Komponenten zur Erfüllung der Normen für funktionale Sicherheit

Sicherheit hat bei Anwendungen in der Industrie oberste Priorität, um Mitarbeiter und Ausrüstung vor Verletzungen und Schäden zu schützen. Schweiß-, Schneid- und Pressarbeiten sowie schnell drehende Achsen und der Umgang mit gefährlichen Werkstücken oder Stoffen stellen die größte Gefahr dar. In den USA müssen Anlagenbetreiber die Vorschriften der Occupational Safety and Health Administration (OSHA) mit sicheren Geräten, Betriebsverfahren und Schulungsprotokollen erfüllen. Ergänzend zu diesen Systemen sollten anlagenspezifische Analysen durchgeführt werden, um pragmatische Möglichkeiten zur Verbesserung des Wohlbefindens der Arbeitnehmer und der Langlebigkeit der Anlagen zu ermitteln. Darüber hinaus müssen automatisierte Maschinen die Anforderungen an die funktionale Sicherheit erfüllen, indem sie bei potenziell oder mit Sicherheit unsicheren Zuständen oder Fehlern automatisch Maßnahmen ergreifen oder Korrekturen vornehmen.

Abbildung 1: In Signalsäulen werden heute LEDs für Effizienz und Sichtbarkeit eingesetzt. Einige erhöhen die Sicherheit durch eingebaute Sirenen, die bei Sicherheitsverletzungen einen Alarm mit bis zu 100 dB auslösen. (Bildquelle: Menics)

Funktionale Sicherheitssysteme umfassen Elektronik in Form von Sensoren, I/O, Steuerungen, Schaltern, elektromechanischen Komponenten, fluidtechnischen Komponenten und Software, die gefährliche Zustände erkennen und den Maschinenzustand ändern, um gefährliche Situationen zu verhindern. Ursprünglich aus der Europäischen Union stammend, gelten die Vorschriften zur funktionalen Sicherheit heute für Zulieferer, Maschinenbauer und Endverbraucher auf der ganzen Welt. Die harmonisierte europäische Norm (EN) und die Norm der Internationalen Elektrotechnischen Kommission (IEC) EN/IEC 62061, die in der EU-Maschinenrichtlinie 2006/42/EG aufgeführt sind, sowie die Norm der Internationalen Organisation für Normung (ISO) EN/ISO 13849-1 sind die am häufigsten verwendeten.

Auf ISO 13849-1 und IEC 62061 kann verwiesen werden, und es steht OEMs und Endanwendern frei, beide zu verwenden. Der einzige Vorbehalt ist, dass sich die funktionale Sicherheit auf Maschinen und Steuerungen bezieht und nicht auf Geräte oder Komponenten ... obwohl letztere Funktionalitäten bieten können, die die Erfüllung einer bestimmten Sicherheitseinstufung unterstützen.

Die EN/IEC 62061 enthält Anforderungen und Empfehlungen für Sicherheitsintegritätsstufen für die Entwicklung, Integration und Validierung von fest installierten (nicht transportablen) Maschinen- oder Anlagen-SRECS (Safety-Related Electrical, electronic, and programmable ControlS = Sicherheitsrelevante elektrische, elektronische und programmierbare Steuerungen. Die Sicherheitsintegritätsstufen (SILs) der EN/IEC 62061 stufen die funktionale Sicherheit eines Systems von 1 (am rudimentärsten) bis 4 (am meisten integriert und anspruchsvoll) ein, wobei SIL3 die höchstmögliche Stufe für Maschinen ist. Zu den Risiken, die den erforderlichen SIL bestimmen, gehören die Regelmäßigkeit der Risikoexposition, die Schwere der potenziellen Verletzung, die Wahrscheinlichkeit des Auftretens und die Wahrscheinlichkeit, dass der Maschinenführer durch Ausweichmanöver einen Schaden vermeiden kann.

