Fachartikel

Funktionale Sicherheit aus der Sicht der Normenanwender im Maschinenbau

Dr. Gerhard Steiger, Geschäftsführer DIN-Normenausschuss Maschinenbau (NAM), Frankfurt am Main

Die „Funktionale Sicherheit“ ist ohne Zweifel das in Maschinenbaukreisen meist diskutierte horizontale Normungsthema. Man könnte vermuten, dass die Bedeutung dieses Themas aus massiven Problemen mit sicherheitsrelevanten Maschinensteuerungen resultiert. Das scheint jedoch nicht zuzutreffen, weil in den einschlägigen Normerkreisen praktisch nachgewiesene Ausfälle von sicherheitsrelevanten Maschinensteuerungen sowie daraus gegebenenfalls resultierende Unfälle so gut wie nicht bekannt sind. Die Brisanz dieses Themas ist vielmehr darauf zurückzuführen, dass die existierenden Normen zur „Funktionalen Sicherheit/Auslegung von sicherheitsbezogenen Teilen von Steuerungen“ (Typ B) Methoden vorgeben, die mit den auf Anwendungsebene im Maschinenbau traditionell praktizierten und sicherheitstechnisch akzeptierten Lösungen in Teilen nur schwer beziehungsweise gar nicht in Einklang gebracht werden können.

Daher geht es aus Sicht der Normenanwender im Maschinenbau darum, die Typ B-Normen zur „Funktionalen Sicherheit/Auslegung von sicherheitsbezogenen Teilen von Steuerungen“ besser an die praktischen Anforderungen/Möglichkeiten im Maschinenbau anzupassen. Im Folgenden sind basierend auf einer prinzipiellen Bewertung dieser Normen Anregungen dazu dargestellt.

 

Begrifflichkeiten und deren Einordnung im Normenkontext

Die Begrifflichkeiten „funktionale Sicherheit“ beziehungsweise „sicherheitsbezogene Teile von Steuerungen“ stehen für zwei mehr oder minder unabhängig voneinander entwickelte Methoden zur Auslegung von sicherheitsrelevanten Steuerungen beziehungsweise Teilen davon.

Während der Begriff „funktionale Sicherheit“ auf die im Rahmen der IEC erarbeiteten Normenreihe IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“ und der daraus abgeleiteten Norm für den Maschinenbau IEC (EN) 62061 „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme“ zurückgeht, steht der Begriff „sicherheitsbezogene Teile von Steuerungen“ im Zusammenhang mit der von CEN beziehungsweise ISO erarbeiteten Normenreihe EN 954 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“ und deren Nachfolge (EN) ISO 13849 mit identischem Titel.

Von grundsätzlicher Bedeutung für den Maschinenbau sind im Hinblick auf diese Normen die folgenden Aspekte:

  1. IEC 61508 und IEC (EN) 62061 betrachten ausschließlich elektrische, elektronische und programmierbare elektronische Steuerungssysteme beziehungsweise Teile davon, während EN 954 und (EN) ISO 13849 darüber hinausgehend auch Steuerungssysteme mit mechanischen, hydraulischen und pneumatischen Komponenten, die im Maschinenbau häufig Anwendung finden, einbeziehen.
  2. EN 954 und (EN) ISO 13849 wurden auf Grundlage der (EN) ISO 12100 „Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“, die als Sicherheitsgrundnorm (Typ A) die grundsätzliche Methodologie zur sicherheitstechnischen Auslegung von Maschinen insgesamt beschreibt, erarbeitet; was für IEC 61508 nicht und für IEC (EN) 62061 bestenfalls bedingt zutrifft.

Daher verwundert es nicht, dass bisher im Maschinenbau fast ausschließlich die Norm EN 954 beziehungsweise (EN) ISO 13849 zur Anwendung kommt. Die wenigen Ausnahmen sind bei Maschinengattungen zu finden, die für den Einsatz in der Prozessindustrie bestimmt sind, und bei denen Kundenforderungen hinsichtlich der Anwendung von IEC (EN) 62061 beziehungsweise IEC 61508 bestehen.

