Fehlertoleranz in der Maschinensicherheit Safety: Einfach Abschalten war gestern

Autor / Redakteur: Klaus Stark, Frank Bauder, Rolf Schumacher * / Kristin Rinortner

Neuer Safety-Ansatz: Geräte und Systeme der funktionalen Sicherheit schalten im Fehlerfall nicht mehr einfach ab. Stattdessen melden sie sich rechtzeitig – und bleiben noch für eine „sicherheitstechnisch vertretbare Zeit“ weiter in Betrieb. So funktioniert der „degradierte Betrieb“.

Firmen zum Thema

Maschinensicherheit: Die Arbeitsgruppe TA SI des ZVEI Automation hat ein neues Konzept zur Fehlertoleranz im Safety-Bereich vorgestellt.
Maschinensicherheit: Die Arbeitsgruppe TA SI des ZVEI Automation hat ein neues Konzept zur Fehlertoleranz im Safety-Bereich vorgestellt.
(Bild: Gerd Altmann und Bruno auf pixabay [collage elektronikpraxis])

Moderne Geräte und Systeme der funktionalen Sicherheit helfen im Maschinen- und Anlagenbau, die grundsätzlichen Anforderungen an den Arbeits- und Gesundheitsschutz gemäß der Maschinenrichtlinie (2006/42/EG) abzudecken. Ausgangspunkt hierfür ist die Risikoanalyse und -einschätzung basierend auf der EN ISO 12100.

Werfen wir zuerst einen kurzen Blick auf die Evolution der funktionalen Sicherheit: Aus der Risikobeurteilung lassen sich die risikomindernden Maßnahmen in den einzelnen Disziplinen konstruktiv-technisch-organisatorisch ableiten. Der Prozess der Risikobeurteilung erfolgt iterativ, das heißt, er muss so lange wiederholt werden, bis eine ausreichende Risikominderung auf ein akzeptables Restrisiko nachgewiesen ist.

Kommen technische Schutzmaßnahmen zum Einsatz, legen die Hersteller diese nach EN ISO 13849-1 und/oder der EN IEC 62061 aus. Die technische Dokumentation enthält Hinweise zum Aufbau dieser Maßnahmen, deren sicherheitstechnischen Zuverlässigkeit und ihrer bestimmungsgemäßen Verwendung.

Safety: Energiefreiheit vs. Verfügbarkeit

Geräte und Systeme der funktionalen Sicherheit werden heute so ausgelegt, dass ihr sicherer Zustand der Zustand der Energiefreiheit ist. Das heißt: Alle gefährlichen Bewegungen werden gestoppt. Dies ist für alle Maschinen und Anlagen die richtige Wahl, bei denen die Energietrennung und damit ein Stopp der sichere Zustand ist.

Für immer mehr Maschinen und Anlagen, beispielsweise im Kontext von I4.0, ist jedoch eine erhöhte Verfügbarkeit notwendig bzw. gefordert. Zudem führt ein „harter Stopp“ gegebenenfalls zu weiteren Gefährdungen, die in der Risikoanalyse eigentlich zu berücksichtigen sind. Das Dogma der Energietrennung, als einzige Reaktion im Fehlerfall, ist daher nicht mehr zeitgemäß.

Neues Konzept zur Fehlertoleranz im Safety-Bereich

An dieser Stelle setzt die Arbeitsgruppe im Technischen Ausschuss Sicherheitstechnik (TA SI) des ZVEI an. Deren Ziel ist es, die Anforderungen und Rahmenbedingungen an einen sicheren und kontrollierten Weiterbetrieb eines Geräts/Systems zu beschreiben.

Seit April 2017 hat sich die Arbeitsgruppe unter aktiver Beteiligung zahlreicher Firmen aus dem Bereich der sicheren Automation und Teilnehmern der Berufsgenossenschaft Holz&Metall sowie des Instituts für Arbeitssicherheit in der DGUV (IFA) in 25 Workshops und Meetings des Themas angenommen. Im Juli 2019 wurde, als ein erstes Ergebnis, das ZVEI-Whitepaper Fehlertoleranz in der Maschinensicherheit: Teil 1 – Grundlagen, Version 1.0 veröffentlicht.

