Maschinensicherheit im Fokus: Was die erneuerten Normen mit sich bringen

Moderne Fertigungslinien müssen nicht nur hochflexibel, sondern auch hochverfügbar und hoch effizient sein. Das bedeutet: In vielen Fällen wächst der Automatisierungsgrad, Maschinen und Anlagen werden immer modularer und Fertigungssysteme insgesamt komplexer und dezentraler. Aus diesen Entwicklungen ergeben sich auch wachsende Anforderungen an die Anlagen- und Maschinensicherheit, bei der zunehmend konfigurier- und programmierbare, integrierte Systeme zur Absicherung von Maschinen und Anlagen zum Einsatz kommen.

Normen für Maschinensicherheit

Für die Definition, Spezifikation und Umsetzung der entsprechenden Sicherheitsfunktionen kommen dabei im Wesentlichen zwei Normen zur Anwendung: zum einen die DIN EN ISO 13849-1, die sich mit Gestaltungsleitsätzen zu sicherheitsbezogenen Teilen von Steuerungen beschäftigt, zum anderen die DIN EN IEC 62061, die die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme zum Inhalt hat. An beiden Normen hat man auf Basis der gemeinsamen Aktivitäten von ISO und IEC in den letzten Jahren intensiv gearbeitet. Die neue Ausgabe der DIN EN ISO 13849-1 steht nun kurz vor der Veröffentlichung, die DIN EN IEC 62061:2023-02 (VDE 0113-50) ist als deutsche Ausgabe der IEC 62061:2021-04 im Februar dieses Jahres erschienen.

Von der Sicherheitsfunktion zur funktionalen Maschinensicherheit

Das erste augenfällige Ergebnis der Überarbeitung ist, dass sich beide Normen deutlich angenähert haben: Sie besitzen eine nahezu gleiche Struktur und folgen dem typischen Arbeitsablauf bei der Auslegung der jeweiligen Sicherheitssysteme. Zentrales Element ist dabei die Spezifikation der Sicherheitsfunktion (Safety Requirements Specification, SRS) – aus gutem Grund, denn die meisten Fehler entstehen bereits in dieser Phase. Zwar ist allgemein bekannt, dass die Sicherheitsfunktion immer im Kontext der DIN EN ISO 12100 als risikomindernde Maßnahme zu sehen ist. Allerdings ist es beim Lesen der DIN EN ISO 12100 nicht offensichtlich, dass sich die Sicherheitsfunktionen bei Betrachtung der grundlegenden Funktionen einer Maschine in drei Arten unterscheiden lassen.

Sicherheitsfunktionen zum Schutz von Personen mindern Risiken, die durch die Mensch-Maschine-Interaktionen entstehen und sollen sicherstellen, dass die Person nicht verletzt wird. Andere Sicherheitsfunktionen reduzieren Risiken, die durch unsachgemäßen Gebrauch der Maschine entstehen, und Sicherheitsfunktionen zum Schutz der Maschine sollen gewährleisten, dass sich bei einem Ausfall oder Fehler der Maschinensteuerung Unfälle verhindert lassen. Jede dieser Sicherheitsfunktionen stellt eine (oder mehrere) technische Maßnahme dar, die über die funktionale Sicherheit als Steuerungslösung implementiert wird.

Umsetzung von Sicherheitsfunktionen mit Teilsystemen

Die Norm DIN EN ISO 13849-1 bezeichnet diese Steuerungslösung als SRP/CS, sicherheitsbezogene Teile einer Steuerung (safety-related parts of a control system) und die DIN EN IEC 62061(VDE 0113-50) verwendet die Abkürzung SCS, sicherheitsbezogenes Steuerungssystem (safety-related control system). Dabei lassen sich je nach Anforderungen und Rahmenbedingungen der jeweiligen Anwendung die definierten Sicherheitsfunktionen in der Praxis durch bereits entworfene und geprüfte Teilsysteme, neue Teilsysteme oder einer Kombination aus beidem realisieren. Diesem Vorgehen kommt entgegen, dass in der DIN EN ISO 13849-1 der Begriff des Teilsystems aufgenommen wurde. Das erleichtert es den Anwendern, eine Funktion für mehr Maschinensicherheit zu entwerfen und zu bewerten. Ein Teilsystem stellt die kleinste Einheit dar, die bei Versagen auch das Versagen der Sicherheitsfunktion zur Folge hat. Jedes Teilsystem ist das Abbild einer Teilfunktion der eigentlichen Sicherheitsfunktion.

Vergleich von Architekturen und Teilsystemen

Ein Unterschied zwischen der DIN EN ISO 13849-1 und der DIN EN IEC 62061 (VDE 0113-50) ist der Aufbau der Teilsysteme. Wesentliches Merkmal der DIN EN ISO 13849-1 ist, dass die Architektureigenschaften eines Teilsystems über Kategorien definiert werden. Dabei beschreibt die DIN EN ISO 13849-1 die einkanaligen Strukturen mit den Kategorien B, 1 und 2, und die zweikanaligen Strukturen mit den Kategorien 3 und 4 (bezeichnet auch als „vorgesehene Architekturen“). Die DIN EN IEC 62061 (VDE 0113-50) verfolgt einen vergleichbaren Ansatz, verwendet dazu aber den Begriff der „Hardware-Fehlertoleranz“ HFT (hardware fault tolerance), wobei HFT = 0 eine einkanalige Struktur meint, und HFT = 1 eine zweikanalige. Die Sicherheitsintegrität jedes Teilsystems lässt sich auf Basis der ausgewählten Struktur mit dem Diagnosedeckungsgrad und den Ausfallraten ( oder Lambda ) ermitteln.

DIN EN ISO 13849-1 umschreibt diese Sicherheitsintegrität mit dem Performance Level PL (PL a bis PL e) und DIN EN IEC 62061: (VDE 0113-50) verwendet den Sicherheitsintegritäts-Level SIL ­ (SIL 1, 2 oder 3). Dabei dürfen beide Normen für alle Technologien verwendet werden. Die DIN EN IEC 62061 (VDE 0113-50) hat dazu die grundlegenden und bewährten Sicherheitsprinzipien als auch die bewährten Bauteile explizit mit aufgenommen. Somit werden Lösungen auf Basis der beiden Normen vergleichbar.

Statt „entweder oder“ jetzt „sowohl als auch“

All das führt dazu, dass sich Anwender nicht mehr länger für das eine oder andere Vorgehen bei der Spezifikation und Umsetzung von Funktionen für Maschinensicherheit entscheiden müssen. Diese Sichtweise teilt auch die IEC TS 63394 als Leitfaden zur funktionalen Sicherheit von sicherheitsgerichteten Steuerungssystemen, die weitere Gemeinsamkeiten beider Normen erläutert. Jetzt können sich Anwender entscheiden, wann welche Norm – auch nur auf Teilsystemebene – am besten für die jeweiligen Anforderungen in Frage kommt. Dabei wird bei der Bewertung einer Sicherheitsfunktion eine Norm als Basis genommen, jedoch lassen sich Teilsysteme mit der jeweils anderen Norm bewerten und einbinden. Dadurch kann man auch gemischte Lösungen aus Teilsystemen, die jeweils mit einer der beiden relevanten Normen erstellt wurden, einfacher und transparenter entwickeln und umsetzen.

Der Autor Patrick Gehlen ist Senior Safety Expert bei Siemens.

Lesen Sie auch: Siemens: NX-Power-Monitor jetzt mit KI-basierter ESA-Technologie