Als komplex sind diejenigen Maschinen anzusehen, auf die folgende Aspekte zutreffen:

• Einsatz einer große Anzahl von Komponenten,
• Verwendung unterschiedlicher Technologien wie Hydraulik, Pneumatik oder Elektrik,
• überlagerte Gefährdungen, das heißt mehrere gefahrbringende Bewegungen an einem Standort oder
• überlagerte Gefährdungen durch unterschiedliches Risikopotenzial, zum Beispiel pneumatische Greifzange am Roboter.

Diese Aspekte erschweren zum einen die Ermittlung des resultierenden PL, zum anderen ist in manchen Fällen der erforderliche PL gar nicht erreichbar. Deshalb ist es wichtig, für die Betrachtung der Sicherheitsfunktionen nur die Komponenten heranzuziehen, die einen unmittelbaren Beitrag zur Funktionalen Sicherheit leisten. Damit kommt der Analyse der Sicherheitsfunktion eine besondere Bedeutung zu.

Oft haben Maschinen mehrere Not-Halt-Geräte oder -Zugangsbereiche. Es wäre falsch, alle Not-Halt-Funktionen oder Schutztür-Überwachungen einer Sicherheitsfunktion zuzuordnen. Vielmehr muss jeder Not-Halt und jede Schutztür unabhängig voneinander wirken und ist somit als eine eigene Sicherheitsfunktion zu betrachten. Das reduziert die Anzahl der zu betrachtenden sicherheitsrelevanten Komponenten erheblich. Gleiches gilt für die Aktoren. Nach der reinen Lehre sind die Versagenswahrscheinlichkeiten aller Aktoren in einem Gefahrenbereich zu addieren. Der durch das Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA) und dem Fachausschuss Maschinenbau, Fertigungssysteme, Stahlbau (FA MFS) erarbeitete Kompromiss schlägt in diesem Fall vor:

• Überlagerte Bewegungen entsprechend den Maschinenteilen sowie
• Risiken mit unterschiedlichen PL-Anforderungen sind als separate Sicherheitsfunktionen zu betrachten.

Dies entspricht zwar nicht dem mathematischen Modell, trägt aber der Erfahrung aus der Praxis Rechnung. Um die Komplexität der Modellierung in Griff zu bekommen, sollte eine geschickte Zusammenfassung der verschiedenen Komponenten in Subsysteme erfolgen. Da es lediglich um eine Aussage zur Versagenswahrschein­lichkeit geht, ist die Reihenfolge der Komponenten belanglos. Damit ist es möglich, sich vom tatsächlichen Verdrahtungs-, Verrohrungs- beziehungsweise Verschlauchungsplan zu lösen und die Komponenten entsprechend ihrer Struktur nach Kategorien zu sortieren und zusammenzufassen. Sind zum Beispiel beim Stillsetzen einer Bewegung elektrische, pneumatische oder hydraulische Aktoren gleicher­maßen betroffen, empfiehlt sich eine getrennte Betrachtung der Aktorik nach Hydraulik, Pneumatik oder
Elektrik.

Bei der Bestimmung des erreichten PL sieht die ISO 13849-1 lediglich ein „vereinfachtes Verfahren“ vor, das allerdings bei mehr als drei Subsystemen an seine Grenzen stößt. Analog zur EN 62061 ist es deshalb ratsam, den erreichten PL über die Addition der PFHd-Werte (Probability of dangerous Failure per Hour) der einzelnen Subsysteme zu ermitteln. Die Bestimmung des PL beziehungsweise des zugehörigen PFHd-Wertes jedes einzelnen Subsystems erfolgt gemäß ISO 13849-1 über den Zusammenhang aus MTTFd (Mean Time To Failure), DC (Diagnostic Coverage) und Kategorie. Bei vorgefertigten, zertifizierten Geräten stellt der Hersteller in aller Regel PL und PFHd-Wert bereit. Die Addition aller PFHd-Werte ergibt einen maximal möglichen PL-Wert, der nicht automatisch dem tatsächlichen entspricht. Denn neben der Ausfallwahrscheinlichkeit sind qualitative Anforderungen zu berücksichtigen. Sind diese in einem Subsystem nur für einen bestimmten PL erfüllt, so begrenzt dieser als schwächstes Glied den tatsächlich erreichbaren – selbst wenn die Ausfallwahrscheinlichkeit für einen deutlich besseren PL sprechen würde.

