezifischen Installation überschritten werden können). Dieser Ansatz bedeutet, dass für einige elektromagnetische Phänomene im Vergleich zu den Fachgrundnormen (DIN EN 61000-6-2) modifizierte Störfestigkeitspegel notwendig sind. Es sei jedoch betont, dass dieser Ansatz in erster Linie nur auf eine Gerätespezifikation Einfluss hat; es ist letztlich Aufgabe des für ein sicherheitsgerichtetes System Verantwortlichen zu entscheiden, ob die derart spezifizierten Geräte in einem jeweils konkreten Projekt auch verwendet werden können.

(B) Die Beherrschung der elektromagnetischen Umgebung, in der Geräte eines sicherheitsbezogenen Systems arbeiten sollen, beispielsweise durch die Vorgabe und Anwendung spezieller Installations- und EMV-Maßnahmen. Das bedeutet, dass elektromagnetische Phänomene dahin gehend „gesteuert“ werden, dass sie nur kontrolliert, beispielsweise hinsichtlich der Amplituden, auftreten. Die erforderliche Störfestigkeit muss in solchen Fällen nicht notwendigerweise höher sein als für eine Situation ohne Sicherheitserwägungen, da ja sichergestellt ist, dass keine höheren Störpegel auftreten als diejenigen, die bereits für normale, d.h. nicht sicherheitsbezogene Anwendungen berücksichtigt sind.“

Ein für den Entwurf eines sicherheitsbezogenen Systems Verantwortlicher sollte einem standardisierten und allgemein akzeptiertem Verfahren folgen, wenn Aspekte der funktionalen Sicherheit bestimmte Anwendungen betreffen, beispielsweise Anwendungen aus dem Bereich der Prozessindustrie oder von Maschinen. Solche Verfahren sind in Anwendungs- bzw. Sektornormen beschrieben, wie beispielsweise in den Normen IEC 62061 (für Maschinen) oder IEC 61511-2 (für Prozessindustrie). Diese Normen behandeln die Anforderungen bezüglich der funktionalen Sicherheit in allen relevanten Aspekten, wobei der Aspekt der elektromagnetischen Verträglichkeit
nur einer davon ist.

Eine elektromagnetische Umgebung mit all ihren verschiedenen Erscheinungsformen von elektromagnetischen Störgrößen sollte die Sicherheitsfunktionen eines sicherheitsbezogenen Systems nicht in gefährlicher Weise beeinflussen. Das bedeutet, dass ein solches System eine ausreichende Störfestigkeit gegenüber den am Aufstellungsort zu erwartenden Störgrößen besitzt. Im Zusammenhang mit solchen geeigneten Störfestigkeitspegeln ist auch die Einführung von Aspekten der funktionalen Sicherheit berücksichtigenden Bewertungskriterien zu betonen.

Ein sicherheitsbezogenes System dürfte in vielen Fällen aus einer komplexen und räumlich ausgedehnten Installation bestehen und kann darüber hinaus auch in unterschiedlichen physikalischen Konfigurationen aufgebaut sein. Eine Störfestigkeitsprüfung solcher Systeme kann daher in den meisten Fällen kaum normgerecht entsprechend der üblichen EMV-Grundnormen durchgeführt werden. Damit werden solche Störfestigkeitsprüfungen eher auf Geräteebene anwendbar sein bzw. lediglich für räumlich kleine Systeme.

In den meisten Fällen wird der Nachweis einer geforderten Störfestigkeit auf Geräteebene über die Anwendung von standardisierten Prüfverfahren erbracht, beispielsweise durch Prüfverfahren, wie sie in der Normenreihe IEC 61000-4-X beschrieben sind. Störfestigkeitsprüfungen für „normale“ Gerätefunktionen, d.h. solche, die nicht sicherheitsgerichtet sind, berücksichtigen Prüfschärfegrade, Bewertungskriterien, Überwachung des Prüflings während des Tests sowie Aspekte der Wiederholbarkeit. Solche Prüfungen dienen in erster Linie dem Ziel, die Zuverlässigkeit eines Prüflings zu bewerten, wenn er elektromagnetischen Störgrößen ausgesetzt ist.

Die Prüflingsüberwachung erfolgt in den meisten Fällen in einer relativ qualitativen Weise, d.h. es wird bewertet, ob eine elektromagnetische Störgröße eine Prüflingsreaktion verursacht (und nicht so sehr, wie diese Prüflingsreaktion im Detail aussieht). Ein vergleichbarer Ansatz kann für Geräte mit Sicherheitsfunktionen bezüglich anzuwendender Bewertungskriterien beschritten werden.

Allerdings ist zu unterscheiden zwischen Bewertungskriterien, die für das sicherheitsbezogene System als Ganzes gelten, und solchen, die für die einzelnen Geräte des sicherheitsbezogenen Systems anwendbar sind.

Im Fall des kompletten sicherheitsbezogenen Systems kann die Wirkung einer elektromagnetischen Störgröße hinsichtlich des resultierenden Zustands relativ einfach bewertet werden: ob diese zu einem gefahrbringendem Ausfall führt oder nicht. Im Fall der möglichen Beeinflussung eines Geräts (als einer Komponente eines sicherheitsbezogenen Systems) lässt sich nicht notwendigerweise die Aussage hinsichtlich eines gefahrbringenden Ausfalls treffen, da ja das System als Ganzes geeignet auf den Ausfall einer Komponente reagieren könnte.

Auf Geräteebene führt dies dann lediglich zu einem Bewertungskriterium, das darin besteht, dass ein Gerät bei Beaufschlagung mit einer elektromagnetischen Störgröße in einer bestimmten und feststellbaren Art und Weise reagiert. Diese Reaktionsarten, sowohl auf System als auch auf Geräteebene, sind in einem speziellen Bewertungskriterium „FS“ beschrieben und zusammengefasst (siehe IEC 61000-1-2).

Die Notwendigkeit, das Verhalten von Geräten mit Sicherheitsfunktionen entsprechend der Kriterien „spezifizierte, bestimmte und feststellbare“ Reaktion zu bewerten, kann eine komplizierte und ausgeklügelte Prüflingsüberwachung während Störfestigkeitstests notwendig machen. Im Gegensatz zu den „normalen“ Bewertungskriterien A, B, C oder D sollte das Bewertungskriterium FS keinen Raum für eine offene Interpretation lassen. In vielen Fällen werden daher spezielle Hilfseinrichtungen notwendig sein, um in eindeutiger Weise die korrekte Funktion, bzw. deren Erhaltung oder Abweichung, zu beobachten.

Auf der anderen Seite muss dann sichergestellt sein, dass solche Hilfseinrichtungen selbst nicht beeinflusst werden bzw. den Prüfling während der Störbeaufschlagung beeinflussen. Solche Randbedingungen führen letztlich zu der Forderung, dass im Fall der Prüfung von sicherheitsbezogenen Systemen oder hierin verwendeten Geräten spezielle Überlegungen durchgeführt werden. Diese betreffen im Besonderen:

• das Prüfprogramm
• die Durchführung der Prüfungen und
• die Betriebszustände eines Geräts/Systems während der Prüfdurchführung

Solche Überlegungen sollten auch die Situation berücksichtigen, wenn sicherheitsbezogene Systeme für Anwendungen mit einem höheren Sicherheitsintegritätslevel als SIL 1 geplant sind.
Der Einfluss und die Wirkung einiger elektromagnetischer Phänomene, gegenüber denen eine ausreichende Störfestigkeit zu erzielen ist, ist mit dem momentanen Betriebszustand eines Prüflings oftmals nur in statistischer Weise korreliert, so z.B. der zeitliche Augenblick eines Störimpulses mit dem momentanen Betriebszustand eines digitalen Schaltkreises oder einer digitalen Signalübertragungsstrecke.

Damit kann ein digitales Gerät durchaus eine zeitlich veränderliche Störfestigkeit aufweisen, d.h. es gibt Zeitpunkte mit höherer Empfindlichkeit und solche mit relativ niedrigerer. Damit das Vertrauen in die Glaubwürdigkeit von Prüfergebnissen erhöht wird, kann es daher notwendig sein, Störfestigkeitsprüfungen mit einer größeren Anzahl von Impulsen (im Vergleich zu der in den Grundnormen vorgegebenen Anzahl) durchzuführen. Das kann beispielsweise durch längere Prüfdauern oder durch häufigeres Beaufschlagen mit Impulsen bewerkstelligt werden.

Weiterhin dürfte eine detaillierte und sorgfältige Auswertung bzw. Bewertung der Reaktionen eines Prüflings notwendig sein, wenn dieser elektromagnetischen Störgrößen ausgesetzt ist. In diesem Zusammenhang sind auch weitere Fragestellungen zu behandeln, wie beispielsweise:

Angenommen, ein Prüfling reagiert bei Beaufschlagung mit einer elektromagnetischen Störgröße in der erwarteten Weise – wie ist dies zu bewerten? Soll die Prüfung wiederholt werden, um nachzuweisen, dass die Prüflingsreaktion jeweils in der erwarteten Weise erfolgt? Sollte die Prüfung in der Art fortgesetzt werden, dass ein weiterer Typ von Störgröße beaufschlagt wird, um sicherzustellen, dass auch dann die Prüflingsreaktion in der erwarteten Weise erfolgt?

Zusammenfassung und Ausblick

EMV und funktionale Sicherheit können nicht länger als zwei voneinander unabhängige Disziplinen angesehen werden, sobald elektrische und/oder elektronische Systeme betrachtet werden, die Sicherheitsfunktionen ausführen. Eine solche Trennung macht weder im technischen noch im normativen Bereich Sinn und es kann der auf dem EMV-Gebiet üblicherweise verwendete Ansatz, Störfestigkeitspegel auf der Basis einer gewünschten Verfügbarkeit unter Einbeziehung wirtschaftlicher Aspekte zu definieren, nicht weiter verfolgt werden.

Ein geeigneter, die Anforderungen beider Disziplinen berücksichtigender Ansatz besteht beispielsweise in der Einführung erhöhter Störfestigkeitspegel zusammen mit einem speziellen Bewertungskriterium, bezeichnet als Bewertungskriterium FS.

Da in Zukunft davon auszugehen ist, dass Sicherheitsfunktionen vermehrt von elektrischen und elektronischen Betriebsmitteln wahrgenommen werden, ist auch mit der Zunahme entsprechender Normungsaktivitäten und daraus resultierenden Normen zu rechnen.

Wie aus Tabelle 1 zu sehen ist, existieren bereits einige Produkt-/Produktfamiliennormen bzw. Anwendungs-/Sektornormen. Diese basieren teilweise auf der Methodik, wie sie im Basisdokument IEC 61000-1-2 bezüglich der funktionalen Sicherheit vorgeschlagen wird.

Aufgrund der Tatsache allerdings, dass die Normen von unterschiedlichen Gremien mit unterschiedlichen Zielsetzungen zu unterschiedlichen Zeiten erarbeitet wurden bzw. werden, ist die Situation entstanden, dass unterschiedliche Anforderungen in den verschiedenen Normen spezifiziert sind, obwohl oftmals die gleiche elektromagnetische Umgebung angenommen wird. Das bedeutet, dass für Geräte, die in der gleichen Umgebung eingesetzt werden, aber von verschiedenen Arbeitsgruppen bewertet werden, unterschiedliche elektromagnetische Anforderungen z.B. hinsichtlich der geforderten Störfestigkeit resultieren. Damit besteht die Gefahr, dass eine „unkoordinierte“ Festlegung von Anforderungen bereits erfolgt ist bzw. erfolgen wird.

Um dieser unerwünschten Situation vorzubeugen, wurde zu Beginn des Jahres 2010 bei der IEC der Vorschlag für ein neues Projekt (77/380/NP) eingereicht mit dem ins Deutsche übersetzten Titel: „IEC 61000-6-7: Elektromagnetische Verträglichkeit – Fachgrundnorm – Störfestigkeitsanforderungen für sicherheitsbezogene Systeme und für Geräte, die Sicherheitsfunktionen ausführen, in industriellen Umgebungen“. Das Projekt wurde auf internationaler Ebene mittlerweile positiv gestimmt und wird von einer Arbeitsgruppe des technischen Komitees IEC TC 77 bearbeitet (TC 77 MT 15).

Ziel dieser neuen Norm soll sein, dass eine orientierende Basis für zukünftige Produkt-/Produktfamiliennormen geschaffen wird, vergleichbar mit der Situation für „normale“ (d.h. nicht sicherheitsbezogenen) Produktnormen, die sich an den Fachgrundnormen IEC 61000-6-1 oder IEC 61000-6-2 orientieren sollen.

Autor: Bernd Jäkel