Sicherheit, die trügt?

Es gab ein­mal eine schöne Zeit, in der es bei der Auswahl optoelek­tro­n­is­ch­er Schutzein­rich­tun­gen eine schein­bar feste Beziehung gab zwis­chen den Kat­e­gorien nach EN 954–1 und ihrer Klas­si­fizierung als tech­nis­che Schutz­maß­nahme nach der Nor­men­rei­he IEC 61496. „Viele Anwen­der set­zten Typ 2 gle­ich Kat­e­gorie 2, Typ 4 gle­ich Kat­e­gorie 4 – einen direk­ten Bezug dieser Art gibt es mit der neuen Norm EN ISO 13849–1 nicht mehr“, erläutert Heiko Kahle, Leit­er Mar­ket­ing & Ver­trieb Light Beam Sys­tems, Divi­sion Indus­tri­al Safe­ty Sys­tems der Sick AG, Wald­kirch. „Viele Kon­struk­teure und Maschi­nen­bauer bedauern das, war es doch so schön ein­fach – und vor allem eindeutig.“

Dass es mit dieser Ein­deutigkeit jet­zt vor­bei ist, liegt an der tech­nol­o­gisch-inhaltlichen Weit­er­en­twick­lung, die die mod­erne EN ISO 13849–1 gegenüber der betagten EN 954–1 darstellt. Diese fol­gte einem „deter­min­is­tis­chen“ Ansatz, grob aus­ge­drückt „was kaputt gehen kann, wird auch kaputt gehen“ und teilte demgemäß Steuerungssys­teme in fünf Kat­e­gorien ein. „Die Sicher­heits­funk­tio­nen ein­er Mas­chine mussten nach dem zu erwartenden Risiko in ein­er Kat­e­gorie ein­ge­ord­net und anschließend eine qual­i­ta­tive Ver­i­fika­tion der sicher­heit­srel­e­van­ten Steuerung­steile durchge­führt wer­den“, erläutert Otto Görne­mann, Man­ag­er Safe­ty Reg­u­la­tions bei Sick. „In Zeit­en pro­gram­mier­bar­er Sys­teme und kom­plex­er Elek­tron­ik reicht dieser Ansatz nicht mehr aus, da zum Beispiel Zuver­läs­sigkeitswerte einzel­ner Sys­temkom­po­nen­ten oder das Aus­fall­risiko von Sys­te­men unberück­sichtigt blieben.“ Mit der Nach­folgenorm EN ISO 13849–1 wer­den jet­zt auch Kri­te­rien zum Beurteilen der funk­tionalen Sicher­heit z.B. die MTTFd (mean time to dan­ger­ous fail­ure) oder die Betra­ch­tung der Anfäl­ligkeit für Aus­fälle auf­grund gemein­samer Ursache (CCF – com­mon cause fail­ure) ver­wen­det und quan­ti­ta­tive Meth­o­d­en zur Beurteilung der Auswirkung einge­führt. „Die Kat­e­gorien der EN 954–1 find­en sich jet­zt mit entsprechend erweit­erten Inhal­ten in den neuen „Per­for­mance Lev­els“ (PL) der EN ISO 13849–1 wieder – von „a“ für eine niedrige bis „e“ für eine hohe Risiko­re­duzierung“, sagt Hans-Jörg Stuben­rauch, Man­ag­er Safe­ty Solu­tions bei Sick. Er fügt hinzu: „Die durch den alten deter­min­is­tis­chen Ansatz gegebene Ein­deutigkeit der Zuord­nung ist mit dem wis­senschaftlichen Ansatz der neuen Norm nicht mehr möglich.“

