Fehlertoleranz in der Maschinensicherheit

Laptop im Hintergrund mit Waben als Icons im Vordergrund

Risikobereitschaft ist individuell verschieden. Doch was im persönlichen Bereich jedem selbst überlassen bleibt, muss im Bereich der Maschinensicherheit bewertet und standardisiert geregelt werden. Welches Risiko ist noch akzeptabel, welcher Fehler kann sich fatal auswirken und unter welchen Bedingungen es aus normativer Sicht zulässig, einem Automatisierungssystem mit einem sicherheitskritischen Fehler den Weiterbetrieb für eine begrenzte Zeit zu ermöglichen?

Bei diesen Fragen handelt es sich um einen neuen „Safety“-Ansatz. So sollen Steuerungssysteme der funktionalen Sicherheit im Fehlerfall nicht mehr einfach abschalten. Stattdessen melden sie sich rechtzeitig – und bleiben noch für eine „sicherheitstechnisch vertretbare Zeit“ weiter in Betrieb.

Was bedeutet Fehlertoleranz in der Maschinenscherheit?

Fehlertoleranz bedeutet, dass ein technisches System seine Funktionsweise aufrecht erhalten kann, auch wenn Fehlerzustände und Ausfälle die Funktion beeinträchtigen. Bei einem fehlertoleranten System ist neben der Fehlererkennung zusätzlich eine qualifizierte Fehlerbewertung erforderlich. Damit kann entschieden werden, ob der erkannte Fehler toleriert werden kann oder doch so schwerwiegend ist, dass ein sofortiges Stillsetzen (Abschalten) unabdingbar ist.

Fehlertoleranz erhöht die Verfügbarkeit eines Systems

Umfallende Dominosteine auf grauem Hinergrund

Eine solche Fehlerbewertung ist in den „klassischen Systemen der Fabrikautomation“ in den derzeitigen Implementierungen nicht üblich. Ohne Fehlerbewertung ist eine Fehlertoleranz jedoch nicht möglich. Hieraus ergibt sich, dass eine Entscheidungsfindung zur abgestuften Fehlerreaktion nur in Geräten oder Systemen mit entsprechender Ausgestaltung möglich ist. Der Entwickler und auch der Anwender eines fehlertoleranten Geräts oder Systems haben hierbei noch zusätzlich die Länge des Zeitraums Δtdeg für den Weiterbetrieb - im degradierten Zustand - festzulegen. Außerdem müssen gegebenenfalls zusätzliche Maßnahmen zur Risikominderung vorgegeben werden, die dann Teil der Benutzerinformation werden. In der Praxis kann damit zum Beispiel ein Bearbeitungsschritt zu Ende geführt werden.

Maschinenrichtlinie – ist degradierter Betrieb normenkonform?

Steuerungssysteme der funktionalen Sicherheit helfen im Maschinen- und Anlagenbau die Anforderungen an den Arbeits- und Gesundheitsschutz gemäß der Maschinenrichtlinie (2006/42/EG) abzudecken. Ausgangspunkt hierfür ist die Risikoanalyse und Risikoeinschätzung basierend auf der EN ISO 12100. Diese Norm beschreibt grundlegende Gefährdungen und unterstützt den Konstrukteur bei der Identifizierung relevanter und signifikanter Gefährdungen, die durch risikomindernde Maßnahmen auf ein akzeptables Restrisiko gesenkt werden.

Schutzmaßnahmen nach EN ISO 13849-1 und/oder IEC 62061

Kommen steuerungstechnische Schutzmaßnahmen zum Einsatz, legen die Hersteller diese nach EN ISO 13849-1 und/oder der IEC 62061 aus. Die technische Dokumentation enthält Hinweise zum Aufbau dieser Maßnahmen, deren sicherheitstechnischen Zuverlässigkeit und ihrer bestimmungsgemäßen Verwendung.

Sicherer Zustand in der funktionalen Sicherheit

Steuerungssysteme der funktionalen Sicherheit werden heute so ausgelegt, dass ihr sicherer Zustand der Zustand der Energiefreiheit ist. Das heißt: Alle gefährlichen Bewegungen werden gestoppt. Dies ist für alle Maschinen und Anlagen die richtige Wahl, bei denen die Energietrennung und damit ein Stopp der sichere Zustand ist.
Für immer mehr Maschinen und Anlagen, beispielsweise im Kontext von Industrie 4.0, ist jedoch eine erhöhte Verfügbarkeit notwendig bzw. gefordert. Zudem führt ein „harter Stopp“ gegebenenfalls zu weiteren Gefährdungen, die in der Risikoanalyse zu berücksichtigen sind. Das Dogma der Energietrennung, als einzige Reaktion im Fehlerfall, ist daher nicht mehr zeitgemäß.

