Eine Produktionsanlage muss heute nicht nur möglichst schnell und fehlerfrei ein Produkt herstellen können – sie muss dies auch ohne Gefährdung von Menschen und Umwelt tun! Zur Erfüllung der hierfür vom Gesetzgeber explizit vorgeschriebenen Anforderungen wurde bisher die Komplexität der Sicherheitssysteme auf ein Minimum reduziert und somit die Leistungsfähigkeit der Systeme begrenzt. Zudem haben Richtlinien und Normen zu einer starken Regulierung der Lösungen geführt.

Der Nachweis der Sicherheit basierte bis dato überwiegend auf qualitativen Aussagen. Neue Normen wie die DIN EN ISO 13849 und die DIN EN IEC 62061 ermöglichen mittlerweile auch den Einsatz komplexer mechatronischer Sicherheitssysteme. Der erforderliche Sicherheitsnachweis erfolgt hier zusätzlich zu den qualitativen Anforderungen auch quantitativ. Insbesondere dieser quantitative Nachweis stellt für den Maschinen- und Anlagenbauer eine Herausforderung dar. Die durch die DIN EN ISO 13849 gegebenen „Designated Architectures“ sind zur direkten und schnellen Anwendung bei individuellen Lösungen für den Anlagenbauer meist zu allgemein dargestellt und bieten dem Anwender nur unzureichende Unterstützung. Die DIN EN IEC 62061 geht ebenfalls nicht in der nötigen Tiefe auf weitere mögliche Architekturen und Lösungen ein. Zwar reduzieren derzeit am Markt verfügbare Sicherheitskomponenten den Aufwand für den Sicherheitsnachweis bereits deutlich und decken eine Vielzahl von Standard-Applikationen ab. In folgenden Punkten stoßen sie jedoch an Grenzen:

• Bei hohen Stückzahlen einer Anlage wirkt sich der höhere Preis dieser zusätzlichen Komponenten stärker aus. Eine individuell angepasste Lösung kann hier günstiger sein.
• Für Nischenanwendungen gibt es nicht immer entsprechende Komponenten am Markt, da sich die Entwicklung für die Komponentenhersteller nur bei entsprechender Nachfrage lohnt.

Das Projekt ZuverSicht – der Begriff steht für „Effiziente Erhöhung der Zuverlässigkeit in sicherheitskritischen Systemen der Mechatronik“ – hat es sich als Ziel gesetzt, diesen Herausforderungen mit entsprechenden Lösungskonzepten zu begegnen. Insbesondere der bisher äußerst aufwendige rechnerische Nachweis der projektierten Sicherheitsfunktionen soll hierdurch stark vereinfacht werden. Doch damit nicht genug: ZuverSicht hat darüber hinaus Aspekte der reinen Verfügbarkeit von Anlagen im Fokus, welche bisher in Sicherheitskonzepten keine ausreichende Berücksichtigung finden. Das Projektkonsortium setzt sich aus Experten der Sicherheitsbranche, aus Komponenten- und Systemherstellern sowie Prüf- und Forschungsinstituten zusammen:

Die Industriepartner Baumüller Anlagen-Systemtechnik, Festo, Pilz und SEW-Eurodrive bringen das benötigte Fachwissen ein und gewährleisten die Markt-Relevanz und -Akzeptanz des entwickelten Konzepts. Die wissenschaftliche Bearbeitung erfolgt durch den Lehrstuhl für Informationstechnik im Maschinenwesen der TU München. Das BGIA – Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung und der TÜV Süd Rail stellen schließlich die Zertifizierbarkeit der erarbeiteten Lösungen sicher.

Sicherheitsnachweis auf zwei Rollen

Das ZuverSicht-Konzept sieht eine Aufteilung des Sicherheitsnachweises auf zwei Rollen vor: den Sicherheitsfachmann und den Anlagenbauer. Personen, die der Rolle des Sicherheitsfachmanns zuzuordnen sind, sind Fachleute hinsichtlich Normen und Richtlinien im Bereich der funktionalen Sicherheit. Sie haben Erfahrungen im Bereich der Architekturen für sichere Systeme und kennen sich mit notwendigen Diagnosetechniken aus. Jedoch besitzen sie nicht immer das Wissen über die funktionalen Anforderungen, die sich aus einer konkreten Anlage ergeben. Die zweite Rolle wird durch den Begriff Anlagenbauer beschrieben. Dieser ist kein Sicherheitsexperte und möchte möglichst schnell eine Vorgabe für die Realisierung der Sicherheitsfunktion mit einer entsprechenden rechtlichen Absicherung haben. Die Vorgehensweise für einen effizienten Nachweis beruht auf der Verwendung von Mustern zur Umsetzung von Sicherheitsfunktionen wie beispielsweise dem sicheren Halt oder der sicher reduzierten Geschwindigkeit. Die Muster werden durch den Sicherheitsfachmann erstellt – denn er besitzt die hierzu nötige Kompetenz – und enthalten folgende Bestandteile:

• Beschreibung der erfüllten Sicherheitsfunktion,
• benötigte Bestandteile und Funktionen
• sowie Rechenmodelle für den quantitativen Sicherheitsnachweis und Bestimmung der Verfügbarkeit.

Der Anlagenbauer kann so bei der Umsetzung der Sicherheitsfunktionen aus einem Katalog von Mustern das jeweils passende auswählen. Kriterien zur Auswahl des geeigneten Musters sind beispielsweise:

• benötigte Sicherheitsfunktionalität,
• erforderlicher Performance Level nach DIN EN ISO 13849,
• Art der technischen Umsetzung – zum Beispiel pneumatisch oder elektrisch
• sowie vorhandene Standardkomponenten.

Die Aufgabenteilung zwischen Sicherheitsfachmann und Anlagenbauer: Der Sicherheitsfachmann erstellt die Muster mit den Rechenmodellen, der Anlagenbauer setzt sie um und berechnet die nötigen Kennwerte.

Jedem Muster im Katalog wird ein Rechenmodell hinterlegt, das zum Nachweis der Sicherheit und für Aussagen zur Anlagenverfügbarkeit dient. Die Rechenmodelle bieten dem Benutzer Optionen zur individuellen Anpassung – wie etwa Einsatz diverser Reparaturstrategien, Ausnutzung von Diagnosepotenzial oder zeitweise degradierter Betrieb des Systems – und werden in einem Tool hinterlegt. Für die Erstellung des Rechenmodells stehen dem Sicherheitsfachmann mehrere Ansätze zur Verfügung. Die Modelle, Rechenvorschriften und Tabellen aus der Norm sind einfach zu verwenden, falls sich die entwickelten Systeme auf diese abbilden lassen. Häufig sind diese Modelle jedoch nicht geeignet, da sie starke Ver-einfachungen enthalten oder wichtige Umstände nicht berücksichtigen. Auch sind die berechneten Sicherheitskennwerte auf Grund von Abschätzungen zur sicheren Seite oftmals deutlich zu schlecht.

Für die Modellierung von Sicherheitssystemen haben sich neben Zuverlässigkeitsblockdiagrammen und Fehlerbäumen speziell die Markov-Modelle etabliert. Ein Markov-Modell ist durch einen Zustandsgraphen darstellbar. Die Knoten entsprechen dabei bestimmten Zuständen des Systems und die Kanten den Übergangsraten von einem Zustand in mögliche Folgezustände. Dieser Graph lässt sich als ein Differenzialgleichungssystem darstellen, dessen Lösung numerisch oder bei einfachen Systemen auch symbolisch erfolgen kann. Insbesondere bei komplexen, reparierbaren Komponenten, die mehrere unterschiedliche Ausfallarten besitzen, sind Markov-Modelle, auf denen auch die Säulendiagramme aus der DIN EN ISO 13849 basieren, eine geeignete Wahl.

Zustand „gefährliches Ereignis“

In der Fertigungstechnik werden die Sicherheitsanforderungen üblicherweise als Performance Level einer Sicherheitsfunktion angegeben. Dieser Performance Level entspricht einem Wertebereich der Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, kurz PFH (Probability of a Dangerous Failure per Hour). Bei Markov-Modellen erfolgt die Berechnung der PFH durch den Fluss in den Zustand „gefährliches Ereignis“. Das Bild zeigt den Zustandsgraphen eines Markov-Modells für eine sicherheitsrelevante Komponente. Jede Komponente kann folgende Zustände besitzen:

• OK – Die Komponente ist fehlerfrei.
• Safe (S) – Die Komponente ist ausgefallen, jedoch auf eine Weise, durch die keine Gefahr entsteht. Der Nutzprozess kann nicht stattfinden.
• Dangerous Detectable (DD) – Die Komponente ist gefährlich ausgefallen. Der Ausfall kann aber aufgedeckt werden.
• Dangerous Undetectable (DU) – Die Komponente ist gefährlich ausgefallen. Der Ausfall kann nicht aufgedeckt werden.

Das Komponentenmodell berücksichtigt alle relevanten Eigenschaften – Ausfallraten, Diagnosedeckungsgrad, Testrate und Reparaturzeit.

Die Übergangsraten zwischen den Zuständen sind unter anderem durch die Ausfallraten λS, λDD und λDU beschrieben, wobei die Aufteilung in erkennbare und unerkennbare Ausfälle durch den Diagnosedeckungsgrad (DC) gegeben ist. Die Erkennung der Ausfälle erfolgt mit der Testrate τ. Das Modell berücksichtigt ebenfalls die Reparatur erkannter Ausfälle mit einer Reparaturrate μ und überführt die Zustände wieder in den OK-Zustand. Für Systeme mit ein oder zwei Komponenten ist eine manuelle Erstellung des Systemmodells leicht möglich. Die Anzahl der zu betrachtenden Zustände steigt allerdings mit den Komponenten exponentiell an. Dieser Anstieg führt schlagartig zu einer Komplexität, die bei unmittelbarer Bearbeitung des Modells nicht zu bewältigen ist. Daher wurde ein Konzept entwickelt, das es ermöglicht, komplexe Systemmodelle automatisiert zu erzeugen, und das die Spezifikation von Abhängigkeiten, wie beispielsweise Fehler gemeinsamer Ursache, auf einfache Weise unterstützt.