Fehlerausschluss bei einkanaliger Mechanik

Gerade bei komplexen Maschinen ist die isolierte Betrachtung einzelner Safety-Bausteine nicht zielführend; vielmehr kommt es darauf an, das Zusammenspiel aller Komponenten systematisch zu bewerten.

© Bosch Rexroth

Auch bei der Ermittlung der erforderlichen Parameter wie MTTFd, DC und Kategorie gilt es, die eine oder andere Herausforderung zu meistern. Insbesondere bei der Verwendung von elektromechanischen Komponenten wie Schutzendschaltern zur Überwachung der Türposition oder auch Zustimmtas­tern sind bei der Modellierung des Blockschaltbildes genaue Kenntnisse über die Geräte erforderlich. Während solche Schalter hinsichtlich der elektrischen Elemente in der Regel mehrkanalig aufgebaut sind, ist dies bei den mechanischen Elementen nicht immer eindeutig erkennbar. Im Fall einer einkanaligen Lösung muss ein Fehlerausschluss getroffen werden, um von der Mehrkanaligkeit der elektrischen Kontakte profitieren zu können. Hierzu benötigt der Anwender in der Regel Hinweise des Geräteherstellers.

Eine weitere Herausforderung sind die Anforderungen an Kategorie-2-Systeme; also einkanalige Systeme, die durch eine Testeinrichtung überwacht werden. Während die Anforderung, dass die Zuverlässigkeit der Testeinrichtung mindestens der Hälfte der Zuverlässigkeit des eigentlichen Funktionskanals entsprechen muss, in der Regel kein Problem darstellt, lässt sich die Anforderung bezüglich der Testrate bei elektromechanischen Systemen meist nur schwer erfüllen. Ein Beispiel: Eine durch Endschalter überwachte Schutztür müsste hundertmal pro Stunde für Testzwecke geöffnet werden, wenn der Bediener einmal pro Stunde in die Maschine eingreifen muss. Das ist zum einen prozesstechnisch nicht möglich, zum anderen wäre ein übermäßiger Verschleiß der Schalter die Folge. Es gibt zwar die Möglichkeit, in solchen Fällen nicht auf die Vereinfachungen der ISO 13849-1 zurückzugreifen, sondern eine eigene Analyse der Ausfallwahrscheinlichkeiten durchzuführen. Allerdings ist dies für die meisten Maschinenhersteller nicht praktikabel. Aus diesem Grund werden elektromechanische Elemente wohl eher in einer Kategorie-3-Struktur genutzt werden.

Fehleraufdeckung sorgfältig prüfen

Bei der Modellierung elektromechanischer Komponenten, wie zum Beispiel Sicherheitsschalter, gilt es zu prüfen, ob die Schaltelemete ein- oder mehrkanalig sind und ob ein Fehler­ausschluss auf die einkanalige Mecha-nik zulässig ist.

© Euchner

Bauelemente der Sicherheitsketten dürfen prinzipiell auch ausfallen. Die Mehrzahl der Ausfälle muss jedoch durch entsprechende Testeinrichtungen entsprechend rechtzeitig erkannt
werden. Diese Eigenschaft wird als Diagnostic Coverage (DC) beschrieben. Jeder Performance-Level erfordert eine minimale Fehleraufdeckung. Streng genommen ist zur Ermittlung des DC eine FMEA (Failure Mode and Effects Analysis) durchzuführen. Um die Norm jedoch praxistauglicher zu machen, enthält sie typische DC-Werte für bestimmte Maßnahmen. Dennoch ist vom Anwender zu prüfen, ob die Bedingungen dafür erfüllt werden – was nicht immer einfach ist. Insbesondere bei Verwendung von programmierbaren Steuerungen, die nicht als sicherheitsrelevante Bauteile entwickelt wurden, sind die Maßnahmen kaum umsetzbar.

