Wie die Konformität einer Maschinensteuerung bewerten?
Heimische Maschinenbauer konstruieren sichere Maschinen. Gleichzeitig bleiben häufig Fragen offen, wenn es zur abschließenden CE-Kennzeichnung kommt. Mit einem lückenlosen Nachweis der Normkonformität gelingt auch die Konformitätsbewertung ganz einfach. Hersteller können auch Zeit und Kosten sparen, wenn sie die Anforderungen der Sicherheitsfachgrundnorm DIN EN ISO 13849 sicher beherrschen.
Die Maschine ist fertig montiert und die Steuerung ist eingebaut. Es fehlt nur noch das CE-Kennzeichen und die Maschine kann ausgeliefert werden. Das sollte eigentlich kein Problem darstellen, denn alle Komponenten entsprechen dem Stand der Technik und sind gemäß Herstellerangaben eingebaut. Der Ingenieur hat bereits eine ähnliche Maschine entwickelt. An den Sicherheitsanforderungen wird sich also nichts Grundlegendes geändert haben. Der Konstrukteur hat genug Erfahrung und weiß welche Teile er verwenden muss. Der tech-nische Redakteur schließlich kann sich für die Betriebsanleitung an den Vorgängermodellen orientieren. Was soll also noch schief gehen?
Es gibt genug Wege über die sich Fehler einschleichen können. Vielleicht, weil die funktionale Sicherheit der Maschine nicht durchgängig nachgewiesen werden kann. Möglicherweise weil zu einem Bauteil der Eignungsnachweis fehlt. Oder weil der erforderliche Perfomance Level einer Sicherheitsfunktion mit der eingebauten Steuerung nicht erreicht wird. Wenn die Maschine am Ende nicht den Vorgaben der Maschinenrichtlinie entspricht, und sei es nur weil die Normkonformität über die Dokumentation nicht nachgewiesen wird, kann das für den Hersteller mitunter teuer werden. Denn: Die Normkonformität nachträglich nachzuweisen, ist aufwendig, wenn nicht gar unmöglich. Im schlimmsten Fall muss die Konstruktion der Maschine geändert werden.
Sachverständige von TÜV Süd machen immer wieder die Erfahrung, dass Maschinenbauer die Bedeutung des Konformitätsnachweises für Maschinen und ihre sicherheitsgerichteten Komponenten unterschätzen. Die Experten werden dann zu Rate gezogen, wenn bei der abschließenden Abnahme Zweifel aufkommen, ob alle Sicherheitsfunktionen und deren sicherheitsbezogenen Bauteile (Safety Related Part of Control System; SRP/CS) den Anforderungen entsprechen.
Indes haben die Experten mitunter Schwierigkeiten den PL für Sicherheitsfunktionen nachzuvollziehen, weil der Maschinenhersteller keine validen Daten vorlegen kann. Der Abgleich vorher definierter Anforderungen mit dem konstruktiv tatsächlich erreichten Stand wird in der Praxis häufiger vernachlässigt. Unzureichende abteilungsübergreifende Kommunikation kann dazu genauso führen wie aus Routine resultierende Nachlässigkeit.
Grundlegend für die Nachweisführung ist die Risikobeurteilung. Sie beginnt damit, dass die Grenzen der Maschine festgelegt werden und ist dann als Prozess zu verstehen, der fortlaufend die Planung und Konstruktion begleitet. Nur so können Lücken in der Dokumentation vermieden werden.
