Alles sicher!? Wie funktioniert Sicherheitstechnik
Oktober 2010
Ende 2009 trat mit der Maschinenrichtlinie der EU auch neue Sicherheitsanforderungen in Kraft. Wie funktioniert eigentlich deren Umsetzung bei der Konstruktion von Maschinensteuerungen? Ein Leitfaden.
Am 29. Dezember 2009 trat die neue Maschinenrichtlinie 2006/42/EG in Kraft und zuvor eine neue Norm zur funktionalen Sicherheit, die ISO 13849-1. Damit sind weltweit alle Hersteller, die ihre Maschinen im europäischen Wirtschaftsraum in Verkehr bringen, verpflichtet, entsprechende Sicherheitsanforderungen zu erfüllen.
Aufgrund der Komplexität der Methoden sind dabei vor allem kleine und mittlere Unternehmen auf Beratung angewiesen. Bei Maschinen hängt die Sicherheit von der korrekten Funktion der Steuerung ab.
Der Kennwert für die sicherheitstechnische Auslegung und Beurteilung von Steuerungen nach ISO 13849-1 ist der sogenannte Performance Level (PL). Mit den folgenden zehn Schritten kann der PL bei der Konstruktion der Steuerung effektiv umgesetzt werden.
1. Risikobeurteilung und Risikominderung
Um eine Risikobeurteilung nach ISO 14121 vorzunehmen, muss der Konstrukteur zunächst die Grenzen der Maschine festlegen, etwa ihre maximal zulässige Last. Im Anschluss identifiziert er die Gefahren, die auftreten können, wenn die Maschine innerhalb dieser Grenzen eingesetzt wird. Ergibt die Beurteilung, dass noch relevante Risiken bestehen, müssen Sicherheitsmaßnahmen ergriffen werden, die sie beseitigen oder mindern.
2. Identifikation der Sicherheitsfunktionen
Sind Maßnahmen zur Risikominderung zu ergreifen, gilt prinzipiell die Reihenfolge:
1. eigensichere Konstruktion
2. Schutzeinrichtungen
3. Benutzerinformationen
Hängt eine Maßnahme von einer Steuerung ab, so führt diese eine Sicherheitsfunktion aus, die nach ISO 13849 ausgelegt werden kann. Diese Norm betrachtet die Gestaltung und Integration sicherheitsbezogener Teile einer Steuerung, in Abgrenzung zur IEC 62061 ungeachtet der verwendeten Technologie. Daher muss der Konstrukteur alle Sicherheitsfunktionen einer Steuerung identifizieren.
3. Festlegung des erforderlichen Performance Levels
Für jede Sicherheitsfunktion legt der Konstrukteur die sicherheitstechnischen Anforderungen, den erforderlichen Performance Level (PLr), fest. Dazu werden drei Fragen hinsichtlich der Gefahren beantwortet:
-Wie schwer kann die Verletzung sein: leicht oder ernst?
-Wie oft oder wie lange ist eine Person der Gefahr ausgesetzt: selten und kurz oder häufig und lang?
-Kann man der Gefahr ausweichen: möglich oder nicht?
Anhand dieser Fragen lässt sich der PLr auf einer Skala von „a“ (geringes Risiko) bis „e“ (hohes Risiko) festlegen.
4. Wahl der Kategorie
Diesen PLr legt der Konstrukteur bei der Wahl der Systemarchitektur der Steuerung zugrunde. Den fünf verschiedenen Levels stehen fünf Steuerungskategorien gegenüber, die sich darin unterscheiden, ob sie ein- oder zweikanalig sind, mit oder ohne Überwachung ausgelegt wurden sowie unterschiedliche Zuverlässigkeitswerte und Robustheit gegen systematische Fehler aufweisen. Grundsätzlich bietet die ISO 13849-1 dem Konstrukteur mehr Freiheiten, den PL zu erreichen, stellt gleichzeitig aber auch eine neue Herausforderung dar, die jeweils wirtschaftlichste Lösung zu finden.