Die hohe Resonanz am Markt und die gute Zusammenarbeit motivierten zu einer Fortführung und Weiterarbeit. Seit Juni 2021 ist nun der zweite Teil „Fehlertoleranz in der Maschinensicherheit: Teil II – Anforderungen Version 1.1“ verabschiedet. Die Veröffentlichung des Whitepapers ist für den Herbst geplant.

Fehlertoleranz in der Maschinensicherheit: Grundlagen

Nachfolgend geben wir einen kurzen inhaltlichen Überblick zum neuen Konzept. Der gedankliche Schritt ist folgender: Geräte und Systeme der funktionalen Sicherheit schalten im Fehlerfall nicht mehr einfach ab. Stattdessen melden sie sich rechtzeitig – und bleiben noch für eine „sicherheitstechnisch vertretbare Zeit“ weiter im Betrieb.

Dieser Schritt soll es ermöglichen, im Fehlerfall einen Produktionsprozess abzuschließen, ohne dass Schaden am Produkt selbst oder an einem Werkzeug durch das harte Abschalten entsteht. Idealerweise kann damit die Wartung eingeleitet, d.h. vorbereitet und am Ende eines Arbeitsschrittes und/oder Schicht die Wartung vorgenommen werden.

Kein Sicherheitsverlust – was sagen die Normen?

Natürlich darf dieser Schritt nicht zu einem Verlust an Sicherheit führen, also einer Erhöhung des Restrisikos auf Basis EN ISO 12100. Selbstverständlich müssen diese Maßnahmen im Einklang mit den Anforderungen aus den relevanten Normen EN ISO 13849-1 und EN 62061 erfolgen.

Die Normen untersagen es nicht explizit, Sicherheitskomponenten mit integrierter Selbstdiagnose und Überwachung trotz eines Fehlers für eine zu definierende Zeit weiter zu betreiben.

Die EN ISO 13849-1 enthält keinen Hinweis, dass im Fehlerfall das Abschalten beziehungsweise die Herstellung des energiefreien Zustandes die ‚einzig richtige Reaktion‘ ist. Vielmehr lassen die Normen bei einer zweikanaligen Struktur der Kategorie 3 oder Kategorie 4 eine Fehlererkennung und eine daraus resultierende Reaktion auf einen ersten Fehler zu, wenn die Sicherheitsfunktion angefordert wird.

Somit lassen sich innerhalb des Anwendungsbereichs der EN ISO 13849-1 Zeitspannen bestimmen, in der ein Weiterbetrieb der Maschine bis zur nächsten Anforderung der Sicherheitsfunktion toleriert werden kann.

Fehlertolerante Systeme: Ohne Bewertung keine Toleranz

Obwohl ein potenziell gefährlicher Ausfall erkannt wurde, können fehlertolerante Systeme also einen Weiterbetrieb ermöglichen. Bei einem fehlertoleranten System ist neben der Fehlererkennung zusätzlich eine qualifizierte Fehlerbewertung erforderlich. Nur damit kann entschieden werden, ob der erkannte Fehler toleriert werden kann oder so schwerwiegend ist, dass ein sofortiges Stillsetzen unabdingbar ist.

Die Bewertung, wie im Teil I dargestellt, sieht sich im Einklang mit den Schutzzielen der Maschinenrichtlinie und steht nicht im Widerspruch zu den harmonisierten Normen ISO 13849 bzw. IEC 62061. Weitergehende Fragestellungen zur applikativen Umsetzung werden im Teil II ausgeführt.

Fehlertoleranz in der Maschinensicherheit: Anforderungen

Der Teil II beschreibt die erforderlichen Voraussetzungen für den Betrieb im degradierten Zustand. Voraussetzung für die Anwendung des Teils II ist die Berücksichtigung von Teil I.

In Teil II werden Anforderungen an die Teilsysteme definiert, die für einen degradierten Betrieb geeignet sind. Es wird ein Verfahren beschrieben, wie der Integrator einer Sicherheitsfunktion für den Betrieb im degradierten Zustand auslegen und in der Maschine unter Verwendung dafür geeigneter Teilsysteme implementieren kann.

Zusätzlich gibt der Teil II dem Hersteller von Sicherheitskomponenten eine Orientierungshilfe zur möglichen Auslegung der Teilsysteme.

