Funktionale Sicherheit aus Sicht der Maschinensicherheit

In den letzten Jahren hat sich die elektrische Sensorik stark weiterentwickelt. Durch diese immensen Fortschritte wurde es möglich, Gefahrensituationen beispielsweise an Maschinen und Anlagen zu erkennen und diese abzustellen, bevor Unfälle geschehen. Dabei gibt es viele verschiedene Ansätze, welche abhängig vom erkannten Risiko und dem generellen Arbeitsumfeld eingesetzt werden können.

Oftmals ist es produktionstechnisch nicht möglich, eine drehende Maschine so einzuhausen, dass die sich bewegenden Teile für den Bediener unerreichbar sind. In diesem Fall kann man heute durch Schutzsysteme wie Lichtvorhänge eine unabsichtlich in den Gefahrenbereich eingebrachte Hand erkennen und die Bewegung stoppen, bevor diese die Gefahrenstelle erreicht. Auch in grösseren Anlagen, beispielsweise bei befeuerten Druckgeräten zur Erzeugung von Heisswasser oder Dampf, überwachen Sensoren laufend den Betrieb und schalten das System ab, bevor ein unsicherer Betriebszustand erreicht werden kann.

Elementar wichtig für die Auslegung solcher Funktionen ist eine umfangreiche Risikoanalyse des Gerätes/Objektes, welche schon während der Planung beginnen sollte. Denn oftmals lassen sich gerade bei Maschinen in frühen Entwicklungsstadien erkannte Gefahrenstellen und Risiken durch einfache und günstige gestalterische Mittel, wie die bereits oben erwähnte Einhausung, so weit reduzieren, dass keine nennenswerte Gefahr mehr davon ausgehen kann. Erst, wenn durch diese sogenannten konstruktiven Massnahmen ein Risiko nicht auf ein akzeptables Mass vermindert werden kann, müssen Sicherheitsfunktionen zum Einsatz kommen.

Bildergalerie

Dabei handelt es sich vereinfacht um eine dreiteilige Schaltung, welche aus einem Eingangssignal (meist einem Sensor), einer Logik sowie einem ausführenden Element besteht. Um bei den eingangs genutzten Beispielen zu bleiben: Wird einer der Lichtstrahlen des Lichtgitters unterbrochen, wird dies der Logik weitergemeldet, welche darin einen Eingriff in den Gefahrenbereich erkennt und beispielsweise die am Motor eingebaute Stopp-­Funktion auslöst. Die Bewegung des Motors wird abrupt gestoppt und die Verletzungsgefahr für den Bediener ist nicht mehr vorhanden. Ähnlich funktioniert dies auch beim Druckgerät: Ein Druckschalter überwacht den Ausgangsdruck am Kessel permanent. Übersteigt dieser einen festgelegten Wert, wird ebenfalls ein Signal an die Logik übermittelt, welche den Brenner und damit die Energiezufuhr für das System abschaltet (das Ganze funktioniert verständlicherweise sehr viel träger als die vorher beschriebene Maschinensicherheitsfunktion).

Wird innerhalb der Risikoanalyse nun festgestellt, dass eine Sicherheitsfunktion benötigt wird, muss anhand eines in der entsprechenden europäischen Norm zu findenden Risikographen mittels verschiedener Parameter (meist zu erwartendes Schadensausmass, Vermeidungs- sowie Auftretenswahrscheinlichkeit des Schadens) ein zu erreichendes Niveau der Verlässlichkeit der Funktion festgelegt werden.

Die Risikoanalyse und die Auslegung der Sicherheitsfunktionen

Grundsätzlich steigt dieses mit zunehmenden Parametern an. Auf diesem Gebiet erfahrenen Lesern wird sicherlich noch die europäische Norm EN 954 «Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen» ein Begriff sein, bei welcher es sich um die Vorgängerversion der heute noch für den Maschinenbau gültigen Normenreihe EN ISO 13849 handelt. Darin wurden die in der Nachfolgernormenreihe (in etwas abgewandelter und detaillierterer Form) noch immer enthaltenen Kategorien von Sicherheitsfunktionen von B bis 4 festgelegt, welche mit zunehmendem Risiko umfangreicher werden: Sind die Kategorien B und 1 noch einkanalig, müssen Kategorie 2 teilweise und 3 sowie 4 gänzlich zweikanalig ausgeführt werden.