Tabelle 1: Die geforderten SIL-Werte hängen von der Schwere der Verletzungen im Falle des Auftretens eines bestimmten unsicheren Zustands sowie von der Wahrscheinlichkeit des Auftretens dieses Zustands ab. (Quelle der Tabelle: IEC)

Im Gegensatz dazu werden in EN/ISO 13849-1:2005 Anforderungen und Empfehlungen auf der Grundlage von SRP/CS (Safety-Related Parts of Control Systems = Sicherheitsbezogene Komponenten von Steuerungssystemen) festgelegt. SRP/CS-Leistungsniveaus ermöglichen die Quantifizierung der Sicherheitseigenschaften von Maschinen, unabhängig von den Teilkomponenten. Die Norm verwendet die bekannten Leistungsstufen (PL) der funktionalen Sicherheit, die von „a“ (am rudimentärsten) bis „e“ (am meisten integriert und anspruchsvoll) reichen. Zu den Risiken, die den erforderlichen PL bestimmen, gehören die für die SIL geltenden Risiken sowie die Häufigkeit und Dauer der wiederholten Exposition gegenüber der Maschinengefahr. Darüber hinaus umfasst eine vollständige PL-Bewertung eine Kategorienummer (zur Angabe der gesamten Systemarchitektur) und die mittlere Zeit bis zum gefährlichen Ausfall (MTTFd).

Abbildung 2: Die geeignete funktionale Sicherheitsstufe für eine bestimmte Anlage hängt von qualitativen Variablen, quantitativen Werten und den Ergebnissen der softwarebasierten Analyse ab. (Bildquelle: Design World)

Die Erfüllung der Anforderungen von IEC 61508 und IEC 62061 beinhaltet das Testen von Sicherheitssteuerungen (und die Validierung von Maschinenmodi, Statuskriterien und Korrekturen) zur Bestätigung der funktionalen Sicherheitseinstufung der Maschine. EN ISO 13849-1 und 2 verlangen auch dokumentierte Tests (statisch und dynamisch) zur Bestätigung der nahtlosen Integration der Sicherheitssteuerung.

Vom Bediener ausgelöste Sicherheitskomponenten

Viele sicherheitsrelevante Komponenten sind so konstruiert, dass sie Eingaben vom Betriebspersonal entgegennehmen und nicht über einen Zwischenbereich oder eine Achse einer Maschine oder Schutzeinrichtung. Dazu gehören taktile Sicherheitsmatten, Lichtvorhänge, Konsolen sowie Mensch-Maschine-Schnittstellen (HMIs), berührbare Maschinenverriegelungen und (nur für Notfälle) leuchtend rote Stopptasten mit Pilzkopf. Zu den personengebundenen Sicherheitskomponenten gehören auch Gehäuse (zum Schutz der untergebrachten Komponenten nach NEMA) sowie Maschinenabschirmungen und Kabelkanäle - einfache, aber zuverlässige Maschinensicherheitselemente zum Schutz des Personals, das in der Nähe von (und manchmal auch in) Maschinen und deren Strom- und Steuertafeln arbeiten muss.

Mit Seilzugschaltern, die gefährliche Maschinenteile umschließen, können die Bediener mit einem kurzen Zug Notausschalter auslösen. Diese Sicherheitselemente, die vor allem im Bereich offener Maschinen (die nicht bewacht werden können) und unbewachter Förderbänder eingesetzt werden, unterscheiden sich von Trennschaltern, die Stromkreise abschalten und gefährliche Arbeitsbereiche absichern, um Personen fernzuhalten. Zu den weiteren Angeboten gehören Sicherheitsleisten, die um die Öffnungen von Werkzeugmaschinen herum angebracht werden (insbesondere bei Schneid- oder Pressvorgängen), und Bodenschutzmatten, die (über spezielle Sicherheitsrelais) Sicherheitsreaktionen auslösen, wenn ein Bediener auf die Oberfläche tritt oder auf ihr steht.