Mangelnde Angaben der Komponentenhersteller
Bei Sicherheitsbauteilen ist die Datengrundlage im Allgemeinen sehr gut. Alle nötigen Informationen finden sich in den Produktdatenblättern, Sicherheitshandbüchern oder Zertifikaten. Doch bei Standardbauteilen, die in Sicherheitsfunktionen eingesetzt werden, gibt es diesbezüglich noch großen Nachholbedarf. Manche Komponentenhersteller schicken erst auf Anfrage eine vollständige Liste mit den Daten ihrer Produkte. Bisweilen stellen sie die Angaben auch auf ihrer Homepage zur Verfügung, doch der Hyperlink ist auch mit Suchmaschinen nicht einfach zu finden. Wieder andere Hersteller kennen den Sinn und Zweck der Daten nicht, sodass sie die Kennwerte erst noch in Dauerversuchen ermitteln müssen. Manche Hersteller befürchten auch, sensible Daten über ihre Produkte herauszugeben. Für die Anwender sind diese Informationen jedoch sehr wichtig. Sie ermöglichen es erst, Produkte verschiedener Anbieter hinsichtlich der Qualität, Ausfallwahrscheinlichkeit und Gebrauchsdauer zu vergleichen. Muss der Maschinenbauer die zur PL-Berechnung erforderlichen Zuverlässigkeitsangaben einzelner Bauteile selbst ermitteln, bedeutet das einen enormen Arbeitsaufwand. Manche Werte können deshalb gegebenenfalls auch auf Grundlage fundierter Quellen geschätzt werden.
Sicher in Verkehr bringen
Werden Maschinen nach den Vorgaben und Gestaltungsleitsätzen der DIN 13849 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“ entwickelt, konstruiert und gebaut, greift schließlich die Vermutungswirkung. Das bedeutet für Hersteller, ihre Maschinen und deren Steuerungen entsprechen dem aktuellen Stand der Technik und sind somit sicher – die wichtigste Voraussetzung für die CE-Kennzeichnung und Konformitätserklärung, also dafür, die Produkte in der EU in Verkehr bringen zu können. Denn: Mit der Ausstellung der Konformitätserklärung erklärt der Hersteller rechtsverbindlich die Einhaltung der Vorgaben der Maschinenrichtlinie.
Im Gegensatz zu produktspezifischen C-Normen enthält die ISO 13849 als Sicherheitsfachgrundnorm (B-Norm) zwar konkrete Konstruktionsleitsätze, vermeidet jedoch ausdrückliche Vorgaben zur Ausführung der sicheren Steuerung. Der Konstrukteur muss deshalb die Eignung der geplanten Schutzkreise selbst nachweisen. Das ist ein Grund für viele Fragen, die sich bei der Nutzung der Norm ergeben. Denn methodisch nutzt die Norm den probabilistischen Ansatz. Das bedeutet, dass die Wahrscheinlichkeit eines gefahrbringenden Ausfalls von Komponenten, Bauteilen und Schutzkreisen berechnet werden muss. Die Maßgabe, ein Functional Management System in die Planung zu integrieren, ist zwar unbedingt zu empfehlen, wird in der Norm allerdings nicht explizit ge- fordert.
Flexibilität, Verlässlichkeit und Effizienz
Gegenüber ihren Vorgängernormen bietet die aktuelle DIN EN ISO 13849 zahlreiche Vorteile:
Planer sind flexibler bei der Wahl der steuerungstechnischen Lösung. Zum Beispiel können Sie eine Standard-SPS oder Software nach festgelegten Kriterien innerhalb der Sicherheitsfunktion einsetzen. Elektronische Geräte werden den eher verschleiß-behafteten elektromechanischen teilweise als überlegen eingestuft. Die Berechenbarkeit der gewählten Lösung verschafft dem Hersteller Gewissheit darüber, dass der erforderliche Sicherheitslevel eingehalten wird. Der Konstrukteur erhält dadurch Rechtssicherheit im Schadensfall.
Entwickler können verschiedene Varianten zur Umsetzung einer Sicherheitsfunktion vergleichen und die günstigste Variante aus-wählen – z. B. indem Steuerungsfunktionen, die für die Prozesssteuerung oder -überwachung vorgesehen waren, gleichzeitig für Diagnoseaufgaben oder als zweiter Kanal genutzt werden. Auch die Ausgewogenheit aller Komponenten hinsichtlich einheitlicher Zuverlässigkeit und Lebensdauer spart Kosten.