In der Norm EN 954 nicht detaillierter dargestellt wurden damals jedoch Anforderungen an die Bauteile selbst, was von verschiedenen Seiten immer wieder bemängelt wurde und schliesslich zu einer umfangreichen Überarbeitung und Erweiterung der Norm führte.

Die zwei Teile umfassende EN ISO 13849 «Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen», welche im Jahr 2007 deshalb die EN 954 ersetzte, enthielt neben dem bereits bekannten deterministischen Ansatz nun auch Anforderungen an die Zuverlässigkeit, die Fehlererkennung sowie die Vermeidung von Ausfällen aufgrund einer gemeinsamen Ursache (sowohl für die Gesamtschaltung als auch für die einzelnen Bauteile). Diese Faktoren ergeben am Ende das ausschlaggebende Element für die Einstufung: die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHd). Die erreichbaren Stufen der Sicherheitsfunktionen für Maschinen wurden ab diesem Zeitpunkt statt in Kategorien in Perfomance Level (PL) eingeteilt. Die siebenteilige Normenreihe EN IEC 61508, «Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme», welche bereits im Jahr 2002 als IEC-Norm erschien und vor allem in der Anlagensicherheit Anwendung findet (für den Maschinenbereich gibt es die darauf fussende etwas weniger umfangreiche EN IEC 62061), verwendet stattdessen den Begriff des Safety Integrity Level (SIL).

Oftmals kommt in Schulungen die Frage auf, weswegen im Bereich der funktionalen Sicherheit zwei ähnliche, jedoch im Kern unterschiedliche Betrachtungsweisen parallel existieren. Die Antwort darauf ist recht vielschichtig und kann abschliessend nicht gegeben werden; es wird daher im Folgenden eine kleine Annäherung versucht:

Schon beim Vergleich der Normentitel sowie Anwendungsbereiche ist auffällig, dass die EN IEC 61508 ausschliesslich von elektrischen/elektronischen Systemen spricht, während die EN ISO 13849 explizit auch hydraulische, pneumatische und mechanische Systeme einschliesst.

Dazu kommt, dass die eine Norm explizit für Maschinensicherheit geschrieben wurde und dort der grösste anzunehmende Unfall der Tod des Maschinenbedieners ist (siehe auch Abbildung 1), während man in grösseren prozesstechnischen Anlagen oder Kraftwerken mit einem sehr viel höheren Gefahrenpotenzial konfrontiert wird und so oftmals auch den Tod mehrerer oder im schlimmsten Fall sogar vieler Personen betrachten muss und Sicherheitsfunktionen oftmals jahrelang nicht gebraucht werden (sogenannter Low Demand Mode), während man im Maschinenbereich von Anforderungsraten für Sicherheitsfunktionen von deutlich öfter als einmal pro Jahr ausgeht (High Demand Mode). Daraus folgt, dass der Aufwand für den zwingend zu erbringenden rechnerischen Nachweis über das Erreichen des festgelegten Sicherheitslevels von Komponenten und den daraus aufgebauten Sicherheitsfunktionen bei prozesstechnischen Anlagen oder Kraftwerken um ein Vielfaches höher liegt als bei Maschinensicherheitsfunktionen – was sich natürlich auch im oben bereits erwähnten deutlichen Unterschied im Umfang der Normen (zweiteilig zu siebenteilig) niederschlägt.

Fazit

Prinzipiell bleibt festzuhalten, dass das Implementieren von funktionaler Sicherheit in Maschinen und Anlagen eines gewissenhaften und strukturierten Vorgehens bedarf. Im Zweifelsfall sollte man immer der Sicherheit den Vorzug gegenüber den vielleicht höheren Kosten geben. Für einen tieferen Einblick in die Materie empfehlen sich die Informationsveranstaltungen und Weiterbildungen des Swiss Safety Centers.

(ID:48202696)