Aus Sicht der Kon­struk­teure und Maschi­nen­bauer sollen sicher­heits­gerichtete Nor­men die Grund­lage für eine sorgfältige Risiko­analyse und die Umset­zung der tech­nis­chen Schutz­maß­nah­men bilden. Die Ziele: den Maschi­nenbe­di­ener vor Schaden und den Her­steller bzw. Betreiber vor pro­duk­thaf­tung­stech­nis­chen Kon­se­quen­zen zu schützen. Auf­grund sicher­heits- und prozesstech­nis­ch­er sowie ergonomis­ch­er Gründe sind in vie­len Anwen­dun­gen optoelek­tro­n­is­che und somit berührungs­los wirk­ende Schutzein­rich­tun­gen (BWS) erste Wahl. Die Angabe des Per­for­mance Lev­el nach EN ISO 13849–1 für Lichtschranken, Lichtvorhänge, Laser­scan­ner oder Kam­erasys­teme ist Stand der Tech­nik. „Doch genau hier ist jet­zt Vor­sicht geboten“, warnt Otto Görne­mann, „denn die Sicher­heit­snorm beschreibt detail­liert die Anforderun­gen an die funk­tionale Sicher­heit sicher­heits­be­zo­gen­er Teile von Steuerun­gen, nicht aber die zusät­zlichen notwendi­gen Fähigkeit­en eines Sicher­heitssen­sors, zum Beispiel eines Lichtvorhangs, hin­sichtlich der EMV, der optis­chen Leis­tungsmerk­male, des Detek­tionsver­mö­gens und deren Zuver­läs­sigkeit, um nur einige Punk­te zu nen­nen.“ Dies war noch zu Zeit­en der EN 954–1 die Auf­gabe der bekan­nten Nor­men­rei­he IEC 61496 – und ist dies auch mit der neuen EN ISO 13849–1. „Der Punkt ist, dass für den Anwen­der früher die Kat­e­gorie und der Typ ein­er BWS prak­tisch gle­ich­lau­t­end in bei­de Rich­tun­gen ver­wen­det wur­den“, erk­lärt Heiko Kahle. Für die Her­aus­forderung, vor der die Anwen­der heute ste­hen, hat er eine grif­fige For­mulierung: „d“ wie Dilem­ma. Kol­lege Stuben­rauch macht es an einem Beispiel fest: „Die hohe Flex­i­bil­ität der EN ISO 13849–1, die sich durch deren quan­ti­ta­tiv­en Meth­o­d­en ergibt, führt u.a. dazu, dass unser Typ 2 – Sicher­heits-Lichtvorhang C2000 die Anforderun­gen des Per­for­mance Lev­els d erfüllt, aber nach EN 954–1 nur Kat­e­gorie 2 entspricht. Umgekehrt jedoch kann ein Kon­struk­teur, der in der Risikobeurteilung zu PL d kommt, nicht ein­fach das C2000 ein­set­zen, weil in der konkreten App­lika­tion die erforder­liche hohe Risiko­re­duzierung, zum Beispiel hin­sichtlich der Zuver­läs­sigkeit des Detek­tionsver­mö­gens mit einem Typ 2 – Gerät nicht erre­icht wer­den kann, son­dern nur mit einem C4000 als Typ 4 – Gerät.“ Hin­ter­grund ist, dass die Anforderun­gen gegenüber EMV, optis­chen Störquellen, reflek­tieren­den Flächen, oder bei Fehlaus­rich­tung im Nor­mal­be­trieb bei Typ 4 – Geräten wesentlich höher sind.

„Eines ist somit ganz klar“, weiß Kahle: „Die Ein­hal­tung des Per­for­mance Lev­el nach EN ISO 13849–1 allein ist für die Auswahl optoelek­tro­n­is­ch­er Schutzein­rich­tung nicht aus­re­ichend – es müssen auf jeden Fall gemäß IEC 61496 die Anforderun­gen an die optoelek­tro­n­is­che Schutzein­rich­tung in der konkreten Anwen­dung berück­sichtigt und eine entsprechende Typ-Klas­si­fizierung vorgenom­men wer­den! Die Faus­tregel „PL + Typ = Sicher­heit“ bringt es auf den Punkt, erst durch sie wird eine voll­ständi­ge Risiko­re­duzierung möglich.“ Das gilt im Übri­gen auch für „SIL + Typ = Sicher­heit“, denn die Bes­tim­mung eines erforder­lichen Sicher­heit­sniveaus nach der eben­falls anwend­baren EN 62061 führt ohne Berück­sich­ti­gung der IEC in bes­timmten Fällen eben­falls zu dieser Sicherheitslücke.

Die Anwen­dung der Faus­tregel ist umso wichtiger, als Sicher­heit­snor­men auch im inter­na­tionalen Geschäft immer mehr Beach­tung find­en – schon alleine deshalb, weil sie heute fast auss­chließlich inter­na­tion­al konzip­iert und beschlossen wer­den. Görne­mann ver­weist auf ein Beispiel aus den USA, das zeigt, wie weitre­ichend die gemein­same Betra­ch­tung von Per­for­mance Lev­el und Typ sein kann: „In Nor­dameri­ka fordern viele Nor­men und Regelun­gen soge­nan­nte con­trol reli­able devices, also „fehler­sichere“ Geräte und Schutzein­rich­tun­gen. Die vorherrschende Norm ANSI B11.19 inter­pretiert dies so, dass nur PL d – Geräte mit min­destens Kat­e­gorie 3 diese Steuerungs­be­währung erfüllen. Das bedeutet, dass Typ 2 – Geräte, auch wenn sie PL d ausweisen, nicht die Anforderun­gen der Reg­u­lar­ien in Nor­dameri­ka erfüllen.“ Kol­lege Hans-Jörg Stuben­rauch ergänzt: „Wer also beispiel­sweise Bestück­ungsauto­mat­en, Han­dling­sein­rich­tun­gen oder Ver­pack­ungs­maschi­nen mit PL d Sicher­heits­funk­tio­nen nach Ameri­ka exportiert, sollte wis­sen, dass er mit ein­er Typ 2 – BWS überwachungs- und abnah­me­tech­nisch nicht auf der sicheren Seite ist.“ Die Faus­tregel „PL + Typ = Sicher­heit“ ist also die geeignete Möglichkeit, um aus diesem Dilem­ma her­auszukom­men. Doch was tun, wenn es bei der Klas­si­fizierung der geeigneten BWS um die Entschei­dung Typ 2 oder Typ 4 geht?