Etwas anspruchsvoller sind die bereits erwähnten Lichtvorhänge. Dazu gehört ein Sender mit fotoelektrischen Strahlen, die, wenn sie auf ihrem Weg zu einem Empfänger in der Erfassungsebene unterbrochen werden, gefährliche Prozesse schnell stoppen. Sie sind teurer als andere Optionen, aber dort gerechtfertigt, wo Maschinenbediener häufig mit einem Maschinenteil interagieren. Ein weiteres ausgeklügeltes Sicherheitselement ist die Zweihand-Sicherheitskonsole. Diese erfordern in der Regel die gleichzeitige Betätigung von separaten Schaltern, um die Maschine in Betrieb zu nehmen oder zu halten.

Bevor man sich darauf verlässt, dass sie das Personal und die Ausrüstung der Anlage schützen, müssen alle vom Bediener ausgelösten Sicherheitskomponenten (und die Sicherheitslogik oder -steuerungen, in die sie integriert sind) überprüft werden. Die Prüfnormen IEC 61508 und IEC 62061 schreiben beispielsweise vor, dass ein Not-Aus-Schalter mit redundanten Relais funktionieren muss, wenn ein Bediener den ersten Kanal zwischen der Logik und den Feldgeräten auslöst ... und auch auf dem zweiten Kanal zwischen ihnen funktionieren muss. Solche redundanten Not-Aus-Funktionen werden bei der Inbetriebnahme der Maschine separat validiert.

Automatische Sicherheitsschalter, Sensoren und Schutzvorrichtungen

Abbildung 3: Laserscanner sind ein Typ von berührungslosen Sicherheitskomponenten mit Rückkopplung, die vor allem dafür bekannt sind, dass sie führerlosen Transportfahrzeugen bei der Navigation in Anlagen helfen. Ihre Einsatzmöglichkeiten sind jedoch vielfältig - und sie können manchmal eine Alternative zu Lichtvorhängen darstellen. (Bildquelle: IDEC)

Getrennt von den personell ausgelösten sicherheitsrelevanten Bauteilen sind solche für automatische Maschinenfunktionen.

Eingebaute Sperren mit Riegeln und Schaltern

Schalter und Verriegelungen sind wesentliche Elemente an den äußeren Begrenzungen von Maschinenarbeitszellen. Sicherheitsendschalter haben Kontakte, die dazu dienen, Positionen oder Bewegungen von Maschinenelementen automatisch zu überprüfen. Sicherheitsschalter mit höheren Funktionen - so genannte Interlock-Sicherheitsschalter - verwenden dagegen Zungen- oder Scharnierverriegelungen als manipulationssichere Maschinenschutzvorrichtungen mit zwangsgeführten (doppelt prüfenden NO- und NC-) Schaltkontakten. Verriegelungsschalter mit mechanischen Schlüsseln und Schlössern halten die Türen zu den Maschinenarbeitsräumen geschlossen, bis der Zugang sicher ist. Zunehmend verbreitet sind jedoch berührungslose RFID- und magnetische Sicherheitsschalter, die die Position (offen oder geschlossen) von Arbeitszonentüren überwachen und dem Bediener während gefährlicher Prozesse den Zugang verwehren.

Eingebaute Sicherheit durch elektrische Unterbrecher und Trennschalter

Zu den Sicherheitsbauteilen, die durch den Maschinenzustand ausgelöst werden, gehören auch solche, die die elektrische Sicherheit gewährleisten. Schutzschalter schützen (ähnlich wie Sicherungen) vor den schädlichen und gefährlichen Auswirkungen von Überlastströmen in Netz-, Abzweig- und Signalstromkreisen. Einige Installationen umfassen Isolatoren zur galvanischen Trennung zwischen Feldgeräten und Steuerungen, um einen eigensicheren Betrieb zu gewährleisten. Ergänzend zur elektrischen Sicherheit werden Überspannungsschutzkomponenten eingesetzt, um zu verhindern, dass elektrische und elektronische Automatisierungskomponenten, die an der Netz- und Antriebsversorgung und/oder der Verteilung von Rückführungs- und Steuersignalen beteiligt sind, durch Spannungsspitzen beschädigt werden.

