Auf die Schnelle

Das Wesentliche in 20 Sek.

  • Abschalten im Fehlerfall drückt auf die Anlageneffizienz
  • Sicherheitsnormen ermöglichen Restlaufzeiten
  • Gerätediagnose von Safety-Geräten lässt Restlaufzeiten in der Praxis zu
  • Sicherer Betrieb auch nach Erstfehler während definierter Restlaufzeiten machbar
  • Die Erkennung tolerierbarer Fehler setzt wiederum intelligente Geräte voraus
Gerätediagnose ermöglicht theoretisch definierte Restlaufzeiten von Safety-Geräten auch nach einem Erstfehler.

Gerätediagnose ermöglicht theoretisch definierte Restlaufzeiten von Safety-Geräten auch nach einem Erstfehler. Pilz

Für Geräte und Systeme der funktionalen Sicherheit gibt es aktuell neue Ansätze, um deren Verfügbarkeit im Hinblick auf die Umsetzung von Industrie 4.0 und Smart Factory zu erhöhen – und das ohne ein erhöhtes Restrisiko für den Bediener.

Evolution der funktionalen Sicherheit

Moderne Geräte und Systeme der funktionalen Sicherheit helfen im Maschinen- und Anlagenbau die grundsätzlichen Anforderungen gemäß der Maschinenrichtlinie (2006/42/EG) abzudecken. Ausgangspunkt ist die Risikoanalyse und -einschätzung basierend auf der EN ISO 12100. Aus der Risikobeurteilung lassen sich die risikomindernden Maßnahmen in den einzelnen Disziplinen konstruktiv-technisch-organisatorisch ableiten. Der Prozess der Risikobeurteilung erfolgt iterativ, das heißt, er muss so lange wiederholt werden, bis eine ausreichende Minderung auf ein akzeptables Restrisiko nachgewiesen ist.

Kommen technische Schutzmaßnahmen zum Einsatz, legen die Hersteller diese nach EN ISO 13849-1 und/oder der EN IEC 62061 aus und geben in der technischen Dokumentation Hinweise zum Aufbau der Geräte, der sicherheitstechnischen Zuverlässigkeit und der bestimmungsgemäßen Verwendung.

Geräte und Systeme der funktionalen Sicherheit werden heute so ausgelegt, dass ihr sicherer Zustand der Zustand der Energiefreiheit ist. Das heißt: Alle gefährlichen Bewegungen werden gestoppt. Diese Vorgehensweise hat ihre Wurzeln in der traditionellen Gestaltung von Relais- beziehungsweise Schützkombinationen. Charakteristisch für diese Schaltungen ist, dass komplexe Sicherheitsfunktionen nur mit erheblichem Aufwand möglich sind, Diagnose innerhalb der Schaltung nur schwierig möglich und abgestufte Reaktionen auf Ausfälle oder Fehler (fast) nicht möglich sind.

Deswegen wurde bei einem Ausfall oder einem Fehler in dieser Technologie traditionell immer mit dem Herstellen des energiefreien Zustands darauf reagiert.

Dogma Energietrennung im Fehlerfall nicht mehr zeitgemäß

Das ‚Dogma‘ der Energietrennung ist im Zuge der Einführung von Industrie 4.0 in der Smart Factory nicht mehr zeitgemäß, denn Maschinen tauschen heute Daten zu aktuellen Produktionsdaten oder zum Wartungszustand untereinander aus. Sie fordern vorbeugend eine Wartung an oder melden sich selbstständig, wenn Produktionsparameter ‚aus dem Ruder‘ laufen oder wenn sich der Ausfall einer Komponente in der Maschine ankündigt.

Der logische nächste Schritt ist, diesen smarten Ansatz auch auf die Sicherheitstechnik anzuwenden: Geräte und Systeme der funktionalen Sicherheit schalten im Fehlerfall nicht mehr einfach ab. Stattdessen melden sie sich rechtzeitig – und bleiben noch für eine ‚sicherheitstechnisch vertretbare Zeit‘ weiter im Betrieb. Dieser Schritt soll ermöglichen, auch im Fehlerfall einen Produktionsprozess abzuschließen, ohne dass Schaden am Produkt selber oder an einem Werkzeug durch das harte Abschalten entsteht. Natürlich darf dieser Schritt nicht zu einem Verlust an Sicherheit führen, also einer Erhöhung des Restrisikos auf Basis EN ISO 12100. Selbstverständlich müssen diese Maßnahmen im Einklang mit den Anforderungen aus den relevanten Normen EN ISO 13849-1 und EN IEC 62061 erfolgen.

