Dieser Artikel beleuchtet einige praktische Aspekte zur Auswahl der passenden Logik für Sicherheitsfunktionen im Alltag. Frei nach dem Motto „Drum prüfe wer sich ewig bindet“ (F.Schiller), sollte jeder Integrator bei der Auswahl der Logik für Sicherheitsfunktionen mit Bedacht vorgehen. Der Teufel steckt wie immer im Detail. Reicht ein Sicherheitsbaustein bzw. ein Sicherheitsrelais ? Ist eine Sicherheitssteuerung nicht zu aufwendig ? Oder kann die Sicherheitsfunktion nicht in die Steuerung (SPS) integriert werden ? Welches ist die richtige Lösung für meine Branche (ISO 13849, IEC 62061, IEC 61511, VDI/VDE 2180) ?
Sicherheitsschaltgerät (pragmatisch, praktisch, gut)
Das einfache Sicherheitsschaltgerät bzw. Sicherheitsrelais ist quasi das Schweizer Taschenmesser für den pragmatischen Integrator. Es bildet unabhängig von der Maschinensteuerung (Control System, CS) als Sicherheitsbauteil (safety related part, SRP) nach Maschinenrichtlinie eine Logik für einfache binäre und lokale Sicherheitsfunktionen mit elektrischer Energieabschaltung. Vorteile sind Modularität, einfache Implementierung, einfache Konfiguration, Diagnosefunktionen (Kabelbruch, Kurzschlüsse) und Wechselwirkungsfreiheit zur Maschinensteuerung. Gerade letzter Punkt ist entscheidend, denn egal ob Sie eine neue Maschine mit wenigen und einfachen Sicherheitsfunktionen bauen oder eine alte Maschine mit einfachen Sicherheitsfunktionen nachrüsten, damit machen Sie nichts falsch. Sie ersparen sich bei dieser Wahl viel analytischen Aufwand, um systematische Fehler zu vermeiden. Da wo keine Programmierung und keine Vernetzung ist, kann die erreichte Sicherheitsintegrität nicht so schnell negativ beeinflusst werden.
Die zunehmende digitale Entwicklung (IoT, I4.0) und der integrierte mechatronische Entwicklungsansatz führen jedoch schnell zu komplexen und intelligenten Maschinen, welche komplexe Sicherheitsfunktionen induzieren. Da kann ein Sicherheitsschaltgerät nicht mehr mithalten. Bereits eine einfache Kombination elektrischer und pneumatischer Technologien kann die Anwendungsgrenzen bereits sprengen, da oft Analogsignale ausgewertet und plausibilisiert werden müssten. Die Kosten steigen proportional zur Anzahl der Sicherheitsfunktionen. Ab 3 Sicherheitsfunktionen kann sich bereits bei einer Neuentwicklung eine Sicherheitssteuerung lohnen. Bei verketteten Maschinen mit übertragenden Gefahrenpotenzialen ist auch der lokale Bezug nicht mehr gegeben. Damit sind auch in diesem Fall die Anwendungsgrenzen eines Sicherheitsrelais erreicht.
Sicherheitsrelais, Kleinsteuerung, SPS – zweckgebunden Fremdgehen!
Sie greifen als Maschinen- oder Anlagenbauer oft ins Regal ? Dann haben Sie sich Mental bereits Verkauft an einen der großen Hersteller wie Pilz, Wieland, Phoenix Contact, Schneider Electric, Rockwell oder Siemens. Evtl. haben Sie bereits Zeit und Kapital investiert in die Software zur Programmierung oder die Macht der Gewohnheit bestimmt ihr Auswahlverhalten. Dabei kommen nicht immer die besten Kosten- & Nutzenlösungen heraus. Wussten Sie, dass bei Wieland kostenlose Software zur Konfiguration der Sicherheitsbausteine angeboten wird und das Pilz bereits eine Art Lizenzgebühr nimmt ? Wenn Sie Neuling bei Siemens sind, dann kann man schnell teure und nicht ganz einfache Lizenzpakete kennenlernen. Am Ende muss es sich lohnen.