Die Basis: 1oo2D-Architektur mit zwei Kanälen

Die Basis ist die 1oo2D-Architektur: Sie besteht aus zwei parallelen Kanälen. Jeder Kanal führt die Sicherheits-Teilfunktion aus. Sollte die Diagnose in einem Kanal einen Fehler erkennen, wird der Ausgangsvergleich angepasst, so dass der Gesamtausgangszustand dem anderen voll funktionsfähigen Kanal folgt.

Falls die Diagnose in beiden Kanälen Fehler oder eine Abweichung erkennt, die keinem der beiden Kanäle zugeordnet werden kann, wird der Ausgang in den sicheren Zustand versetzt. Um eine Abweichung zwischen den beiden Kanälen zu erkennen, kann jeder Kanal den Zustand des anderen durch unabhängige Mittel bestimmen.

Fehlertoleranter Weiterbetrieb bei einem Einzelfehler

Diese Architektur ermöglicht einen fehlertoleranten Weiterbetrieb bei einem Einzelfehler in einem Kanal, unabhängig von der Art des Fehlers.

Bild 1: Blockschaltbild der Architektur 1oo2D+ mit erweiterter Diagnose.
Bild 1: Blockschaltbild der Architektur 1oo2D+ mit erweiterter Diagnose.
(Bild: ZVEI)

Für eine optimale Arbeitsweise in einem System, wurde die Architektur 1oo2D+ eingeführt (Bild 1). Sie basiert auf der Architektur 1oo2D, beinhaltet zusätzlich eine erweiterte Diagnose.

Diese sogenannte „qualifizierte Diagnose“ bewertet: Welcher Fehler liegt vor? Wo liegt dieser Fehler (z.B. welcher Kanal)? Kann die Sicherheits-Teilfunktion weiter ausgeführt werden?

Ergebnis der qualifizierten Diagnose als Statussignal

Das Ergebnis der qualifizierten Diagnose kann als Diagnosestatus (in Anlehnung an Namur NE 131) zusätzlich über Statussignale zur Verfügung gestellt werden:

  • Ausfall: Aufgrund einer Funktionsstörung im Sicherheitsgerät oder an seiner Peripherie ist das Ausgangssignal ungültig.
  • Funktionskontrolle: Am Sicherheitsgerät wird gearbeitet, das Ausgangssignal ist daher vorübergehend ungültig (z.B. eingefroren).
  • Außerhalb der Spezifikation: Vom Gerät durch Selbstüberwachung ermittelte Abweichungen von den zulässigen Umgebungs- oder Prozessbedingungen oder Störungen im Gerät selbst weisen darauf hin, dass die Messunsicherheit bei Sensoren oder die Sollwertabweichung bei Aktoren wahrscheinlich größer ist, als unter Betriebsbedingungen zu erwarten.
  • Wartungsbedarf: Das Ausgangssignal ist zwar noch gültig, aber die Funktionsreserve wird demnächst erschöpft oder aufgrund von Einsatzbedingungen eine Funktion in Kürze eingeschränkt sein (z.B. Betrieb im degradierten Zustand).
  • Statussignale: Sind keine Statussignale gesetzt, ist von einer bestimmungsgemäßen Funktion des Sicherheitsgeräts auszugehen.

Gesamt-Fehlertoleranz: Verschalten von Sicherheitssystemen

Für ein gesamthaftes Ausbilden der Fehlertoleranz in einer Applikation ist eine Verschaltung von Sicherheitsteilsystemen notwendig. Also beispielsweise von einem sicheren Sensor mit einer sicheren Verarbeitungseinheit und ggf. einem sicheren Leistungsantrieb.

Dazu wurden sogenannte Link-Typen definiert, die sowohl die Übertragung der Sicherheits- aber auch Diagnoseinformation gewährleisten.

Bild 2: Link Typ 11.
Bild 2: Link Typ 11.
(Bild: ZVEI)

Im Folgenden sind dazu (auszugsweise) Beispiele für den Link Typ 11 (Bild 2) zu einer bitorientierten Übertragung und Link Typ 12 (Bild 3) mit einer seriellen Übertragung dargestellt.

Bild 3: Link Typ 12
Bild 3: Link Typ 12
(Bild: ZVEI)

Das Anbinden von sicheren Leistungsantrieben ermöglicht weitere Schnittstellen. Der Leistungsantrieb enthält dabei eine qualifizierte Diagnose und Entscheider. Analog sind diese (auszugsweise) der Link Typ 21 (Bild 4) und der Link Typ 22 (Bild 5).