Ebenfalls ist zu beachten, dass eine entsprechende Fehleraufdeckung nur bei richtiger Einbindung in das Steuerungssystem erreicht werden kann. Die Testeinrichtung zur Fehleraufdeckung beeinflusst durch ihre Güte ebenfalls den erreichbaren DC. Auch wenn dies in der Norm nicht ausdrücklich gefordert ist, sollte insbesondere bei hohen Fehleraufdeckungsraten die Güte der Testeinrichtung bewertet beziehungsweise auf einer eigens entwickelten sicherheitsgerichteten Steuerung implementiert werden. Für die Ermittlung des Performance Levels sind Aussagen zu den sicherheitstechnischen Eigenschaften der verwendeten Komponenten erforderlich. Zu oft wird dies jedoch mit der bloßen Angabe der MTTFd- oder B10d-Werte verwechselt.

In den wenigsten Fällen wird daran gedacht, dass die Kategorie ebenso die Einhaltung gewisser grundlegender und bewährter Sicherheitsprinzipien erfordert. Viele dieser Anforderungen betreffen jedoch die Komponente, in die der Anwender keinen direkten Einblick hat. Umso wichtiger ist es, dass der Hersteller auch Aussagen zu diesen Eigenschaften trifft. Selbst die in der ISO 13849-1 in der Tabelle C1 angegebenen typischen Daten dürfen nur dann angenommen werden, wenn die zutreffenden grundlegenden und bewährten Sicherheitsprinzipien eingehalten werden. Des Weiteren ist darauf zu achten, dass die Ermittlung dieser Kenndaten nicht normativ festgelegt ist. In der Regel erfolgt ihre Ermittlung im Parts-Count-Verfahren, das heißt durch Addition der MTTFd-Daten der einzelnen Bauteile. Die Ergebnisse sind allerdings stark von der verwendeten Bauteile-Datenbank und den zugrundegelegten Einsatzbedingungen abhängig. Ein vermeintlich höherer MTTFd bedeutet somit nicht automatisch, dass das Bauteil besser ist.

Softwaretools mit Bedacht nutzen

Tools können bei der Berechnung und Dokumentation unterstützen. Sie sind hilfreich, sind gleichzeitig aber auch mit der gebotenen Vorsicht anzuwenden. Denn oft die Bedeutung der einen oder anderen Bestätigung – meist nur in Form eines einfachen Mausklicks – unterschätzt. Die Berechnung des Per­formance-Levels in Abhängigkeit von Struktur, MTTFd- und DC-Werten stellt „optisch“ den Schwerpunkt der meisten Tools dar. Der Aufwand liegt jedoch in den systematischen Aspekten, sprich dem Nachweis, dass Einfehlersicherheit gegeben ist, Sicherheitsprinzipien erfüllt sind, Maßnahmen gegen systematische Fehler ergriffen wurden und die Anforderungen auch von der Software erfüllt werden. Dabei unterstützen Softwaretools nur bedingt.

Die Verifizierung und Validierung von Sicherheitsfunktionen stellen sicher, dass alles richtig gemacht wurde. Diesen „Qualitätssicherungsprozess“ beschreibt der Teil 2 der ISO 13849. Leider referenziert dieser noch auf die alte EN 954. Die Grundelemente bleiben
jedoch auch in der überarbeiteten und zum Teil 1 passenden Ausgabe erhalten. Sie wurden lediglich um die zusätzlichen Elemente wie PL, Software und systematische Aspekte ergänzt. Grundsätzlich gilt es, alle entwicklungsbegleitenden Dokumente zusammenzustellen, die Bedingungen, Annahmen, Tools und Rechenwege zu verifizieren und zu testen, ob das spezifizierte Verhalten erreicht wird. Daneben ist dabei das Verhalten unter Fehlerbedingungen sowie an den Grenzen der Einsatzbedinungen zu überprüfen. Diese Maßnahmen sind oft entscheidender als die Nachkommastellen eines PFHd-Wertes von beispielsweise 1,7234*10-7 [1/h].

Autor: Jochen Ost arbeitet im Bereich Produktmanagement bei Bosch Rexroth.