Für den Maschinenbau und die sicherheitstechnische Normung in diesem Sektor besteht das zwingende Erfordernis, dass die Prinzipien der Norm (EN) ISO 12100, die quasi eine Übertragung der grundlegenden Konzeption der Maschinenrichtlinie 2006/42/EG in die Sprache des Konstrukteurs darstellt, bei Normen zur Auslegung von sicherheitsrelevanten Steuerungen beziehungsweise Teilen zum Tragen kommen. Das ist unabdingbare Voraussetzung, um die Kohärenz des gesamten Normenwerks zur Maschinensicherheit, das mittlerweile aus etwa 800 Normen (Typ A, B und C) besteht, gewährleisten zu können.

Die Berücksichtigung der Prinzipien der Norm (EN) ISO 12100 stellt für den Maschinenbau auch eine Vorbedingung im Hinblick auf die aktuellen Arbeiten zu ISO 17305 (geplante Zusammenführung von (EN) ISO 13849 mit IEC (EN) 62061) dar.

 

Funktionale Sicherheit – ein Teilaspekt der Maschinensicherheit

Unter Beachtung des in (EN) ISO 12100, Bild 1, dargestellten iterativen Prozesses zur Risikominderung wird deutlich, dass es sich bei der „funktionalen Sicherheit“ beziehungsweise bei der Auslegung von „sicherheitsbezogenen Teilen der Steuerung“ um einen Teilaspekt der Maschinensicherheit handelt, der nur dann zu betrachten ist, wenn eine Risikominderung durch eine technische Schutzmaßnahme unter Einbeziehung der Steuerung beziehungsweise Teilen davon realisiert wird. Der daraus resultierende eingeschränkte Geltungsbereich der relevanten Normen EN 954, (EN) ISO 13849, IEC (EN) 62061 beziehungsweise IEC 61508 ist selbst in einschlägigen Fachkreisen nicht immer präsent und hat in der Vergangenheit teilweise zu skurrilen Fehlaussagen geführt.

So wurde beispielsweise die Verlängerung der Vermutungswirkung von EN 954 als harmonisierte Norm zur Maschinenrichtlinie 2006/42/EG um zwei Jahre im Zusammenhang mit dem zufällig zeitgleich erfolgenden Übergang von der alten Maschinenrichtlinie 98/37/EG auf die neue 2006/42/EG im Dezember 2009 fälschlicherweise als Verschiebung des Anwendungsbeginns der 2006/42/EG um zwei Jahre interpretiert.

Mit der Zielstellung, Fehlinterpretationen jeglicher Art zukünftig weitestgehend zu verhindern, wurde durch das ISO/TC 199 „Sicherheit von Maschinen und Geräten“ der Technische Bericht ISO/TR 22100-2:2013 „Sicherheit von Maschinen – Beziehung zu ISO 12100 – Teil 2: Wie ISO 12100 und ISO 13849-1 zusammenhängen“ erarbeitet. Dieser Technische Bericht erläutert in transparenter Form, wie die Anwendung der Norm (EN) ISO 13849-1 im Rahmen der Risikobeurteilung und Risikominimierung einer Gesamtmaschine nach (EN) ISO 12100 zu erfolgen hat, welche Voraussetzungen erfüllt sein müssen beziehungsweise welche Grenzen in diesem Kontext bestehen.

 

Probleme beim Übergang von EN 954 auf (EN) ISO 13849

EN 954:1996 basiert auf einem qualitativen Ansatz. Ausgehend von der Einschätzung des Risikos einer Gefährdung, das durch die in Frage kommende technische Schutzmaßnahme unter Einbeziehung der Steuerung gemindert werden soll, muss für die sicherheitsbezogenen Teile der Steuerungen eine entsprechende Kategorie realisiert werden. Diese Kategorie korrespondiert wiederum mit einer typischen „vorgesehenen Architektur“, das heißt einem logischen Schaltbild von Sensor, Logikeinheit und Aktor mit je nach Kategorie unterschiedlichem Grad an zu verwendenden Komponenten (bezüglich Fehlerverhalten) beziehungsweise umzusetzenden Strukturen der Schaltung (zum Beispiel Redundanzen).