5. Modellierung der Schaltung
Nach der gewählten Kategorie entwirft der Konstrukteur eine entsprechende Schaltung. Deren Komponenten lassen sich nach ihrer Sicherheitsfunktion in einem Block-Diagramm modellieren. Dieses Diagramm legt fest, wie die einzelnen Komponenten in die Berechnung des PL eingehen. Insbesondere für den Designer von komplexen Systemen mit Fluidtechnik liegt hier eine völlig neue Aufgabe, für die Rexroth spezielle Unterstützung anbietet.
6. Auswahl geeigneter Komponenten
Neben der Struktur der Schaltung ist die Wahl der Komponenten wichtig, um den PLr zu erreichen. Ob eine Komponente geeignet ist, hängt von der Einhaltung der Sicherheitsprinzipien und ihrer Ausfallwahrscheinlichkeit ab. Je nach Technologie sind verschiedene Kennwerte durch den Lieferanten bereitzustellen, wie etwa MTTFd für hydraulische und B10 für pneumatische Komponenten sowie PL für elektronische Subsysteme. Dabei handelt es sich um statistische Erwartungswerte, die nicht überall gleich streng ermittelt werden. Deshalb ist ein gutes Vertrauensverhältnis zwischen Anwender und Lieferant wichtig, um kein Produkthaftungsrisiko bei nicht nachvollziehbaren Angaben einzugehen.
7. Bewertung der Steuerungsüberwachung
In den PL geht auch die Qualität der Überwachung der Steuerung ein. Das Maß dafür ist der Diagnose-Deckungsgrad (DC), der angibt, wie viel Prozent der auftretenden Fehler entdeckt werden können. Für die Beurteilung der Maßnahmen schlägt die ISO 13849 typische Werte vor. Verwendet man eine Komponente mit integrierter Selbstüberwachung, wie IndraDrive mit Safety on Board, oder ein Ventil mit Stellungsüberwachung, ist ein DC bis zu 99 % erreichbar. Bei der Wahl der effektivsten Maßnahmen kann Rexroth Unterstützung anbieten.
8. Bewertung der Robustheit der Steuerung
Bei zweikanaligen Steuerungen muss man bestimmte Anforderungen für die Robustheit gegen den sogenannten Common Cause Failure (CCF) beachten. CCF bezeichnet Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf gegenseitiger Ursache beruhen. Die Bewertung erfolgt anhand einer Tabelle von Maßnahmen gegen CCF, für die unterschiedliche Punktezahlen vergeben werden. Bei der Auswertung müssen mindestens 65 von 100 Punkten erreicht werden.
9. Prüfung der Sicherheitsprinzipien und Softwareanforderungen
Hier überprüft der Konstrukteur, ob Maßnahmen gegen systematische Ausfälle und das Verhalten bei Fehlern berücksichtigt wurden. Ebenso müssen die Anforderungen an Anwendungssoftware abgeglichen werden, falls eine spezifische Software erstellt wurde. Schließlich muss der Maschinenbauer prüfen, ob die relevanten, grundlegenden und bewährten Sicherheitsprinzipien, wie beispielsweise das Ruhestromprinzip, bei der Konstruktion umgesetzt wurden.
10. Verifizierung und Validierung
Im letzten Schritt wird das gesamte Steuerungskonzept beurteilt. Der Konstrukteur prüft, ob der tatsächliche PL dem erforderlichen PLr entspricht. Kunden von Rexroth können sich dabei auf technologieübergreifende Kompetenz verlassen, um das Zusammenspiel der verschiedenen Komponenten einer Steuerung sicherheitstechnisch zu optimieren.
Bei der Validierung prüft der Maschinenbauer schließlich nach ISO 13849-2, ob das Konzept tatsächlich auch so umgesetzt wurde.
Rexroth bietet funktionale Sicherheit auf allen Automationsebenen, bei allen Technologien und Produkten: von der Komponente bis zu Systemlösungen einschließlich Software. Dieses einzigartige Sicherheits-Know-how vermittelt Rexroth praxisnah in den speziellen Schulungsangeboten der Drive & Control Academy
Weitere Informationen:
www.boschrexroth.com/sicherheit
Kontakt zur Redaktion: