Seit den neunziger Jahren gibt es in Europa den sogenannten „New-Approach“, in dem unter anderem die Sicherheit von Maschinen und Betriebsmitteln im Rahmen von Europäischen Richtlinien geregelt wurde. Dabei hat einerseits der Maschinenbauer durch die Maschinenrichtlinie 2006/42/EG die Verpflichtung, nur sichere Maschinen in Verkehr zu bringen. Andererseits ist jeder Betreiber aufgrund der Richtlinien 95/63/EG und 2001/45/EG verpflichtet, ausschließlich sichere Betriebsmittel bereitzustellen. Der Gesetzgeber hat dabei die komfortable Situation, etwas zu fordern, ohne erläu­tern zu müssen, wie es in der Praxis umgesetzt werden soll. Hilfestellung bieten in Europa die europäischen Amtsblätter zu den einzelnen Richtlinien. In diesen werden EN-Normen genannt, deren Anwendung die so genannte Vermutungswirkung auslöst. Das heißt: Anwender dieser Normen dürfen vermuten, dass sie die Schutzziele der Richtlinien erfüllen, wenn die Norm erfüllt wird.

Mit dem V-Modell lassen sich Engineering-Prozesse, wie beispielsweise für die Sicherheit von Maschinen, in Phasen organisieren.

© Pilz

Das heutzutage gängige Modell für die Entwicklung von Produkten ist das sogenannte V-Modell. Bezogen auf die Sicherheit einer Maschine beinhaltet dieses Modell 5 wesentliche Phasen der Risikobeurteilung (siehe V-Modell der Sicherheit):

1. Risikoanalyse,
2. Anforderungen an die Sicherheitsfunktionen,
3. Design,
4. Validierung der Sicherheitsfunktion
5. sowie Verifikation der Sicherheit.

Wird dieses Modell an den wichtigsten harmonisierten Normen gespiegelt, so finden sich zu den einzelnen Phasen drei zentrale Normen. Die ISO 12100 (Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung) als grundlegende Norm greift dabei für die Risikobeurteilung auf der einen Seite des V-Modells und für die Verifikation auf der anderen Seite. Wer gerne noch weiter zurückgreifen möchte, kann sich bei der Risikobeurteilung auch an der Maschinenrichtlinie selbst orientieren. Dies ist allerdings in den meisten Fällen nicht wirklich erforderlich, da die ISO 12100 alle Risiken gemäß Maschinenrichtlinie betrachtet.

Für viele Maschinen, aber auch für gängige Teillösungen, gibt es über die ISO 12100 hinaus B2- und C-Normen. Die Fülle der hierbei zu nennenden Normen lässt sich am besten am Amtsblatt zur Maschinenrichtlinie ermessen. Dort sind derzeit etwa 800 Normen gelistet. Die B2- und C-Normen greifen häufig auch bei der Festlegung der Anforderungen an die Sicherheitsfunktionen und deren Validierung. Für den mathematischen Teil der Validierung sollte man allerdings auf die ISO 13849-1 und -2 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen) oder die IEC 62061 (Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elek­tronischer Steuerungssysteme) zurückgreifen.

Die Verfahren dieser beiden Normen sind zwar theoretisch gleichwertig, jedoch nicht identisch. In beiden Normen kommen zwar dieselben Parameter (Daten zu Zuverlässigkeit, Struktur und Diagnose) zum Einsatz, die zugrundeliegenden mathematischen Modelle sind aber unterschiedlich. Der typische Maschinenbauer tut gut daran, aufgrund der häufigen Bezüge aus anderen Normen, eher die ISO 13849-1 und -2 zu verwenden. Anwender aus der Prozessindustrie können aus der Nähe zur IEC 61508 Vorteile generieren und werden in der IEC 62061 eine geeignete Norm finden.

Phase 1 - Risikoanalyse

Neben den normativen und gesetzlichen Vorgaben, Hilfen und Anforderungen ist bei der Analyse und Beurteilung der Risiken einer Maschine die Erfahrung des Maschinenbauers von zentraler Bedeutung. Die Maschine ist dabei anhand der so genannten Grenzen der Maschine zu bewerten. Hierunter sind Randbedingungen zu verstehen die räumlich, zeitlich aber auch in Verwendung, Umgebungsbedingungen, Lebensphasen oder Betriebsarten gemeint sein können. Für alle diese Randbedingungen sind die Gefährdungen zu identifizieren und zu dokumentieren. Insbesondere die ISO 12100 liefert hierzu eine umfangreiche Liste mit Gefährdungen.

Dieses Vorgehen gestattet die Ermittlung eines Risiko-Levels in Form eines erforderlichen SIL(Safety Integrity Level)- oder PL-Wertes (Performance Level) für jede einzelne Gefährdung anhand der Risikographen der ISO 13849-1 beziehungsweise der IEC 62061. Was der Maschinenbauer hierbei abschätzen muss, sind für jede Gefährdung die Parameter S (Schwere der Verletzung), F (Häufigkeit der Verletzung/Dauer der Gefährdungsexposition), P (Möglichkeit der Vermeidung der Gefährdung) und für die IEC 62061 zusätzlich der Parameter W (Wahrscheinlichkeit des Eintretens).

Phase 2 – Anforderungen Sicherheitsfunktion

Ausgehend von den bewerteten Gefährdungen ist für jede Gefährdung eine Maßnahme oder Abhilfe zu schaffen. Sofern es sich um technische Maßnahmen handelt, spricht man dabei von Sicherheitsfunktionen. Gemäß ISO 12100 sind konstruktive Maßnahmen, welche das Risiko beseitigen oder mindern, in jedem Fall vorzuziehen. Nur wenn diese nicht einsetzbar sind, sind technische Maßnahmen zu wählen. Erst als letzte Option sind administrative Maßnahmen wie Kennzeichnung oder Training zulässig. Der Fokus wird aber in vielen Fällen auf den technischen Maßnahmen in Form von Sicherheitsfunktionen liegen.

Praktischerweise sollten solche Sicherheitsfunktionen aus einer Anforderung und einer Konsequenz bestehen. So etwas lässt sich am einfachsten als „Wenn-Dann“ formulieren. Eine typische Sicherheitsfunktion könnte also lauten: „Wenn die Schutztüre geöffnet ist, dann muss die Bewegung still gesetzt werden“. Mit einer solchen Formulierung ist einerseits klar umrissen, was die Sicherheitsfunktion tun soll, und – was genauso wichtig ist – welche Elemente der Maschine an der Sicherheitsfunktion beteiligt sind. Das ist letztlich für die Validierung notwendig. Andererseits lässt sich daraus gleich eine Prüfvorschrift (Verifikation) ableiten, da sich Wenn-Dann-Regeln gut für Checklisten eignen. Je nach Maschine kommen so durchaus 50 bis 200 Sicherheitsfunk­tionen zustande. Allerdings: Viele dieser Sicherheitsfunktionen sind im Sinne der Validierung identisch oder zumindest sehr ähnlich, weil es sich in Maschinen immer wieder um ähnlich formulierte Sicherheitsfunktionen mit denselben Bauteilen handelt.

Phase 3 – Design

In der Designphase erfolgt die technische Umsetzung der Sicherheitsfunk­tionen. Um im obigen Beispiel zu bleiben: Es wird also eine technische Lösung mit Schutztürschalter, Sicherheitslogik und Abschaltpfad realisiert. Weil in Phase 4 dieses Design zu validieren ist, muss man bereits zu diesem Zeitpunkt sicher sein, dass die verwendeten Komponenten für die gewünschte Aufgabe geeignet sind. Hierfür sind die Sicherheitskenndaten der gewünschten Komponenten zwingend erforderlich. Sonst kann es passieren, dass ein Design nicht verwendbar ist, weil die Komponenten nicht für den Einsatz vorgesehen sind – Stichwort: „Bestimmungsgemäße Verwendung“ – oder die sicherheitstechnische Qualität (PL oder SIL) den Anforderungen nicht genügt.

Die bevorzugten Quellen für derartige Sicherheitskennwerte sind elektronische Bibliotheken. Der Aufwand, die erforderlichen Berechnungen durchzuführen, lässt sich erheblich verringern, wenn eine geeignete Software wie der Safety Calculator PAScal als Berechnungstool zum Einsatz kommt. Ansonsten müssen die Kenndaten aus Datenblättern manuell übertragen oder durch langwierige Recherche ermittelt werden. Das ist nicht nur aufwendig, sondern auch fehleranfällig.

Kennwerte der Geräte-Typen: Das VDMA-Einheitsblatt 66413 „Funktionale Sicherheit – Universelle Datenbasis für sicherheitsbezogene Kennwerte von Komponenten oder Teilen von Steuerungen“ gibt Orientierung für den Austausch nötiger Sicherheitskennwerte.

© VDMA

Der VDMA hat in diesem Zusammenhang vor kurzem ein eigenes Einheitsdatenblatt veröffentlicht – VDMA 66413. Darin sind einerseits vier grundlegende Gerätetypen mit entsprechend erforder­lichen Kennwerten festgelegt andererseits aber auch das XML-Austauschformat für den einheitlichen Datenaustausch definiert.

Die größten Vorteile des VDMA-66413-Formats sind neben der echten Unabhängigkeit und der zugesicherten Unterstützung von allen bekannten Tools die umfangreichen technischen Merkmale. So unterstützt das VDMA-Format die Mehrsprachigkeit von Gerätedaten, eine Geräte-Versionierung, mehrere Verwendungsarten (Use-Cases) für ein einzelnes Gerät, grafische Elemente für die Visualisierung, eine Online-Aktualisierung und die Möglichkeit „Anhang“-Dokumente zu den Bibliothekseinträgen zu liefern. Damit sind alle derzeit aktuellen Anforderungen in diesem Format realisiert.

