789iee1118_Anlaufbild_F_Press_Brodbeck_IMG_9768_cold1_2017_08

Gerätediagnose ermöglicht theoretisch definierte Restlaufzeiten von Safety-Geräten auch nach einem Erstfehler. (Bild: Pilz)

| von Klaus Stark, Rolf Schumacher, Frank Bauder

Auf die Schnelle

Das Wesentliche in 20 Sek.

  • Abschalten im Fehlerfall drückt auf die Anlageneffizienz
  • Sicherheitsnormen ermöglichen Restlaufzeiten
  • Gerätediagnose von Safety-Geräten lässt Restlaufzeiten in der Praxis zu
  • Sicherer Betrieb auch nach Erstfehler während definierter Restlaufzeiten machbar
  • Die Erkennung tolerierbarer Fehler setzt wiederum intelligente Geräte voraus

Für Geräte und Systeme der funktionalen Sicherheit gibt es aktuell neue Ansätze, um deren Verfügbarkeit im Hinblick auf die Umsetzung von Industrie 4.0 und Smart Factory zu erhöhen – und das ohne ein erhöhtes Restrisiko für den Bediener.

Evolution der funktionalen Sicherheit

Moderne Geräte und Systeme der funktionalen Sicherheit helfen im Maschinen- und Anlagenbau die grundsätzlichen Anforderungen gemäß der Maschinenrichtlinie (2006/42/EG) abzudecken. Ausgangspunkt ist die Risikoanalyse und -einschätzung basierend auf der EN ISO 12100. Aus der Risikobeurteilung lassen sich die risikomindernden Maßnahmen in den einzelnen Disziplinen konstruktiv-technisch-organisatorisch ableiten. Der Prozess der Risikobeurteilung erfolgt iterativ, das heißt, er muss so lange wiederholt werden, bis eine ausreichende Minderung auf ein akzeptables Restrisiko nachgewiesen ist.

Kommen technische Schutzmaßnahmen zum Einsatz, legen die Hersteller diese nach EN ISO 13849-1 und/oder der EN IEC 62061 aus und geben in der technischen Dokumentation Hinweise zum Aufbau der Geräte, der sicherheitstechnischen Zuverlässigkeit und der bestimmungsgemäßen Verwendung.

Geräte und Systeme der funktionalen Sicherheit werden heute so ausgelegt, dass ihr sicherer Zustand der Zustand der Energiefreiheit ist. Das heißt: Alle gefährlichen Bewegungen werden gestoppt. Diese Vorgehensweise hat ihre Wurzeln in der traditionellen Gestaltung von Relais- beziehungsweise Schützkombinationen. Charakteristisch für diese Schaltungen ist, dass komplexe Sicherheitsfunktionen nur mit erheblichem Aufwand möglich sind, Diagnose innerhalb der Schaltung nur schwierig möglich und abgestufte Reaktionen auf Ausfälle oder Fehler (fast) nicht möglich sind.

Deswegen wurde bei einem Ausfall oder einem Fehler in dieser Technologie traditionell immer mit dem Herstellen des energiefreien Zustands darauf reagiert.

Dogma Energietrennung im Fehlerfall nicht mehr zeitgemäß

Das ‚Dogma‘ der Energietrennung ist im Zuge der Einführung von Industrie 4.0 in der Smart Factory nicht mehr zeitgemäß, denn Maschinen tauschen heute Daten zu aktuellen Produktionsdaten oder zum Wartungszustand untereinander aus. Sie fordern vorbeugend eine Wartung an oder melden sich selbstständig, wenn Produktionsparameter ‚aus dem Ruder‘ laufen oder wenn sich der Ausfall einer Komponente in der Maschine ankündigt.

Der logische nächste Schritt ist, diesen smarten Ansatz auch auf die Sicherheitstechnik anzuwenden: Geräte und Systeme der funktionalen Sicherheit schalten im Fehlerfall nicht mehr einfach ab. Stattdessen melden sie sich rechtzeitig – und bleiben noch für eine ‚sicherheitstechnisch vertretbare Zeit‘ weiter im Betrieb. Dieser Schritt soll ermöglichen, auch im Fehlerfall einen Produktionsprozess abzuschließen, ohne dass Schaden am Produkt selber oder an einem Werkzeug durch das harte Abschalten entsteht. Natürlich darf dieser Schritt nicht zu einem Verlust an Sicherheit führen, also einer Erhöhung des Restrisikos auf Basis EN ISO 12100. Selbstverständlich müssen diese Maßnahmen im Einklang mit den Anforderungen aus den relevanten Normen EN ISO 13849-1 und EN IEC 62061 erfolgen.

