Maschinensicherheit Ein generell hoher Performance Level ist nicht immer nötig oder technisch möglich

Autor / Redakteur: VDW AK Sicherheitstechnik* / Jan Vollmuth

Dieser Beitrag zeigt anhand eines Beispiels, warum eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 unnötig ist.

Firmen zum Thema

Eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 ist unnötig, so die Autoren.
Eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 ist unnötig, so die Autoren.
(Bild: 2018 Martin Stollberg / TRUMPF GMBH+CO. KG)

Seit vor mehr als 10 Jahren die EN 954-1 durch die ISO 13849-1 abgelöst wurde, gibt es zwischen Maschinenherstellern und Maschinenbetreibern unterschiedliche Ansichten, wie die aktuelle Norm ISO 13849-1:2015 angewendet und umgesetzt werden soll. Auch sind Denkmuster der Vorgängernorm noch weit verbreitet. Während die ISO 13849-1 – die sich im Rahmen der Sicherheit von Maschinen mit den sicherheitsbezogenen Teilen von Steuerungen (SRP/CS) beschäftigt – einer weitaus detaillierteren Betrachtung der eingesetzten Komponenten und deren Architektur bedarf, ging die EN 954-1 weniger differenziert auf die unterschiedlichen Sicherheitsaspekte ein.

Bildergalerie

Stand der Technik kann Grenzen setzen

Im Folgenden wird anhand eines Beispiel gezeigt, warum eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 unnötig ist. Zudem ist eine zweikanalige Realisierung der Sicherheitsfunktion in Kategorie 3 in der technischen Umsetzung nicht zwingend erforderlich. Darüber hinaus kann, unabhängig von der Anwendung der ISO 13849, das Niveau des erreichbaren Performance Levels (PL) auch durch den Stand der Technik begrenzt und deshalb technisch nicht umsetzbar sein.

Graph zur Bestimmung des erforderlichen PLr für Sicherheitsfunktion (informativ).
Graph zur Bestimmung des erforderlichen PLr für Sicherheitsfunktion (informativ).
(Bild: ISO 13849-1:2015 Anhang A, Bild A.1)

Da es in Bezug auf die Möglichkeit der Vermeidung einer Gefährdung einen signifikanten Unterschied darstellt, ob eine Bewegung unerwartet anläuft oder eine Bewegung gezielt gestoppt wird, werden gemäß ISO 13849-1:2015 Tabelle 8 und 9 unterschiedliche Sicherheitsfunktionen genannt. Im Rahmen der Risikobeurteilung ergeben sich bei der Beurteilung des P Parameters für beide Funktionen unterschiedliche Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen.

Während bei einem sicherheitsbezogenen Stopp der Parameter P1 verwendet werden kann, falls die Gefährdung der vorausgegangenen Bewegung offensichtlich erkennbar ist, erfolgt für einen unerwarteten Anlauf die Bewertung der „Möglichkeit zur Vermeidung der Gefährdung“ häufig mit P2, da dieses Ereignis kaum vorhersehbar sein dürfte.

In Kombination mit einer selten auftretenden Gefahr einer schwerwiegenden Verletzung (S2-F1), führt dies nach S2-F1-P1 zu einem PLr=c und bei S2-F1-P2 zu einem PLr=d für die beiden Sicherheitsfunktionen.

Verwendung von Fehlerausschlüssen bei der Realisierung

Beispiel: Sicherheitsbezogene Stoppfunktion vs. Verhinderung des unerwarteten Anlaufs.
Beispiel: Sicherheitsbezogene Stoppfunktion vs. Verhinderung des unerwarteten Anlaufs.
(VDW – Verein Deutscher Werkzeugmaschinenfabriken e.V.)

Für die technische Umsetzung dieser Anforderungen - hier exemplarisch an einer hydraulischen Abschaltung - bedeutet dies, dass der PLr=c des sicherheitsbezogenen Stopps ohne weiteres mit einem 1-kanaligen System unter Verwendung eines Ventils nach dem Stand der Technik realisiert werden kann.

