Die ISO 13849-1 beschäftigt sich im Rahmen der Sicherheit von Maschinen mit den sicherheitsbezogenen Teilen von Steuerungen. Seit ihrer Einführung bestehen hinsichtlich ihrer Anwendung und Umsetzung unterschiedliche Meinungen bei Maschinenherstellern und Endkunden. Erste Ergebnisse der oft kontrovers geführten, Diskussionen finden sich mittlerweile in den Normen wieder.
Am 31.12.2011 endete die Konformitätsvermutung der Sicherheitsnorm EN 954-1 für die Auslegung sicherheitsbezogener Teile – SRP/CS (safety related parts of a control system) – bei elektrischen, hydraulischen und pneumatischen Steuerungen. Solange diese „historische“ Norm aber noch in anderen Normen, wie beispielsweise in Typ-C-Normen (Maschinensicherheitsnormen), referenziert ist, hat sie auch noch Gültigkeit und darf weiter angewendet werden. Als Nachfolgenorm wurde am Tag darauf die ISO 13849-1 harmonisiert, die, statt wie bisher Kategorien, Sicherheitsfunktionen in Performance Leveln (PL) definiert.
Mit der ISO 13849-1 hat sich aber vor allem die Betrachtungsweise in eine probabilistische geändert und die Anzahl der zu ermittelnden Sicherheitsfunktionen übersteigt die unter der EN 954-1 erforderlichen Beurteilungen deutlich. Gründe hierfür sind unter anderem, dass nach ISO 13849-1 nicht nur elektrische sondern auch pneumatische und hydraulische Steuerungsketten betrachtet werden und zum Beispiel zwischen dem Stoppen einer Bewegung und dem unerwarteten Anlauf unterschieden wird, siehe ISO 13849-1, Tabelle 8 und 9. Bei einer modernen Werkzeugmaschine, etwa einem 4/5-achsigen Bearbeitungszentrum mit Werkstückwechsel und hydraulischer Werkstückspannung, bedeutet dies beispielsweise, dass meist mehr als 100 Sicherheitsfunktionen dokumentiert und berechnet werden müssen. Ermittelt werden die entsprechenden PLr (Performance Level required) über eine Risikobeurteilung und dann einen Risikographen oder eine Risikomatrix. Dabei kann es sich um den informativen Risikographen aus dem Anhang A der ISO 13849-1 handeln, der aber für die Ermittlung des PLr nicht zwingend ist.
Das Spektrum der Performance Level der ISO 13849-1 reicht von einem geringen Level mit PL=a bis zum höchsten mit PL=e, wobei bei einem PL=d zusätzlich die Kategorie anzugeben ist, da diese nach ISO 13849-1 entweder 2 oder 3 (2-kanaliges System mit Hardware-Fehlertoleranz 0) sein kann. Seither gibt es zwischen Endkunden und Maschinenherstellern unterschiedliche Ansichten, wie die Nachfolgenorm (ISO 13849-1) angewendet und umgesetzt werden soll. Im Folgenden wird deshalb gezeigt, warum eine generelle Forderung der Endkunden nach einem hohen Performance Level von PL=d, Kat. 3 weder nötig, noch umsetzbar ist.
Unterschiedliche Bewertungsmöglichkeiten
Beispielsweise kann die Größe des PL durch den Stand der Technik begrenzt sein oder es können, wie etwa beim sicherheitsgerichteten Stopp oder unerwarteten Anlauf, Sicherheitsfunktionen unterschiedlich bewertet werden. Demnach macht es einen großen Unterschied, ob etwas plötzlich unerwartet anläuft beziehungsweise sich bewegt oder ob eine Bewegung gezielt, zum Beispiel durch das Öffnen einer Tür oder das Loslassen einer Zustimmungseinrichtung gestoppt wird. Eine solche Unterscheidung wird beispielsweise im informativen Risikographen der ISO 13849-1 im Parameter P (Vermeidbarkeit) definiert. Für den sicherheitsgerichteten Stopp wird hier meist P1 verwendet, dagegen ein P2 für den unerwarteten Anlauf. Wenn dann bei der ursprünglichen Risikoanalyse eine selten bis öfter auftretende Gefahr einer schwerwiegenden Verletzung (S2-F1) erkannt wurde, kann dies nach S2-F1-P1 zu einem PLr=c und bei S2-F1-P2 zu einem PLr=d führen. Dementsprechend muss dann zum Beispiel die hydraulische oder auch die pneumatische Abschaltung ausgelegt sein. Solche Abschaltungen sind oft mit nur einem Ventil ausgerüstet und es sind kaum Unfälle in Verbindung mit ihnen bekannt. Damit stellen sie ein 1-kanaliges System dar, das dem Stand der Technik entspricht, und das für einen sicherheitsgerichteten Stopp mit PLr=c, wie oben beschrieben, in vielen Fällen ausreicht, wenn die Risikobeurteilung dies begründen kann. Pauschal kann dies für die Vielschichtigkeit von Gefährdungen bei der Mensch-Maschine-Interaktion natürlich nicht gelten. Für den unerwarteten Anlauf dagegen kann für ein Ventil ein Fehlerausschluss nach ISO 13849-2 (selbsttätige Veränderung der Ausgangs-Schaltstellung – ohne Eingangssignal) gemacht werden. Wenn die elektrische Ansteuerung des Ventils dann PL=d, Kat. 3 entspricht und ein Fehlerausschluss für das Ventil begründet durchgeführt werden kann, ergibt sich daraus für die sicherheitsbezogenen Teile der Steuerung (SRP/CS) für den unerwarteten Anlauf PL=d, Kat. 3, wenn der Zulieferer des Ventils und der Maschinenhersteller sich über die Randbedingungen der vorgesehenen Anwendung (der betreffenden Sicherheitsfunktion und dazugehörigen Gefährdungen im Kontext der Einsatzbedingungen, zum Beispiel Temperatur, Verschmutzung) zu einem Fehlerausschluss einig geworden sind. In kritischen oder zweifelhaften Fällen ist eine redundante Ventilschaltung selbstverständlich die bessere Lösung.