Wer Anlagen baut, wird den integrated Safety Ansatz von Siemens Simatic gehen oder DeltaV von Emerson nutzen. Daher wird i.d.R. auf den Einzelfall abgestellt. Was ist das richtige für Sie als Integrator, für Ihre Kunden, für die Gesamtheit der Maschinen oder den speziellen Anwendungsfall (z.B. Brennersteuerung). Ein Hersteller von Sicherheitsbausteinen, welcher auch eine Sicherheitskleinsteuerung im Angebot hat, erreicht niemals die Modularität, Vielfalt, Trägheit und Komplexität eines SPS Herstellers wie Siemens. Daher machen Sie sich bewusst, dass Sie auch mal unbemerkt falsch in Regal greifen können und Ressourcen verschwenden.
Retrofit, Neubau, der passende Zeitpunkt
Wann ist die Auswahl sinnvoll ? Das lässt sich nicht ganz leicht beantworten und ist einzelfallabhängig. Während die Marketingabteilungen der Hersteller mit Begrifflichkeiten und Versprechungen Sie verführen wollen, liegt die pragmatische Lösung oft in Ihren Händen. Denn letztendlich müssen Sie die Verantwortung tragen. Zur Erinnerung, Funktionale Sicherheit bedeutet zufällige Hardwarefehler beherrschen und systematische Fehler vermeiden im gesamten Lebenszyklus. Dazu müssen Sie erstmal eine ordentliche Spezifikation und Anforderungsanalyse durchführen. Aller Anfang ist die Risikobeurteilung nach ISO 12100 im Maschinenentwurf. Für im Betrieb befindliche Maschinen ist die Gefährdungsanalyse Ausgangspunkt. Erst wenn Sie die Randbedingungen wie verwendete Technologien, Schnittstellen, Nachlaufzeiten, Reaktionszeiten und weitere relevante physikalische Größen kennen, können Sie passend auswählen. An eine Verriegelung werden heute hohe Anforderungen gestellt.
Daher muss eine vollständige und freigegebene Risikobeurteilung vorliegen. Die Risikominderung wird in der Gesamtheit in einem technischen Gesamtsicherheitskonzept beleuchtet. Insbesondere auch bei Anlagen mit produktionstechnischen und sicherheitstechnischen Zusammenhang ist das maschinenübergreifende Konzept sinnvoll. Beim Retrofit haben Sie Schnittstellen zwischen Alt und Neu, es gleicht manchmal einer Operation am offenen Herzen, denn etwas Altes zu verändern ist manchmal riskanter als etwas Neues zu entwerfen. Durch das Hinzufügen von Sicherheitsfunktionen können neue Gefahren entstehen!
Erst wenn Sie:
- die Gesamtheit aller Sicherheitsfunktionen,
- die sicheren Zustände,
- die Eigenheiten aller Technologien (Elektrik, Pneumatik, Hydraulik, Mechanik),
- Ihre Qualifikation/Kompetenz richtig einschätzen,
- sowie die Schnittstellen kennen,
können Sie eine optimale sicherheitstechnische Lösung erarbeiten. Seien Sie also nicht zu voreilig, denn oft findet sich aus Angst safety-over-engineering oder keine Art von safety-engineering. Meist kommt man auch zu spät und ist schon fertig mit der Konstruktion. Also VORHER Risikobeurteilung durchführen, ggf. um Rat fragen, das Sicherheitshandbuch (Safety Manual) studieren und die Lösung im iterativen Entwurf erarbeiten. Das spart ZEIT, KAPITAL und NERVEN.