Nach der Risiko­analyse für eine Mas­chine oder Gefahren­stelle lässt sich der erforder­liche PL oder SIL zwar schnell ermit­teln – da aber die aktuelle IEC 61469 noch keine Beziehung der Typ-Klassen zu PL oder SIL enthält, ist der Kon­struk­teur auf umfan­gre­iche Erfahrung oder Unter­stützung angewiesen. „Für diesen Fall empfehlen wir zunächst ein­mal, sich an die Fes­tle­gun­gen in den rel­e­van­ten C‑Normen zu hal­ten, wenn es für diesen Maschi­nen­typ eine gibt“, sagt Kahle. Gibt es diese nicht, ist das sys­tem­a­tis­che Abar­beit­en ein­er sicher­heits­gerichteten Entschei­dungsstruk­tur rat­sam. Ist eine hohe Risiko­re­duk­tion erforder­lich, ist diese Arbeit mit der Wahl eines Typ 4 – Gerätes schnell erledigt. Das gle­iche gilt, wenn die optis­chen Umge­bungs­be­din­gun­gen nicht für ein Typ 2 – Gerät aus­re­ichen. „Wird diese Frage jedoch mit ja beant­wortet, sollte geprüft wer­den, ob an der Mas­chine mehrere Sender auf einen Empfänger strahlen“, rät Görne­mann. „Wenn dem so ist, aber keine Strahlcodierung ver­wen­det wird, sollte der Kon­struk­teur auch hier auf Typ 4 gehen. Das gle­iche ist zu empfehlen, wenn zwar mit Strahlcodierung gear­beit­et wird, aber erhöhte EMV-Anforderun­gen vor­liegen, die die Möglichkeit­en von Typ 2 – Lösun­gen über­schre­it­en. Ist die elek­tro­mag­netis­che Belas­tung als ger­ing einzustufen und erre­icht die aktive optoelek­tro­n­is­che Schutzein­rich­tung den erforder­lichen Wert für die mit­tlere Wahrschein­lichkeit eines Gefahr brin­gen­den Aus­falls pro Stunde (PFHd, Prob­a­bil­i­ty of dan­ger­ous fail­ure per hour), dann passt Typ 2 ; wird die PFHd nicht erre­icht, ist wieder Typ 4 die bessere Wahl.“ Eine andere Möglichkeit ist die Ori­en­tierung an ein­er von Sick in Abstim­mung mit dem Insti­tut für Arbeitss­chutz der DGUV, (IFA, ehe­mals BGIA) emp­fohle­nen Zuord­nung „Geeignete BWS-Typen in Abhängigkeit vom erforder­lichen Sicher­heit­sniveau“ (s. Abb. 5), mit der der Kon­struk­teur auf der sicheren Seite ist. „Darüber hin­aus bieten wir den Maschi­nenkon­struk­teuren weit­ere Hil­festel­lun­gen an“, sagt Stuben­rauch. „Sowohl in unserem Kat­a­log, in den tech­nis­chen Daten­blät­tern, in den Betrieb­san­leitun­gen und im Online-Pro­duk­tfind­er unter www.sick.com find­en sich Infor­ma­tio­nen und Hin­weise zur Auswahl der geeigneten Lösun­gen unter Berück­sich­ti­gung von PL bzw. SIL – Ein­stu­fun­gen und der Typzuord­nung der Geräte. „Und wenn es hart auf hart kommt, schauen wir uns die Mas­chine auch direkt vor Ort an und führen eine Beratung durch“, ergänzt Görnemann.

Eigentlich sollte die EN 954–1 Ende des Jahres 2009 aus­laufen. Dass ihre Gültigkeit dann doch um zwei weit­ere Jahre ver­längert wurde, hat vor allem prak­tis­che Gründe. So zeigen die bish­eri­gen Erfahrun­gen, dass die Auswirkun­gen der EN ISO 13849–1 weitaus größer sind als ursprünglich ver­mutet. Es gibt derzeit noch Nach­holbe­darf: Obwohl die über­wiegende Mehrheit angibt, im Rah­men der Kon­struk­tion die Nor­men zukün­ftig zu berück­sichti­gen, sind noch einige Fein­heit­en zu klären, wobei die Über­ar­beitung der EN ISO 13849–2 (Vali­dierung) eine solide Unter­stützung für die Maschi­nen­her­steller hierzu ver­spricht. Allen Beteiligten ist klar, dass für mod­erne Sicher­heit­slö­sun­gen der neuen Norm schon aus Grün­den der Pro­duk­thaf­tung die Zukun­ft gehört. Dementsprechend beschäfti­gen sich die Arbeit­skreise bere­its inten­siv mit „d“ wie Dilem­ma. Insid­er erwarten, dass die Sicher­heit­slücke, die sich z.B. aus PL d und Typ 2 ergeben kann, durch eine Aktu­al­isierung der Nor­men­rei­he IEC 61496 entsprechend der von SICK und dem IFA (ehe­mals BGIA) emp­fohle­nen Zuord­nung in abse­hbar­er Zeit geschlossen wird.

Autor

Dirk S. Hey­den, Wein­heim E‑Mail: info@topmedia-weinheim.de