Problematik in Normenausschüssen bekannt
Solche Missverständnisse und Unklarheiten bei der Interpretation der ISO 13849-1 führen, wie oben schon beschrieben, immer wieder zu unterschiedlichen Standpunkten zwischen Endkunden und Maschinenherstellern. Diese Problematik ist zwischenzeitlich auch in den Normenausschüssen bekannt und wird oft kontrovers diskutiert. Die ersten Ergebnisse aus diesen Diskussionen spiegeln sich nun in neuen Normen wieder, in denen relativ klar und verständlich der Stand der Technik aufgezeigt wird. Zudem wird darin erklärt, warum nicht alle Sicherheitsfunktionen einen PL=d, Kat. 3 haben können beziehungsweise dieser dann auch nicht gefordert werden kann. In der Überarbeitung der ISO 13850:2015(E) – Sicherheit von Maschinen, Not-Halt, Gestaltungsleitsätze steht beispielsweise, dass bei der Bestimmung des jeweils benötigten PL der Zweck des eingesetzten Not-Halts in die Überlegungen mit einbezogen werden sollte. Es wird aber mindestens ein Performance Level required (PLr) von PLr=c gefordert.
Umsetzungsbeispiele für Werkzeugmaschinen
Auch die Normensetzer der Typ-C-Normen haben dieses Problem aufgegriffen. Hier wird ihm etwa in der ISO 23125:2015 – Drehmaschinen unter dem Punkt „5.11 Besondere Anforderungen infolge von Gefahren durch ‚Ausfall der Steuerung‘“ damit begegnet, dass häufig ganz klar ein PLr=c oder sogar lediglich ein PLr=b gefordert wird, weil sich der Stand der Technik im Feld über viele Jahre bewährt hat – die Schutzumhausung in Kombination mit der „Fehlererkennung im Prozess“ reduziert als eine Art von „Systematischer Sicherheitsintegrität auf Maschinenebene“ die Eintrittswahrscheinlichkeit von Gefährdungen (Risikoparameter O) deutlich. Ein weiteres Beispiel stellt die ISO/FDIS 16089 – Schleifmaschinen dar. Auch in ihr werden unter „5.12 Specific requirements resulting from failure of the control circuit hazards“ ausdrücklich für mehrere Sicherheitsfunktionen PLr=b und PLr=c gefordert oder festgelegt. Auch hier wird die Betriebsbewährtheit im Feld als Begründung genannt.
Abschließend soll noch die DIS/ISO 16090-1:2015 – Fräsmaschinen erwähnt werden, da in dieser Norm im Annex I die Anforderungsraten sowie im Annex J die Sicherheitsfunktionen sehr detailliert beschrieben werden. Zudem wird im Annex I gezeigt, dass dem Problem der Forderung von Endkunden nach eigenen endkundenspezifischen Werten Rechnung getragen wird. Solche Forderungen bedeuten eine Neuberechnung aller SRP/CS, was seitens des Maschinenherstellers nicht geleistet werden kann. Um hier Klarheit zu schaffen, wurden deshalb typische Anforderungsraten von Sicherheitsfunktionen für verschiedene Maschinentypen festgelegt. Dies betrifft Werte wie hop, die mittlere Betriebszeit in Stunden je Tag, dop, die mittlere Betriebszeit in Tagen je Jahr, und tcycle, die mittlere Zeit zwischen dem Beginn zweier aufeinander folgenden Zyklen des Bauteils in Sekunden.
VDW-Firmen ist die Sicherheit wichtig
Für VDW-Mitgliedsfirmen ist die Lieferung von sicheren Systemen nach dem aktuellen Stand der Technik eine zentrale Aufgabe. Deshalb arbeiten sie konsequent auf Basis der gesetzlichen Vorgaben und beteiligen sich intensiv in deutschen und internationalen Gremien an der Überarbeitung der Typ-C-Normen. Das durch die Mitarbeit an Normen wie der DIS/ISO 16090-1:2015 vorhandene Wissen fließt bei diesen Firmen intern in die Umsetzung der EN ISO 13849-1 ein. Die angeführten Beispiele sollen dementsprechend deutlich machen, dass sich die Normensetzer sehr viele Gedanken zu den unterschiedlichen Sicherheitsfunktionen gemacht und diese auch nachvollziehbar bewertet haben. ik
Kontakt
info
Arbeitskreis 3 „Sicherheitstechnik bei zerspanender Bearbeitung“ des Verein Deutscher Werkzeugmaschinenfabriken (VDW)
Frankfurt am Main
Dipl.-Ing. Heinrich Mödden
Tel. +49 69 756081-13
Welche Meinung vertreten Sie? Stimmen Sie den hier vorgestellten Ausführungen zu oder sind Sie anderer Ansicht? Schreiben Sie uns Ihre Meinung gerne unter dem Stichwort ‚ISO 13849‘ an: d3.redaktion@konradin.de
Teilen:
