Funktionale Sicherheit von Maschinensteuerungen und Dokumentation
Jedes System birgt Risiken. Funktionale Sicherheit ist die Fähigkeit eines elektrischen, elektronischen bzw. programmierbaren elektronischen oder anderen Systems, in einem sicheren Zustand zu bleiben bzw. einen sicheren Zustand einzunehmen, wenn zufällige und/oder systematische Ausfälle (z.B. bedingt durch physikalische Phänomene oder Bedienungsfehler) mit gefahrbringender Wirkung eintreten.
Maschinenrichtlinie und funktionale Sicherheit
Die Maschinenrichtlinie enthält in Anhang I, Abschnitt 1.2.1. Sicherheit und Zuverlässigkeit von Steuerungen Anforderungen an die Sicherheit und Zuverlässigkeit von Steuerungen:
Steuerungen sind so zu konzipieren und zu bauen, dass es nicht zu Gefährdungssituationen kommt. Insbesondere müssen sie so ausgelegt und beschaffen sein, dass
- sie den zu erwartenden Betriebsbeanspruchungen und Fremdeinflüssen standhalten;
- ein Defekt der Hardware oder der Software der Steuerung nicht zu Gefährdungssituationen führt;
- Fehler in der Logik des Steuerkreises nicht zu Gefährdungssituationen führen;
- vernünftigerweise vorhersehbare Bedienungsfehler nicht zu Gefährdungssituationen führen.
Insbesondere ist Folgendes zu beachten:
- Die Maschine darf nicht unbeabsichtigt in Gang gesetzt werden können;
- die Parameter der Maschine dürfen sich nicht unkontrolliert ändern können, wenn eine derartige unkontrollierte Änderung zu Gefährdungssituationen führen kann;
- das Stillsetzen der Maschine darf nicht verhindert werden können, wenn der Befehl zum Stillsetzen bereits erteilt wurde;
- ein bewegliches Maschinenteil oder ein von der Maschine gehaltenes Werkstück darf nicht herabfallen oder herausgeschleudert werden können;
- automatisches oder manuelles Stillsetzen von beweglichen Teilen jeglicher Art darf nicht verhindert werden;
- nichttrennende Schutzeinrichtungen müssen uneingeschränkt funktionsfähig bleiben oder aber einen Befehl zum Stillsetzen auslösen;
- die sicherheitsrelevanten Teile der Steuerung müssen kohärent auf eine Gesamtheit von Maschinen und/oder unvollständigen Maschinen einwirken.
Bei kabelloser Steuerung muss ein automatisches Stillsetzen ausgelöst werden, wenn keine einwandfreien Steuersignale empfangen werden; hierunter fällt auch ein Abbruch der Verbindung.
Der Guide Machinery Directive, Edition 2.1 verweist in seinem Kommentar § 184 Safety and reliability of control systems explizit auf EN ISO 13849-1:
Specifications for the design of safety-related parts of control systems are given in standards EN ISO 13849-1 […]
Fazit: DIN EN ISO 13849-1 dient der Erfüllung der Anforderungen der Maschinenrichtlinie in Bezug auf sichere Steuerungen.
Diesen Zusammenhang stellt DIN EN ISO 13849-1 in ihrem Anhang ZA ebenfalls dar:
Anhang ZA (informativ) Zusammenhang zwischen dieser Europäischen Norm und den grundlegenden Anforderungen der EG-Richtlinie 2006/42/EG
Diese Europäische Norm wurde im Rahmen eines Mandates, das CEN von der Europäischen Kommission und der Europäischen Freihandelszone erteilt wurde, erarbeitet, um ein Mittel zur Erfüllung der grundlegenden Anforderungen der Richtlinie nach der neuen Konzeption Maschine 2006/42/EG bereitzustellen.
Sobald diese Norm im Amtsblatt der Europäischen Gemeinschaften im Rahmen der betreffenden Richtlinie in Bezug genommen und in mindestens einem der Mitgliedstaaten als nationale Norm umgesetzt worden ist, berechtigt die Übereinstimmung mit den normativen Abschnitten dieser Norm innerhalb der Grenzen des Anwendungsbereichs dieser Norm zu der Annahme, dass eine Übereinstimmung mit den entsprechenden grundlegenden Anforderungen 1.2.1. des Anhangs I der Richtlinie und der zugehörigen EFTA-Vorschriften gegeben ist.
Was zeigt die Praxis?
Die Praxis zeigt im Bereich funktionaler Sicherheit hohe Defizite. Vielen Maschinenbauern ist funktionale Sicherheit in Verbindung mit EN ISO 13849-1 immer noch nicht oder immer noch nicht hinreichend bekannt. Mit der Folge, dass Risikominderung nicht regelkonform durchgeführt wird.