789iee1118_Bild2_IMG_6020-beschnitten

Die Normen untersagen es nicht explizit, Sicherheitskomponenten mit integrierter Selbstdiagnose und Überwachung trotz eines Fehlers für eine zu definierende Zeit weiter zu betreiben. Pilz

Safety Maintenance – das sagen die Normen

EN ISO 13849-1, wie auch die Vorgängerversion EN 954-1 enthalten keinen Hinweis, dass im Fehlerfall das Abschalten beziehungsweise die Herstellung des energiefreien Zustandes die ‚einzig richtige Reaktion‘ ist. Vielmehr lassen die Normen bei einer zweikanaligen Struktur der Kategorie 3 oder Kategorie 4 eine Fehlererkennung und daraus resultierende Reaktion auf einen ersten Fehler zu, wenn die Sicherheitsfunktion angefordert wird. Somit sind im Anwendungsbereich der EN ISO 13849-1 Zeitspannen möglich, in der ein Weiterbetrieb der Maschine bis zur nächsten Anforderung der Sicherheitsfunktion toleriert wird. Von Nachteil ist, dass ein möglicher Fehler der Sicherheitskomponente weder erkannt, noch klassifiziert wird und dass Geräte infolge dessen auch nicht entsprechend reagieren können. Somit verbessert sich die eingangs beschriebene Situation – Verringerung ungeplanter Maschinenstillstände – nicht: Nach Anforderung der Sicherheitsfunktion oder dem nächsten internen Gerätetest geht das Gerät als Reaktion auf den Fehler in den sicheren, energiefreien Zustand.

An dieser Stelle setzt die Arbeitsgruppe im Technischen Ausschuss Sicherheitstechnik im ZVEI an. Deren Ziel ist, die Anforderungen an einen sicheren und kontrollierten Weiterbetrieb eines Geräts zu beschreiben. Die oberste Prämisse bleibt dabei bestehen: Ein weiterer Betrieb ist nach einem Fehler nur dann zulässig, wenn zu keiner Zeit ein erhöhtes Restrisiko für den Bediener der Maschine vorliegt. Weiterhin werden alle Anforderungen aus den relevanten Normen wie der EN ISO 13849-1 oder EN IEC 62061 berücksichtigt.

In der Grafik auf Seite 93 wird der qualitative Verlauf des Risikos über die Zeit dargestellt. Das ursprünglich vorhandene Risiko R0 wird zum Zeitpunkt tSF durch eine Sicherheitsfunktion (SF) auf das tolerierbare Restrisiko Rrest abgesenkt. Das Restrisiko Rrest ist zu jedem Zeitpunkt kleiner als das maximal in dieser Situation erlaubte Grenzrisiko RGrenz. Tritt zum Zeitpunkt tf ein Fehler in der Sicherheitsfunktion auf, dann ist für die Zeitspanne Δtdeg der Weiterbetrieb zulässig, weil bis zum Zeitpunkt tgrenz das Grenzrisiko nicht erreicht wird, obwohl das Risiko in diesem Zeitraum natürlich steigt. Hieraus ergeben sich folgende Zusammenhänge:

  • der Zeitraum Δtdeg muss viel kleiner sein, als die vorgesehene Lebensdauer des Geräts,
  • wird das Grenzrisiko innerhalb von Δtdeg erreicht, etwa durch einen weiteren Fehler innerhalb der Anwendung, dann ist der sichere, also energiefreie Zustand einzunehmen.

Dieser Ansatz ist neben den normativen Vorgaben, die Basis für die Definition von fehlertoleranten Systemen in der funktionalen Sicherheit im Maschinen- und Anlagenbau.

789iee1118_Bild1_

Qualitativer Verlauf des Risikos: Auch bei einem Weiterbetrieb muss das Grenzrisiko immer unterschritten bleiben. Pilz

Fehlertolerante Systeme: Ohne Bewertung keine Toleranz

Obwohl ein potenziell gefährlicher Ausfall erkannt wurde, können fehlertolerante Systeme einen Weiterbetrieb ermöglichen. Bei einem fehlertoleranten System ist neben der Fehlererkennung zusätzlich eine Fehlerbewertung erforderlich. Damit kann entschieden werden, ob der erkannte Fehler toleriert werden kann oder so schwerwiegend ist, dass ein sofortiges Stillsetzen unabdingbar ist.

Als ein Beispiel aus dem Alltag kennen wir Autoreifen mit sogenannten Notlaufeigenschaften. Unter bestimmten Betriebsbedingungen – maximale Geschwindigkeit und Strecke – kann man damit noch den Weg bis zur nächsten Werkstatt zurücklegen. Der Fahrer entscheidet, ob das Weiterfahren überhaupt möglich ist und sorgt für die Einhaltung der Bedingungen für den Notlauf. Bei Eintritt eines weiteren Fehlers entscheidet der Fahrer, ob sofort sicher angehalten werden muss.

Eine solche Fehlerbewertung ist in der Fabrikautomatisierung in derzeit implementierten Geräten und Systemen der funktionalen Sicherheit nicht üblich. Ohne Fehlerbewertung ist eine Fehlertoleranz nicht möglich. Eine Anwendung und Akzeptanz in der Praxis erfordert aber eine eindeutige Klassifizierung von Fehlern und ihrer möglichen Auswirkungen. Hierbei muss der Aspekt der Sicherheit immer im Vordergrund stehen, um nicht durch eine leichtfertige Anwendung das Prinzip der Fehlertolerierung in Frage zu stellen.

Dies setzt genaue Kenntnisse über das Verhalten des Systems voraus. Nur dann ist eine eindeutige Eingruppierung der auftretenden Fehler in ‚kritisch‘ und ‚tolerierbar‘ möglich.

Im Beispiel Reifen mit Notlaufeigenschaften übernimmt das der Fahrer des Autos. In der Fabrikautomatisierung wird das ein Gerät oder System zum Zeitpunkt des Fehlereintritts tf selbstständig entscheiden müssen. Hieraus ergibt sich, dass eine Entscheidungsfindung zur abgestuften Fehlerreaktion nur in Geräten oder Systemen mit entsprechender Intelligenz möglich ist. Der Entwickler und auch der Anwender eines fehlertoleranten Geräts oder Systems haben hierbei noch zusätzlich die Länge des Zeitraums Δtdeg für den Weiterbetrieb festzulegen und gegebenenfalls zusätzliche Maßnahmen zur Risikominderung vorzugeben, die dann Teil der Benutzerinformation werden. Die Arbeitsgruppe arbeitet und beschreibt derzeit die Anwendungen von fehlertoleranten Geräten und Systemen in der funktionalen Sicherheit an Maschinen und Anlagen. Dies richtet sich in erster Linie an Maschinenbauer und Systemintegratoren, die für die Maschinensteuerung Sicherheitsfunktionen und Subsysteme entwerfen und umsetzen. Zusätzlich können diese Informationen ebenfalls für die Gestaltung von sicherheitsgerichteten Geräten und Systemen in der Produktentwicklung herangezogen werden. Die Vorgehensweise und die zu erfüllenden Anforderungen werden 2019 in einem Whitepaper durch den ZVEI veröffentlicht. Die bisherigen Ergebnisse hierzu stellt die Arbeitsgruppe auf der kommenden Messe SPS IPC Drives in Nürnberg im Rahmen des ZVEI Forums vor.

SPS IPC Drives 2018: Halle 6, Stand 146

Klaus Stark

ist Vorsitzender des ZVEI Technischen Ausschusses Sicherheitssysteme in der Automation (TASI) und Senior Manager Innovationsmanagement bei der Firma Pilz in Ostfildern.

Rolf Schumacher

ist Vorsitzender der AG „Degradierter Betrieb – Notlaufeigenschaften“ und Senior Safety Consultant bei Sick.

Frank Bauder

ist Teammitglied des TASI und der AG Schnittstellen und Head of Competence Center Services bei Leuze Electronic in Owen/Teck.

(sk)

Kostenlose Registrierung

Newsletter
Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

*) Pflichtfeld

Sie sind bereits registriert?