Durch die Einbeziehung der berechneten Zeit bis zum gefährlichen Ausfall der Komponenten kann das Sicherheitsniveau über die vorgesehene Lebensdauer der Anlage aufrechterhalten werden. Der Betreiber erhält konkrete Vorgaben, wann Komponenten zu tauschen sind, um deren Ausfall vorzubeugen.
Die wichtigsten Neuerungen der DIN EN ISO 13849
Seit dem 1. Juli 2016 ist die neue Ausgabe der DIN EN ISO 13849-1 gültig. Sie hat die vorherige Version aus dem Jahr 2008 ersetzt. Eine Novellierung war notwendig geworden, weil die Vorgängerversion aus dem Jahr 2008 in der Praxis häufig Fragen aufgeworfen hatte. Das Normungskomitee hat nicht nur die Gliederung und Struktur verbessert, sondern auch Begriffe und ihre Definitionen angepasst und konkretisiert. Die Praxis zeigt bisher, dass die Norm allen Beteiligten hilft. Entwicklern, Planern und Konstrukteuren fällt es nun leichter, die Gestaltungsleitsätze für sicherheitsbezogene Teile von Steuerungen nachzuvollziehen.
Die entscheidenden inhaltlichen Änderungen betreffen:
– die Risikobewertung mit Hilfe des Risikographen, der nun auch die Eintrittswahrscheinlichkeit eines Fehlerereignisses berücksichtigt – mit Auswirkungen auf die Einstufung des erforderlichen Performance Levels (PLr), (siehe Bild 1),
– die Anforderungen an die Testrate, die die Logikeinheit eines Funktionskanals der Kategorie 2 überwacht und dazu den Datenfluss analysiert (Sensor, Logikeinheit, Aktor),
– ein vereinfachtes Verfahren, um den Performance Level adäquat abzuschätzen, wenn sicherheitsbezogene Komponenten der Steuerung valide Zuverlässigkeitskennwerte vermissen lassen,
– hydraulische Bauteile, die eine Sicherheitsfunktion erfüllen. Hier wurden die Kennwerte zur Abschätzung der MTTFD (engl.: Mean Time To Dangerous Failure; mittlere Zeit bis zum gefahrbringenden Ausfall) praxisnah angepasst,
– die Abschätzungen des Diagnosedeckungsgrades (DC) für Funktionen und Module, durch den die zufälligen Fehler in der gesamten Steuerung erkannt werden sollen.
Die Maßnahme der Überwachung eines der Antriebselemente eines redundanten Abschaltpfades mit einem DC von 90 % wurde beispielsweise ersatzlos gestrichen.
Richtig angewandt bringt die ISO 13849 Gewissheit über das Sicherheitsniveau der Steuerung, spart dem Hersteller aber auch Kosten, weil mit Blick auf den Einsatzzweck die Komponenten optimal ausgewählt werden können. Der Betreiber hat ebenso Gewissheit über die Bedingungen, die notwendig sind, damit das Sicherheitsniveau über die vorgesehene Lebensdauer der Maschine erhalten bleibt. Damit kann er gleichzeitig die Instandhaltung besser planen, weil die Zeiten bis zum gefährlichen Ausfall von Teilen gut abgeschätzt werden können.
Die korrekte Nachweisführung schafft Konstrukteuren und Herstellern im Schadensfall Rechtssicherheit. Unabhängige Experten von TÜV Süd unterstützen Unternehmen beim Nachweis der Normkon- formität, etwa durch die Validierung von Daten, Berechnungen und Konstruktions- plänen. Auch bei der Implementierung eines Functional Management Systems kann die Expertise der Sachverständigen helfen.
Pascal Staub-Lang (M.Sc.), Leiter Kompetenzzentrum Maschinensicherheit, TÜV Süd Industrie Service
Kontakt: TÜV Süd Industrie Service GmbH, Am Alten Forsthaus 1, 66386 St. Ingbert
Tel.: 0 68 94 / 9 96 98 13 E-Mail: pascal.staub-lang@tuev-sued.de
www.tuev-sued.de/is