Mann vor einem Normenlabyrinth

Das ZVEI-Whitepaper - Fehlertoleranz in der Maschinensicherheit

Eine Arbeitsgruppe - unter Mitwirkung von Pilz und dem IFA (Institut für Arbeitsschutz) - innerhalb des ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie) hat mehrere Whitepaper erarbeitet, die die Grundlagen von fehlertoleranten Geräten und Systemen in der funktionalen Sicherheit an Maschinen und Anlagen beschreibt. Diese wollen aufzeigen, dass die Umsetzung eines zeitlich begrenzten Betriebs mit degradierter Sicherheits-Teilfunktion in sicherheitsbezogenen Sensoren und Leistungsantrieben im Einklang mit den Schutzzielen der Maschinenrichtlinie möglich ist und nicht im Widerspruch zu den harmonisierten Normen EN ISO 13849 bzw. EN 62061 steht.
Ein Betrieb im degradierten Zustand bricht – normkonform – mit dem Dogma der sofortigen Energietrennung im Fehlerfall. Dies erhöht die Sicherheit und Verfügbarkeit von Maschinen und Anlagen:

  • Verringerung von Manipulationsanreizen
  • Keine Folgeschäden durch Abschalten zur Unzeit
  • Steigerung der Produktivität
  • Anlassbezogene Wartung ohne Ausfallzeiten

Der Arbeitskreis TASi des ZVEI fordert Anwender und Hersteller auf, diese Vorteile in Maschinen umzusetzen und somit für die Betreiber nutzbar zu machen.
Die Whitepaper richten sich in erster Linie an Maschinenbauer und Systemintegratoren, die für die Maschinensteuerung Sicherheitsfunktionen und Subsysteme entwerfen und umsetzen. Zusätzlich können diese Informationen ebenfalls für die Gestaltung von sicherheitsgerichteten Geräten und Systemen in der Produktentwicklung herangezogen werden.

Cover ZVEI Whitepaper Fehlertoleranz in der Maschinensicherheit

ZVEI-Whitepapers kostenlos runterladen!

Teil 1 des ZVEI-Whitepapers

Der erste Teil des Whitepapers beschreibt die Grundlagen für einen Betrieb im degradierten Zustand. Voraussetzung für die Anwendung des zweiten Teils ist die Berücksichtigung von Teil eins.

Download ZVEI-Whitepapers Teil 1

Teil 2 des ZVEI-Whitepapers

Der zweite Teil beschreibt wie fehlertolerante Sicherheitsfunktionen zu implementieren sind, die einen weiteren Betrieb einer Maschine oder Anlage bei Fehlerszenarien erlauben, ohne die Anforderungen an den Personenschutz zu vernachlässigen.

Download ZVEI-Whitepapers Teil 2

Kennen Sie schon unseren Podcast "For your safety"?

Not-halt mit Kopfhörern Pilz Podcast

Hören Sie gleich in unseren Podcast "For Your Safety" rein und erfahren Sie was Klaus Stark zum Thema Fehlertoleranz in der Maschinensicherheit zu sagen hat.

Gemeinsam mit dem ZVEI und IFA hat Pilz ein neues Konzept erarbeitet, das zum Ziel hat die Produktionsleistung zu erhöhen, indem ungewollter Maschinenstillstand minimiert wird. Für Geräte und Systeme der funktionalen Sicherheit gibt es darin neue Ansätze, um die Verfügbarkeit im Hinblick auf die Umsetzung von Industrie 4.0 und Smart Factory zu erhöhen – und das ohne ein erhöhtes Restrisiko für den Bediener.

Jetzt reinhören

Pilz Österreich

Pilz Ges.m.b.H. Sichere Automation
Modecenterstraße 14
1030 Wien
Österreich

Telefon: +43 1 7986263-0
E-Mail: pilz@pilz.at

Technischer Support

Telefon: +43 1 7986263-444
E-Mail: techsupport@pilz.at

War dieser Artikel hilfreich?