Die Normen untersagen es nicht explizit, Sicherheitskomponenten mit integrierter Selbstdiagnose und Überwachung trotz eines Fehlers für eine zu definierende Zeit weiter zu betreiben.

Die Normen untersagen es nicht explizit, Sicherheitskomponenten mit integrierter Selbstdiagnose und Überwachung trotz eines Fehlers für eine zu definierende Zeit weiter zu betreiben. Pilz

Safety Maintenance – das sagen die Normen

EN ISO 13849-1, wie auch die Vorgängerversion EN 954-1 enthalten keinen Hinweis, dass im Fehlerfall das Abschalten beziehungsweise die Herstellung des energiefreien Zustandes die ‚einzig richtige Reaktion‘ ist. Vielmehr lassen die Normen bei einer zweikanaligen Struktur der Kategorie 3 oder Kategorie 4 eine Fehlererkennung und daraus resultierende Reaktion auf einen ersten Fehler zu, wenn die Sicherheitsfunktion angefordert wird. Somit sind im Anwendungsbereich der EN ISO 13849-1 Zeitspannen möglich, in der ein Weiterbetrieb der Maschine bis zur nächsten Anforderung der Sicherheitsfunktion toleriert wird. Von Nachteil ist, dass ein möglicher Fehler der Sicherheitskomponente weder erkannt, noch klassifiziert wird und dass Geräte infolge dessen auch nicht entsprechend reagieren können. Somit verbessert sich die eingangs beschriebene Situation – Verringerung ungeplanter Maschinenstillstände – nicht: Nach Anforderung der Sicherheitsfunktion oder dem nächsten internen Gerätetest geht das Gerät als Reaktion auf den Fehler in den sicheren, energiefreien Zustand.

An dieser Stelle setzt die Arbeitsgruppe im Technischen Ausschuss Sicherheitstechnik im ZVEI an. Deren Ziel ist, die Anforderungen an einen sicheren und kontrollierten Weiterbetrieb eines Geräts zu beschreiben. Die oberste Prämisse bleibt dabei bestehen: Ein weiterer Betrieb ist nach einem Fehler nur dann zulässig, wenn zu keiner Zeit ein erhöhtes Restrisiko für den Bediener der Maschine vorliegt. Weiterhin werden alle Anforderungen aus den relevanten Normen wie der EN ISO 13849-1 oder EN IEC 62061 berücksichtigt.

In der Grafik auf Seite 93 wird der qualitative Verlauf des Risikos über die Zeit dargestellt. Das ursprünglich vorhandene Risiko R0 wird zum Zeitpunkt tSF durch eine Sicherheitsfunktion (SF) auf das tolerierbare Restrisiko Rrest abgesenkt. Das Restrisiko Rrest ist zu jedem Zeitpunkt kleiner als das maximal in dieser Situation erlaubte Grenzrisiko RGrenz. Tritt zum Zeitpunkt tf ein Fehler in der Sicherheitsfunktion auf, dann ist für die Zeitspanne Δtdeg der Weiterbetrieb zulässig, weil bis zum Zeitpunkt tgrenz das Grenzrisiko nicht erreicht wird, obwohl das Risiko in diesem Zeitraum natürlich steigt. Hieraus ergeben sich folgende Zusammenhänge:

  • der Zeitraum Δtdeg muss viel kleiner sein, als die vorgesehene Lebensdauer des Geräts,
  • wird das Grenzrisiko innerhalb von Δtdeg erreicht, etwa durch einen weiteren Fehler innerhalb der Anwendung, dann ist der sichere, also energiefreie Zustand einzunehmen.

Dieser Ansatz ist neben den normativen Vorgaben, die Basis für die Definition von fehlertoleranten Systemen in der funktionalen Sicherheit im Maschinen- und Anlagenbau.

Seite 1 von 212