Die Sicherheitstechnik gewinnt weiter an Bedeutung, wobei der Normenwandel den technologischen Fortschritt widerspiegelt und auf ein gestiegenes Verantwortungsbewusstsein trifft. Rexroth treibt als einer der Pioniere die Entwicklung in der Sicherheitstechnik mit voran. Die Ingenieure des Unternehmens entwickelten beispielsweise früh zertifizierte und integrierte Sicherheitsfunktionen in elektrischen Antrieben oder Sicherheitsschaltungen für die Hydraulik. Das Unternehmen bietet heute durchgängig funktionale Sicherheit in allen Automationsebenen und Technologien. Daraus resultieren Produkte von der Komponente bis zu Systemlösungen einschließlich Software. Als Ansprechpartner für sichere hydraulische, elektrische und pneumatische Automationslösungen bietet das Unternehmen Maschinenherstellern und Endkunden zuverlässige Lösungen auf dem neuesten Stand der Sicherheitstechnik.

Performance Level komplexer Maschinen

Während bei einfachen Maschinen mit einer geringen Anzahl von Komponenten die Bestimmung des Performance Levels keine Probleme bereitet, ist die Aufgabe bei komplexen Maschinen meist aufwendiger. Als komplex sind diejenigen Maschinen anzusehen, auf die folgende Aspekte zutreffen:

· Einsatz einer große Anzahl von Komponenten,

· Verwendung unterschiedlicher Technologien wie Hydraulik, Pneumatik oder Elektrik,

· überlagerte Gefährdungen, d.h. mehrere gefahrbringende Bewegungen an einem Standort oder

· überlagerte Gefährdungen unterschied- lichen Risikopotenzials z.B. pneumatische Greifzange am Roboter.

Diese erschweren zum einen die Ermittlung des resultierenden PL, zum anderen ist in manchen Fällen der erforderliche PL gar nicht erreichbar. Deshalb ist es wichtig, für die Betrachtung der Sicherheitsfunktionen nur die Komponenten heranzuziehen, die auch einen unmittelbaren Beitrag zur Funktionalen Sicherheit leisten. Damit kommt der Analyse der Sicherheitsfunktion eine besondere Bedeutung zu.

Zusammenfassung zu Subsystemen

Maschinen haben oft mehrere Not-Halt-Geräte oder Zugangsbereiche. Es wäre an dieser Stelle falsch, alle Not-Halt-Funktionen oder Schutztürüberwachungen einer Sicherheitsfunktion zuzuordnen. Vielmehr muss jeder Not-Halt und jede Schutztür unabhängig voneinander wirken und somit als eine eigene Sicherheitsfunktion betrachtet werden. Das reduziert die Anzahl der zu beachtenden sicherheitsrelevanten Komponenten erheblich. Gleiches gilt für die Aktoren. Nach der reinen Lehre müssen die Versagenswahrscheinlichkeiten aller Aktoren in einem Gefahrenbereich addiert werden. Der durch das Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA) und dem Fachausschuss Maschinenbau, Fertigungssysteme, Stahlbau (FA MFS) erarbeitete Kompromiss schlägt in diesem Fall vor: Überlagerte Bewegungen entsprechend den Maschinenteilen sowie Risiken mit unterschiedlichen PL-Anforderungen sind als separate Sicherheitsfunktionen zu betrachten. Dies entspricht zwar nicht dem mathematischen Modell, trägt aber der Erfahrung aus der Praxis Rechnung.

Um die Komplexität der Modellierung in Griff zu bekommen, sollte eine geschickte Zusammenfassung der verschiedenen Komponenten in Subsysteme erfolgen. Da es lediglich um eine Aussage zur Versagenswahrscheinlichkeit geht, ist die Reihenfolge der Komponenten belanglos. Damit ist es möglich, sich vom tatsächlichen Verdrahtungs-, Verrohrungs-, bzw. Verschlauchungsplan zu lösen und die Komponenten entsprechend ihrer Struktur nach Kategorien zu sortieren und zusammenzufassen. Sind z.B. beim Stillsetzen einer Bewegung elektrische, pneuma- tische oder hydraulische Aktoren gleichermaßen betroffen, ist eine getrennte Betrachtung der Aktorik nach Hydraulik, Pneumatik oder Elektrik zu empfehlen.

Addition der PFHd-Werte

Bei der Bestimmung des erreichten PL sieht die ISO 13849-1 lediglich ein „vereinfachtes Verfahren" vor, das allerdings bei mehr als drei Subsystemen an seine Grenzen stößt. Analog zur EN 62061 ist es deshalb ratsam, den erreichten PL über die Addition der PFHd-Werte (Probability of dangerous Failure per Hour) der einzelnen Subsysteme zu ermitteln. Die Bestimmung des PL bzw. des zugehörigen PFHd-Wertes jedes einzelnen Subsystems erfolgt gemäß ISO 13849-1 über den Zusammenhang aus MTTFd (Mean Time To Failure), DC (Diagnostic Coverage) und Kategorie. Bei vorgefertigten, zertifizierten Geräten stellt der Hersteller in aller Regel PL und PFHd-Wert bereit. Addiert man alle PFHd-Werte ergibt sich ein maximal möglicher PL Wert, der nicht automatisch dem tatsächlichen entspricht. Neben der Ausfallwahrscheinlichkeit müssen auch qualitative Anforderungen berücksichtigt werden. Sind diese in einem Subsystem nur für einen bestimmten PL erfüllt, so begrenzt dieser als schwächstes Glied den tatsächlich erreichbaren, auch wenn die Ausfallwahrscheinlichkeit für einen deutlich bessern PL sprechen würde.