Eingebaute mechanische Sicherheit mit Bremsen

Bremsen, die als Sicherheitsbremsen eingestuft sind, werden auch als ausfallsichere Bremsen bezeichnet. Diese gehen standardmäßig in einen gestoppten Zustand über (in der Regel, um eine Bewegungsachse zu sperren oder zu halten), auch wenn die Strom- oder Flüssigkeitsversorgung ausfällt oder unterbrochen wird. Alle beruhen auf einer federbelasteten oder anderen mechanischen Betätigung für diese ausfallsichere Funktion.

Ein typisches Beispiel: Federdruck-Reibungsbremsen, die pneumatisch geöffnet werden, dienen häufig als ausfallsichere Bremsen in servomotorisch angetriebenen Automatisierungsanwendungen. Alle müssen eine Bewertung tragen, die die Einhaltung der ISO 13849-1 bescheinigt - in der Regel von der internationalen Produktprüfungsorganisation Intertek Group. Dank ihrer mechanischen Verriegelung verbrauchen sie während des Haltens keine elektrische Energie ... was maximale Zuverlässigkeit für sicherheitsrelevante Leistungen bietet und eine Überhitzung, wie sie bei anderen elektrisch basierten Haltevorgängen auftritt, verhindert. Die Lebensdauer wird in Millionen von Zyklen angegeben, bevor es bei einigen Prozent aller Komponenten in der Serie zu einem (vorhersehbaren) Ausfall kommt. Wo IIoT-Funktionen nützlich sind, können ausfallsichere Bremsen auch Onboard-Diagnosen und Sensorfeedback zur Verfolgung des Betriebsstatus umfassen.

Bremsen mit den höchsten funktionalen Sicherheitsklassen sind mit mehreren Federn ausgestattet, die die Maschinenachsen über Reibungsflächen, die mit stationären Elementen im Bremsgehäuse zusammenwirken, mechanisch blockieren. Die Sicherheitsnormen verlangen auch den Einbau von Sensoren zur Bestätigung des Bremsstatus.

Sicherheitsrelais und andere Sicherheitssteuerungen

Abbildung 4: Bei einfachen Geräten, die nur eine Handvoll Sicherheits-I/O benötigen, können elektromechanische Sicherheitsrelais wie dieses wirtschaftlich eingesetzt werden. (Bildquelle: Omron Automation and Safety)

Die Funktionen von Sicherheitsschaltern, Sensoren und Schutzeinrichtungen werden durch Sicherheitsrelais und andere Steuerungen unterstützt. Allen gemeinsam ist die Fähigkeit, die Maschine (bei Bedarf) durch Abschalten der elektrischen oder flüssigen Energie in einen sicheren Zustand zu bringen - oder eine Maschine, die noch mit Energie versorgt wird, zu verlangsamen oder zu blockieren.

Relais für festverdrahtete Sicherheit

Eine Möglichkeit zur ausfallsicheren Steuerung sind Sicherheitsrelaismodule. Diese verfügen über eine Elektronik mit Kurzschluss- und Überspannungsschutz sowie ergänzende Relais. Festverdrahtete elektromechanische Relais werden seit Jahrzehnten eingesetzt; sie werden einfach in automatische Steuerungen verdrahtet und schalten (in Verbindung mit Notausschaltern oder Lichtvorhängen) Teilbereiche der Maschine bei Bedarf elektrisch ab. Zu den Nachteilen gehören die Notwendigkeit einer umfangreichen Verkabelung vor Ort und die mangelnde Rekonfigurierbarkeit. Fortschrittlichere Sicherheitsrelais verfügen über I/O und ein modulares Design, das eine flexible Integration mit Sensoren, Maschinensteuerungen und Automatisierungsnetzwerken ermöglicht.