Komplexität liegt in verwendeter Technologie & der Anwendung
Einfache binäre Sicherheitsfunktion vom Typ „Klick Klack“ mögen für viele Anwendungsfälle mit geringer Nachlaufzeit bereits ausreichend sein. Ein zwangsgeführter Schaltkontakt wird mechanisch betätigt („klick“) und elektrische Energie wird über ein Hauptschütz mit Spiegelkontakten abgeschaltet („klack“). Doch gibt es viele Bereiche, in der die Sicherheitsfunktion auf mehr Informationen angewiesen ist. Analogsignale kommen schnell ins Spiel, wenn es um Temperatur, Kräfte oder Druckerfassung geht. Die sicherheitsgerichtete analoge Signalverarbeitung ist nicht trivial. Das Ruhestromprinzip an einem Schaltkontakt (zwangsöffner) ist dagegen trivial. Wenn es einen statischen Fehler in der Leistung (z.B. Kurzschluss) gibt, erkennt es die Diagnosefunktion im Sicherheitsschaltgerät. Die binäre Information ist robust, da es ein diskretes Signal ist. An einem Analogsignal wird es ungleich komplexer umgesetzt. Ein Fehler eines Analogsignals ist eine untolerierbare prozentuale Abweichung von Realwert. Doch wie kann die Sicherheitslogik das erkennen? Diversität und/oder eine Plausibilisierung ist erforderlich bei Verwendung eines passenden sicherheitsgerichteten Interfacebausteins (4-20mA) mit überwachter Stromquelle.
Beispiel Pneumatik im Maschinenbau
Ein weiteres Beispiel findet sich oft in der Pneumatik, denn diese hat eine anderes Verhalten als elektrische Energie. Hier wird Druck in einem dynamischen System auf- und abgebaut mit aktorspezifischen Verhalten. Hier muss man sich mit der Technologie genauer auseinander setzen und bewährte sowie grundlegende Sicherheitsprinzipien dieser Technologie berücksichtigen. Es gibt normative Bestrebungen des VDMA (VDMA 24584), die elektrischen Sicherheitsfunktionen auf pneumatische Sicherheitsfunktionen übertragen zu wollen. Ein Safe Torque Off (STO) in der Elektrik ist dann ein sicheres Entlüften in der Pneumatik.
Beispiel Batch Reaktor in der Prozessindustrie
In der Prozessindustrie findet sich nach IEC 61511 bzw. in VDI/VDE 2180 auch eine Besonderheit. Prozess- oder phasenabhängige Sicherheitsfunktionen (SIF), welche durch ein System (SIS) realisiert werden, unabhängig von der Prozesssteuerung (BPCS). Hierzu muss die Logik einen Zustand erkennen und passend handeln. Ist ein Batch-Reaktor geladen mit gefährlichen Chemikalien und kommt es zu einer Reaktion in einer zeitlichen Abfolge, so ist es oft erforderlich, eine bestimmte Temperatur oder Druck nicht zu überschreiten zu einem Zeitpunkt X. Das ist nicht trivial und Bedarf einer Menge an kontinuierlichen komplexen Funktionen, wie dem Aufintegrieren bei Fluss-/Mengenmessungen über analoge Sensorsignale.
Programmierbare Sicherheitssteuerungen (Safety SPS)
Mit steigender Zahl der Sicherheitsfunktionen und aufkommender Komplexität mit einer Betriebarten- oder Prozessabhängigkeit sind sie mit programmierbaren Sicherheitssteuerungen auf dem richtigen Pfad. Gerade wenn der sichere Zustand nicht durch einfache Energieabschaltung sondern durch einen Abschaltprozess möglicherweise mit Prozessabhängigkeit erfolgen muss, ist auch hier eine Sicherheitssteuerung oder Sicherheitskleinsteuerung bereits sinnvoll. Neben der Möglichkeit auch Analogsignale zu verarbeiten, können Sie in einer Programmierumgebung mit reduziertem Sprach- und Funktionsumfang (Limited Variability Language, LVL) etwas komplexere Sicherheitsfunktionen mit numerischer Berechnung realisieren. Doch das kostet Zeit und Geld. Zum einen sind oft Lizenzkosten zu berücksichtigen und andererseits muss man erstmal die Programmiersprache und den Programmierprozess kennenlernen.
Der Realisierungsaufwand steigt signifikant im Vergleich zum hartverdrahteten Sicherheitsrelais, denn es müssen systematische Fehler vermieden werden. Der Code wird i.d.R. einem Review/Walkthrough unterzogen, getestet und gegen unbefugte Veränderungen gesichert. Die Verifikations- und Validierungsaufwände steigen und die Herstellerabhängigkeit folgt, da die Wechselkosten hoch sind (Marketing: Lock-In-Effekt).
Sicherheitskleinsteuerungen – ein guter Kompromis ?
Sicherheitskleinsteuerungen sind ein guter Kompromis, wo nachträglich im Retrofit, zur (zu)späten Stunde im Projekt oder generell mehr als 3 einfache Sicherheitsfunktionen realisiert werden. Beachten Sie, dass hier auch meist nur logische Verknüpfungen realisiert werden und oft keine sicherheitsgerichtete analoge Signalverarbeitung möglich ist. Dank Kommunikationsmoduln und einfacher Konfigurationssoftware kann mehr Flexibilität bei gleichzeitig einfacher Normkonformität (ISO 13849, IEC 62061) durch vorzertifizierte Funktionsbausteine erreicht werden. Die Trennung zwischen Maschinensteuerung und Sicherheitsfunktion macht es möglich, getrennt zu entwickeln und zu betreiben. Sicherheitsrelevante Informationen können nun über zusätzliche Sicherheitsprotokollschichten wie PROFIsafe auf den Industrie-Ethernetstandard PROFINET verteilt werden.
Doch da wo Licht ist, kann auch Schatten sein, wie es die Cyberangriffe in der Verganenheit gelehrt hat. Sicherheitsfunktionen und Vernetzung bedeutet wieder Analyse und dies fortwährend im IT-Sicherheitsbereich (IT-Security). Siehe hierzu auch IEC 62443, eine internationale Normenreihe über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“.
Integrierte Sicherheit (Safety) & Cybersicherheit (IT)
Wenn schon, denn schon, nicht wahr ? Wer bei Siemens und dem TIA-Portal zu Hause ist, wird mit ziemlicher Sicherheit den integrierten Ansatz wählen für alle Neuentwicklungen. Doch Vorsicht ist die Mutter der Porzellankiste. Für alle Fail Safe Anwendungen mag das gut gehen. Aufwand und Kosten halten sich möglicherweise die Wage, wenn mehr als 3 Sicherheitsfunktionen realisiert werden sollen. Doch die integrierte Vernetzung brigt Gefahren, dazu die Fehler gemeinsamer Ursache. Der Analyseaufwand steigt definitiv und muss gerechtfertigt sein.
Entwicklungen und Hintergründe – Safety Insider
Es gibt ja branchentypische Gepflogenheiten. Die Prozess- und Anlagenindustrie hat die längsten Investitionszyklen, da gibt es heute noch alte MOD5 Prozesssteuerungen von Dow oder alte SIMATIC S5 Maschinensteuerungen von Siemens. Hartverdrahtete Bestandsanlagen älter als 40 Jahre sind keine Seltenheit in meiner Praxis, denn zur Bauzeit gab es keine Konformitätsverfahren und Normen und Richtlinien wie die ISO 13849, IEC 62061, IEC 61508 oder EU Richtlinien (MRL, NRL, EMV, ATEX etc…). Doch Bestandsschutz gibt es nicht im Arbeitsschutz und der Betriebssicherheitsverordnung (BetrSichV). Gesetze wie das Produktsicherheitsgesetz (ProdSG) forcieren den laufenden Stand der Technik und Neuanlagen oder Maschinen mit IoT und Industrie 4.0 definieren den Stand der Technik neu. Das bedeutet langfristig, dass die Sicherheitsfunktionen mit mehr Komplexität einhergehen. Diese ist für jeden Maschinenbauer, Lieferanten oder Innovator stets zu beherrschen, denn wer Funktionale Sicherheit nicht als Skill, als Firmenkultur aktiv lebt, wird nicht mehr lange am Markt sein oder Marktanteile verlieren.
Generell hat der Trend in Richtung integrated safety in hoch vernetzten Maschinen und Anlagen in den letzten Jahren von den Entwicklungen in der Automobilindustrie profitiert. Die ISO 26262 (Norm zur Funktionalen Sicherheit im Automobil) hat die rechtliche Grundlage gebildet und das Kapital hat seinen Weg gefunden in die Entwicklungsabteilungen der Halbleiterhersteller. Für den innovativen Integrator wird dies jedoch nicht leichter, denn die großen Industrieanbieter wie Siemens, Pilz und Co sind da nicht mit gleicher dynamik mitgegangen.