Was kennzeichnet das Verhalten der Link-Typen?

  • Leistungsantrieb erkennt Fehler (und Zustände, die zu Fehlern führen könnten).
  • Wenn der Entscheider im Leistungsantrieb den Fehler klar zuordnen kann und als tolerierbar beurteilt, wird der Leistungsteil nicht abgeschaltet.
  • Das Statussignal „Betrieb im degradierten Zustand“ wird an die Steuerung / den FS-DO gemeldet.
  • Nach Ablauf der gerätespezifischen maximal zulässigen Zeit Δtdeg wird der Leistungsteil abgeschaltet.
  • Die Logikeinheit kann in einem parametrierbaren Funktionsbaustein eine kürzere zeitliche Begrenzung für den Betrieb im degradierten Zustand applikationsspezifisch vorsehen.

Ein Fazit zum degradierten Safety-Betrieb

Eine Maschine ist ein komplexes technisches Arbeitsmittel mit einer Hauptfunktion, beispielsweise Aufbereiten, Behandeln oder Verarbeiten von Materialien durch Wirkbewegungen. Sie ist gekennzeichnet durch eine funktionelle Verkettung von Mechanismen zum Umwandeln von Energiearten.

Bild 4: Link Typ 21.
Bild 4: Link Typ 21.
(Bild: ZVEI)

Das Arbeitsmittel wird gesteuert und überwacht durch ein Steuerungssystem, das auf Eingangssignale des Prozesses und/oder eines Bedieners reagiert und Ausgangssignale erzeugt, welche die Betriebsmittel in der gewünschten Art arbeiten lassen.

Die Verarbeitungseinheit einer sicherheitsbezogenen Logikeinheit kann ebenfalls eine qualifizierte Diagnose und einen Entscheider für sich selbst beinhalten. Dabei muss sichergestellt sein, dass sie jederzeit einen zeitlich begrenzten Betrieb der gesamten Sicherheitsfunktion im degradierten Zustand gewährleisten kann.

Bild 5: Link Typ 22.
Bild 5: Link Typ 22.
(Bild: ZVEI)

Im Fall von selbsterstellten Teilsystemen aus nicht sicherheitsbezogenen Komponenten können sicherheitsbezogene Logikeinheiten eine qualifizierte Diagnose ausführen und den Entscheider beinhalten, wenn sie selbst die Vorverarbeitung von Sensorsignalen oder die Ansteuerung von Leistungsantrieben durchführen.

Das Statussignal „Betrieb im degradierten Zustand“ wird entsprechend der verwendeten Schnittstelle (Link-Typ) als Meldesignal oder als sicherheitsbezogenes Signal übertragen.

Weitergehende Fragestellungen zur Integration in Produkte werden in einem ergänzenden Dokument „Fehlertoleranz in der Maschinensicherheit Teil 3 – Integration“ ausgeführt, das zur Zeit in Bearbeitung ist?

Maschinenrichtlinie: Degradierter Betrieb ist normkonform

Die Ausführungen zeigen, dass die Umsetzung eines zeitlich begrenzten Betriebs mit degradierter Sicherheits-Teilfunktion in sicherheitsbezogenen Sensoren und Leistungsantrieben im Einklang mit den Schutzzielen der Maschinenrichtlinie möglich ist und nicht im Widerspruch zu den harmonisierten Normen EN ISO 13849 bzw. EN 62061 steht.

Ein Betrieb im degradierten Zustand bricht – normkonform – mit dem Dogma der sofortigen Energietrennung im Fehlerfall. Dies erhöht die Sicherheit und Verfügbarkeit von Maschinen und Anlagen:

  • Verringerung von Manipulationsanreizen.
  • Keine Folgeschäden durch Abschalten zur Unzeit.
  • Steigerung der Produktivität.
  • Anlassbezogene Wartung ohne Ausfallzeiten.

Der Arbeitskreis TA SI fordert Anwender und Hersteller auf, diese Vorteile in Maschinen umzusetzen und somit für die Betreiber nutzbar zu machen.

* Klaus Stark arbeitet als Innovationsmanager bei Pilz in Ostfildern. Frank Bauder ist im Service Management bei Leuze in Owen tätig. Rolf Schumacher ist Senior Safety Consultant bei Sick in Waldkirch.

(ID:47525165)