Sicherheitssteuerungen für programmierbare Sicherheit

Eine weitere Option für die Sicherheit, die als ausfallsicher eingestuft werden kann, ist die Integration von speziellen Sicherheitssteuerungen. Solche Steuerungen sind für komplexe Automatisierungssysteme besser geeignet als Relais, da sie sowohl größere I/O-Arrays als auch SPS-Funktionen bedienen können. Der einzige Nachteil ist, dass diese eigenständigen Sicherheitssteuerungen eine zusätzliche Programmierung und Personalschulung erfordern. Ihre digitale Elektronik ermöglicht jedoch Automatisierungsfunktionen, die über Software vollständig konfigurierbar sind.

Abbildung 5: Sicherheitssteuerungen können mehrere Sicherheitsfunktionen für flexible und rekonfigurierbare Sicherheitsanlagen vereinen. In der hier dargestellten Arbeitszelle umfasst der erste Sicherheitskreis einen Lichtvorhang, der (bei Meldung eines unterbrochenen Zustands) einen Stromkreisschalter öffnet, um den Drehtisch anzuhalten. Der zweite Sicherheitskreis umfasst Muting-Steuerungen, die den Roboter normal arbeiten lassen, wenn ein Werkstück in die Arbeitszelle eintritt, während der Drehtisch angehalten ist. Andernfalls öffnet dieser Schaltkreis einen Schalter, um den Roboter zu deaktivieren. Der dritte Sicherheitskreis umfasst einen Not-Aus-Schalter, der alle Schalter öffnet und sowohl den Drehtisch als auch den Roboter anhält. (Bildquelle: Panasonic Industrial Automation Sales)

Die Techniker können Zonen definieren, die eine Sicherheitsabdeckung benötigen, und deren Einstellungen ändern, ohne die gesamte Arbeitszelle neu verdrahten zu müssen. (Das wiederum senkt die Kosten für die Verkabelung und den Arbeitsaufwand) In der Regel unterstützen auf Sicherheitssteuerungen basierende Installationen auch Netzwerkerweiterungen und IIoT-Vernetzung, wenn sich der Betrieb weiterentwickelt.

Integrierte Sicherheit in Industriesteuerungen mit Sicherheitseinstufung

Eine dritte Option für ausfallsichere Sicherheitssteuerungen, die in anspruchsvollen Maschinen immer häufiger zum Einsatz kommt, sind integrierte Sicherheits-SPSen, programmierbare Automatisierungssteuerungen (PACs) und andere PC-basierte Steuerungen. Einige dieser elektronischen Geräte können zusätzlich zu den alltäglichen Maschinenfunktionen auch Sicherheitsfunktionen übernehmen. Das Ergebnis ist eine programmierbare und damit flexible Steuerung sowohl der automatisierten Maschinenanlagen als auch der für ihren Betrieb erforderlichen Sicherheitsfunktionen.

Fazit

Ausreichende Maschinensicherheit beruht auf Rückführungs- und Steuerungskomponenten, die so ausgelegt sind, dass sie einen den Gefahren der jeweiligen Anwendung angemessenen Schutz bieten. Die Maschinensicherheit erfordert auch eine ordnungsgemäße Integration, Dokumentation und Validierung der Komponenten. Letzteres stellt sicher, dass die Sicherheitsschaltungen in allen Betriebsarten der Maschine korrekt funktionieren, auch bei Fehlern.

Die Normen IEC 61508 und 62061 für den Sicherheitslebenszyklus legen fest, wie die Sicherheitsintegration korrekt ausgeführt wird - von der anfänglichen Risikobewertung und dem Design bis hin zur realen Überprüfung der Leistung eines installierten Systems durch den OEM und wiederum durch den oder für den Endbenutzer, sobald die Maschine installiert ist. Bei letzterem werden die Maschinen auf Herz und Nieren geprüft, indem normale Betriebsabläufe, Verlangsamungen, Stopps und Rücksetzroutinen getestet werden.