Sicherheitsfunktionen werden nicht definiert und beschrieben, Performance Level nicht bestimmt, Sicherheitskonzepte nicht gem. regelkonformer Systematik entwickelt. Dem Steuerungsbauer fehlen wichtige Eingangsgrößen – was er oft nicht einmal bemerkt, weil auch er mit funktionaler Sicherheit oftmals nicht oder nur ungenügend vertraut ist.
Und auch die Betriebsanleitung, die dritte Stufe im Sicherheitskonzept des Konstrukteurs, entspricht nicht dem Stand der Technik, weil die in DIN EN ISO 13849-1 verlangten Benutzerinformationen schlichtweg fehlen.
Sichere Maschinensteuerungen durch DIN EN ISO 13849-1
DIN EN ISO 13849-1 stellt Sicherheitsanforderungen und einen Leitfaden für die Prinzipien der Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen ungeachtet der verwendeten Technologie und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch) bereit. Für diese sicherheitsbezogenen Teile von Steuerungen werden spezielle Eigenschaften einschließlich des Perfomance Levels festgelegt, die zur Ausführung der entsprechenden Sicherheitsfunktionen erforderlich sind.
EN ISO 13849-1 stellt auch spezielle Anforderungen für sicherheitsbezogene Teile von Steuerungen mit programmierbaren elektronischen Systemen bereit.
Sicherheitsbezogene Teile von Steuerungen müssen so gestaltet und konstruiert werden, dass die Prinzipien der ISO 12100 vollständig berücksichtigt werden. Alle vorgesehenen Anwendungen und vorhersehbaren Fehlanwendungen müssen betrachtet werden.
Sicherheitsbezogene Teile von Steuerungen müssen so gestaltet und konstruiert werden, dass die Prinzipien der ISO 12100 vollständig berücksichtigt werden (siehe DIN EN ISO 13849-1, Bild 1 und 3). Alle vorgesehenen Anwendungen und vorhersehbaren Fehlanwendungen müssen betrachtet werden.
Die nachfolgenden beiden Schaubilder zeigen, wie die unter der Maschinenrichtlinie harmonisierten Normen DIN EN ISO 12100 und EN ISO 13849-1 und DIN EN ISO 13849-2 zusammenwirken und bei regelkonformer Anwendung und Dokumentation die Anforderungen der Maschinenrichtlinie an sichere Steuerungen erfüllen helfen.
Info: EN ISO 13849-1 verweist in Kapitel 8 Validierung direkt auf DIN EN ISO 13849-2 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung.
DIN EN ISO 13849-1: Dokumentation explizit gefordert
Info: Grundsätzlich müssen für einen vollständigen Konformitätsnachweis stets alle Vorgehensweisen, Methoden und Aufgaben dokumentiert werden, die für die regelkonforme Umsetzung einer EU-Richtlinie oder EU-Verordnung angewendet bzw. durchgeführt werden.
Nur eine vollständige Dokumentation des Prozesses CE-Konformität in Anlehnung an ISO 9001 führt systematisch zu einem belastbaren Konformitätsnachweis.
Anforderungen an die interne Technische Dokumentation
DIN EN ISO 13849-1 enthält in Kapitel 10 Anforderungen an die Technische Dokumentation. Bei der Gestaltung eines SRP/CS muss deren Konstrukteur mindestens folgende Informationen über das sicherheitsbezogene Teil dokumentieren:
- die durch die SRP/CS bereitgestellte(n) Sicherheitsfunktion(en)
- die Eigenschaften jeder Sicherheitsfunktion
- die genauen Punkte, wo das/die sicherheitsbezogene(n) Teil(e) beginnt/beginnen und endet/enden
- die Umgebungsbedingungen
- den Performance Level (PL)
- die ausgewählte Kategorie oder die ausgewählten Kategorien
- die auf die Zuverlässigkeit bezogenen Parameter (MTTFD, DC, CCF und Gebrauchsdauer)
- die Maßnahmen gegen systematische Fehler
- die verwendete Technologie oder die verwendeten Technologien
- alle berücksichtigten sicherheitsbezogenen Fehler
- die Begründungen für Fehlerausschlüsse (siehe ISO 13849-2)
- die Begründung der Gestaltung (z.B. berücksichtigte Fehler, die ausgeschlossenen Fehler)
- Softwaredokumentation
- Maßnahmen gegen vernünftigerweise vorhersehbare Fehlanwendung