Das Einheitsblatt enthebt Hersteller und Anwender aber nicht aller Arbeiten: Die Qualität der Kenndaten ist von der Sorgfalt und Qualität der Gerätehersteller abhängig. Es liegt dabei in der Ver­antwortung des Maschinenbauers, zu prüfen, ob für Sicherheitskomponenten eine CE-Konformitätserklärung nach der Maschinenrichtlinie vorliegt. Außerdem fordert die Maschinenrichtlinie vom Maschinenbauer die CE-Konformitätserklärungen auch auf Plausibilität zu prüfen. Insbesondere ist zu prüfen, ob aktuelle und korrekte Normen und Richtlinien zitiert werden und ob das ver­wendete Produkt überhaupt in der CE-Erklärung in der verwendeten Version genannt wird. Bestehen Zweifel, sollte der Gerätehersteller direkt darauf angesprochen werden, welche Richtlinie er für die CE-Erklärung zugrunde liegt.

Phase 4 - Validierung

Software-Tools erleichtern die Validierung. Auf Basis sicherheitsrelevanter Kennwerte der geplanten bzw. verwendeten Komponenten validieren sie die tatsächlich erreichten Werte einschließl. der geforderten oder verlangten Vorgabewerte PLr bzw. SIL.

© Pilz

Eine Anforderung, die bei der Validierung am häufigsten Schwierigkeiten bereitet, wurde durch die Wenn-Dann-Formulierung der Sicherheitsfunktion enorm vereinfacht – die Modellierung der Sicherheitsfunktion. Hierzu wird die mechanische und elektrische Kon­struktion in eine 1- oder 2-kanalige Sicherheitsstruktur umgesetzt und dann berechnet. Die Formulierung hilft, aus den meist wesentlich umfangreicheren Plänen die relevanten Element zu extrahieren und nur diese in die Berechnung der Sicherheitsfunktion mit aufzunehmen.

Ist die Modellierung klar, so hilft ein Berechnungstool wie PAScal, welches nach ISO 13849-1 eine PL-Berechnung oder nach IEC 62061 eine SIL-Berechnung durchführt, bei der korrekten Anwendung und Umsetzung der Formeln und Vorgaben aus diesen Normen. Anwender profitieren zusätzlich, da sie nachträgliche Änderungen leicht vornehmen können und Teillösungen und die Dokumentation wieder verwenden können. In Anbetracht der Fülle der Sicherheitsfunktionen ist dies von elementarer Bedeutung. Das Tool kann – eine korrekte Modellierung vorausgesetzt – aus den Komponenten und der Struktur den in Phase 1 ermittelten PLr oder den erforderlichen SIL gegen den mit der Sicherheitsfunktion realisierten PL oder SIL validieren.

Phase 5 - Verifikation

Wie schon in Phase 2 angedeutet, ist die korrekte Verifikation der Sicherheit der letzte große Punkt. Durch geeignete Formulierungen in den Sicherheitsfunktionen ergeben sich fast automatisch Veri­fikationslisten. Bei der Inbetriebnahme oder einem Test können diese dann einfach als Checkliste abgearbeitet werden.

Software von besonderer Bedeutung

Mit der Abarbeitung der Phasen 1 bis 5 sind die wesentlichen Aufgaben erledigt. Besondere Beachtung verdient nochmals das Thema Software. In der Praxis wird dies häufig übersehen. Dabei ist die Software genauso Teil des Prozesses wie die Hardware – es gibt nur keine Kenndaten dafür. Sowohl die ISO 13849-1 als auch die IEC 62061 nennen Anforderungen an die Software. So ist abhängig von der Komplexität und den Freiheitsgraden in der Software ein Prüfaufwand zu leisten. Dieser kann entweder aus einem reinen Funktionstest bestehen (zum Beispiel im Rahmen der Verifikation), aber auch automatisierte Blackbox- und Whitebox-Tests mit Prüfautomaten, Regressionstest und vieles mehr erforderlich machen. Als einfache Regel gilt: Je mehr Freiheiten die Entwicklungsumgebung gestattet, desto aufwendiger ist der Test. Im einfachsten Fall – dem der Parametrierung beziehungsweise Konfiguration – genügt ein Funktionstest. Im Falle einer freien Programmierung entscheidet die Klassifizierung der Entwicklungsumgebung in Sprachen mit niedriger oder hoher Komplexität über die Prüftiefe.

Die Prozesse, die zu einer sicheren Maschine und letztlich zu einem sicheren Betrieb führen, sind inzwischen normativ mit vielen guten Standardmethoden beschrieben. In der Praxis stellen Konstrukteure und Anwender aber häufig fest, dass der Umfang der Betrachtung erheblich ist und das beschriebene Vorgehen eine Reihe von Detailbetrachtungen erfordert. Mit aktuellen Tools und der Aussicht, dass Gerätehersteller für ihre Komponenten die Sicherheitskenndaten in elektronischer Form publizieren, wird der gesamte Prozess aber auch wieder einfacher und selbst für diejenigen, die sich nicht ständig mit Sicherheitstechnik beschäftigen, überschaubar.

Autor: Thomas Kramer-Wolf ist Fachreferent Normen bei der Firma Pilz, Ostfildern.