Fehlerausschluss bei einkanaliger Mechanik

Auch bei der Ermittlung der erforderlichen Parameter wie MTTFd, DC und Kategorie gilt es, die eine oder andere Herausforderung zu meistern. Insbesondere bei der Verwendung von elektromechanischen Komponenten wie Schutzendschaltern zur Überwachung der Türposition oder auch Zustimmtastern sind bei der Modellierung des Blockschaltbildes genaue Kenntnisse über die Geräte erforderlich. Während solche Schalter hinsichtlich der elektrischen Elemente in der Regel mehrkanalig aufgebaut sind, ist dies bei den mechanischen Elementen nicht immer eindeutig erkennbar. Im Fall einer einkanaligen Mechanik muss ein Fehlerausschluss getroffen werden, um von der Mehrkanaligkeit der elektrischen Kontakte profitieren zu können. Hierzu benötigt der Anwender in der Regel Hinweise des Geräteherstellers.

Anforderungen an Kategorie-2-Systeme

Eine weitere Herausforderung sind die Anforderungen an Kategorie-2-Systeme, also einkanalige Systeme, die durch eine Testeinrichtung überwacht werden. Während die Anforderung, dass die Zuverlässigkeit der Testeinrichtung mindestens der Hälfte der Zuverlässigkeit des eigentlichen Funktionskanals entsprechen muss, in der Regel keine Probleme darstellt, kann die Anforderung bezüglich der Testrate bei elektromechanischen Systemen oft nur schwer erfüllt werden. Eine durch Endschalter überwachte Schutztür müsste demnach hundertmal pro Stunde für Testzwecke geöffnet werden, wenn der Bediener einmal pro Stunde in die Maschine eingreifen muss. Das ist zum einen prozesstechnisch nicht möglich, zum anderen wäre ein übermäßiger Verschleiß der Schalter die Folge. Es gibt zwar die Möglichkeit, in solchen Fällen nicht auf die Vereinfachungen der ISO 13849-1 zurückzugreifen, sondern eine eigene Analyse der Ausfallwahrscheinlichkeiten durchzuführen. Allerdings ist dies für die meisten Maschinenhersteller nicht praktikabel. Aus diesem Grund werden elektromechanische Elemente wohl eher in einer Kategorie-3-Struktur genutzt werden.

Fehleraufdeckung sorgfältig prüfen

Bauelemente der Sicherheitsketten dürfen prinzipiell auch ausfallen. Die Mehrzahl der Ausfälle muss jedoch durch entsprechende Testeinrichtungen entsprechend rechtzeitig erkannt werden. Diese Eigenschaft wird als Diagnostic Coverage (DC) beschrieben. Jeder Performance Level erfordert eine minimale Fehleraufdeckung. Streng genommen muss zur Ermittlung des DC eine FMEA (Failure Mode and Effects Analysis) durchgeführt werden. Um die Norm jedoch praxistaug- licher zu machen, enthält sie typische DC-Werte für bestimmte Maßnahmen. Dennoch ist vom Anwender zu prüfen, ob die Bedingungen dafür erfüllt werden, was nicht immer einfach ist. Insbesondere bei Verwendung von programmierbaren Steuerungen, die nicht als sicherheitsrelevante Bauteile entwickelt wurden, sind die Maßnahmen kaum umsetzbar. Ebenfalls ist zu beachten, dass eine entsprechende Fehleraufdeckung nur bei richtiger Einbindung in das Steuerungssystem erreicht werden kann. Die Testeinrichtung zur Fehleraufdeckung beeinflusst durch ihre Güte ebenfalls den erreichbaren DC. Auch wenn dies in der Norm nicht ausdrücklich gefordert ist, sollte insbesondere bei hohen Fehleraufdeckungsraten die Güte der Testeinrichtung bewertet bzw. auf einer eigens entwickelten sicherheitsgerichteten Steuerung implementiert werden.

Auch komplexe Sicherheit lässt sich also meistern. Neben der Beachtung einiger zentraler Punkte kommt es insbesondere auf eine strukturierte Analyse der geplanten Anlage, eine differenzierte Betrachtung aller Sicherheitsfunktionen sowie eine geschickte Modellierung der Steuerung an. Entscheidend bei der Umsetzung der Anforderungen aus der Normen-Theorie in die Praxis ist auch eine ingenieurmäßige Vorgehensweise. Zuguterletzt stellt die Einbindung der Hersteller sicherheitstechnischer Geräte bei der Anlagenkonstruktion eine bedeutende Option dar.

DER AUTOR Dipl.-Ing. Jochen Ost ist Produktmanager Safety Controls bei der Bosch Rexroth AG in Lohr am Main ( www.boschrexroth.com )