Betrachtet man die Anforderung des unerwarteten Anlaufs (PLr=d, Kat 3), so kann diese durch Auswahl eines geeigneten hydraulischen Ventils nach ISO 13849-2 (Punkt Fehlerausschluss für die selbsttätige Veränderung der Ausgangs-Schaltstellung – ohne Eingangssignal) und entsprechender Realisierung der elektrischen Ansteuerung des Ventils nach PL=d, Kat.3 mit dieser Architektur ebenfalls realisiert werden. Das Sicherheitsniveau der Funktion wird aufgrund des Fehlerausschlusses durch die einkanalige Verwendung des Ventils nicht beeinflusst, da es unter keinen Umständen gefahrbringend ausfällt.

Netzwerk Maschinensicherheit

Mitautor Heinrich Mödden wird am 30. September 2021 auf der Fachkonferenz Netzwerk Maschinensicherheit in Würzburg in einem Vortrag vertiefend darauf eingehen, warum ein generell hoher Performance Level nicht immer nötig oder technisch möglich ist. Zudem wird er dort für Fragen zur Verfügung stehen.

Zur Homepage des Netzwerk Maschinensicherheit

Problematik in Normengremien bekannt

Missverständnisse und Unklarheiten bei der Interpretation der ISO 13849-1 führen dennoch immer wieder zu Diskussionen zwischen Maschinenherstellern und Maschinenbetreibern. Die Normengremien der Maschinensicherheitsnormen (Typ-C-Normen) haben dieses Problem aufgegriffen. So erfolgt z.B. in der ISO 23125:2015 – Drehmaschinen, der ISO 16089:2015 – Schleifmaschinen oder der ISO 16090-1:2017 – Bearbeitungszentren, Fräsmaschinen, Transfermaschinen eine Auflistung inklusive Beschreibung der gängigen Sicherheitsfunktionen, häufig mit einem geforderten PLr=c oder b.

Im Anhang I der ISO 16090-1:2017 – Bearbeitungszentren, Fräsmaschinen, Transfermaschinen sind typische Anforderungsraten beschrieben. Forderungen nach anderen Anforderungsraten bedeuten für den Maschinenhersteller eine Neuberechnung aller SRP/CS, was mit einem erheblichen Mehraufwand verbunden ist. Um hier Klarheit zu schaffen, wurden deshalb typische Anforderungsraten von Sicherheitsfunktionen für verschiedene Maschinentypen festgelegt. Dies betrifft Werte wie hop, die mittlere Betriebszeit in Stunden je Tag, dop, die mittlere Betriebszeit in Tagen je Jahr, und tcycle, die mittlere Zeit zwischen dem Beginn zweier aufeinander folgenden Zyklen des Bauteils in Sekunden.

Geänderte Betrachtungsweise

Mit der ISO 13849-1 hat sich die Betrachtungsweise gegenüber der EN 954-1 geändert und die Anzahl der zu ermittelnden Sicherheitsfunktionen übersteigt die unter der EN 954-1 erforderlichen Beurteilungen deutlich. Ein Grund hierfür ist unter anderem, dass nach ISO 13849-1 die Ausfallwahrscheinlichkeit betrachtet wird. Dies betrifft nicht nur elektrische, sondern auch pneumatische und hydraulische Komponenten. Zusätzlich wird zwischen dem Stoppen einer Bewegung und dem Verhindern des unerwarteten Anlaufs unterschieden, siehe ISO 13849-1:2015 Tabelle 8 und 9. Bei einer nach ISO 13849 zu beurteilenden Werkzeugmaschine bedeutet dies, dass meist mehr als 100 Sicherheitsfunktionen dokumentiert und berechnet werden müssen.

Die dafür notwendigen PLr werden direkt aus den Typ C-Normen entnommen. Alternativ kann über eine Risikobeurteilung mit Hilfe eines Risikographen oder einer Risikomatrix der PLr ermittelt werden. Dabei kann es sich um den informativen Risikographen aus dem Anhang A der ISO 13849-1 handeln, der aber für die Ermittlung des PLr nicht zwingend ist.

Für die derzeit 19 Maschinenhersteller, die im VDW „AK Sicherheitstechnik“ aktiv sind, ist die Gestaltung von sicheren Systemen nach dem aktuellen Stand der Technik eine zentrale Aufgabe. Deshalb beteiligen sich diese Maschinenhersteller intensiv in deutschen und internationalen Gremien an der Überarbeitung der Typ C-Normen.

* Kontakt: Sekretär des VDW-Arbeitskreises AK Sicherheitstechnik, Heinrich Mödden, Email: h.moedden@vdw.de

(ID:47472204)