Mit (EN) ISO 13849:2006 wurde der Ansatz von EN 954:1996 im Prinzip um einen quantitativen Aspekt: die Zuverlässigkeit von verwendeten Komponenten, die durch die „mittlere Zeit bis zum gefahrbringenden Ausfall (MTTFd)“ charakterisiert wird, erweitert. Diese auf das Komponentenversagen fokussierte Betrachtungsweise korrespondiert mit Ansätzen, die für elektrische/elektronische Sicherheitsbauteile als Stand der Technik anzusehen sind, und wie sie in IEC 61508 und IEC (EN) 62061 Verwendung finden.

Die seinerzeit bestehende Konkurrenzsituation zwischen (EN) ISO 13849 und IEC (EN) 62061 mag ursächlich dafür gewesen sein, dass die Erweiterung um diesen quantitativen Aspekt auch auf mechanische, hydraulische und pneumatische Komponenten von Steuerungen ausgedehnt wurde.

Diese Ausweitung war jedoch in keiner Weise durch praktische Erfahrungen aus dem Maschinenbau hinsichtlich ihrer grundsätzlichen Eignung verifiziert. Somit repräsentierte (EN) ISO 13849 bei ihrer Veröffentlichung bezogen auf diesen neuen quantitativen Aspekt für mechanische, hydraulische und pneumatische Komponenten von Steuerungen nicht den Stand der Technik, sondern ein neues in der Praxis unerprobtes Konzept, das auf Anwendungsebene im Maschinenbau in der Folge zunehmend Probleme verursachte.

Die Adressierung dieser Probleme durch die Anwender aus dem Maschinenbau führte zu der bereits angesprochenen Verlängerung der Vermutungswirkung von EN 954:1996 als harmonisierte Norm zur Maschinenrichtlinie 2006/42/EG um zwei Jahre bis zum 31. Dezember 2011. Darüber hinaus wurde gemeinsam von CEN/CENELEC und der Europäischen Kommission ein Symposium im September 2010 veranstaltet, in dessen Rahmen eine Diskussion zwischen Normenerstellern und Normenanwendern aus dem Maschinenbau zur Verbesserung der Anwenderfreundlichkeit von (EN) ISO 13849 und IEC (EN) 62061 geführt wurde. Die auf diesem Symposium erarbeiteten Anregungen sollten dann durch die jeweilig zuständigen Normungsgremien im Hinblick auf eine verbesserte Praxistauglichkeit der Normen Berücksichtigung finden.

Das ISO/TC 199 hat mit der Erarbeitung einer Änderung 1 zu (EN) ISO 13849-1:2006 diesem Anliegen entsprochen. Durch eine verstärkte Beteiligung der Anwender aus dem Maschinenbau in der zuständigen ISO/TC 199/WG 8 „Sicherheit von Steuerungen an Maschinen“ ist es gelungen, eine Reihe von substanziellen Verbesserungen in den Schlussentwurf dieser Änderung einzubringen, die im Rahmen des Symposiums 2010 formuliert wurden. Als wichtigste fachliche Änderung ist in diesem Zusammenhang der neue Abschnitt 4.5.5 der Änderung anzusehen. Danach wird, für den in der Praxis häufig auftretenden Fall von nicht verfügbaren Ausfallwahrscheinlichkeitswerten (MTTFd) für mechanische, hydraulische, pneumatische oder technologisch gemischte Ausgangskomponenten (Aktoren) der Steuerungskette die Möglichkeit eröffnet, diese Art von Komponenten ausschließlich mithilfe des Kategorieansatzes (qualitatives Verfahren) zu beschreiben. Details dazu sowie zu weiteren fachlichen Änderungen im Rahmen der Änderung 1 zu (EN) ISO 13849-1:2006 sind dem Artikel „Funktionale Sicherheit – Ausblick auf die aktuellen Normungsaktivitäten“ zu entnehmen, der ebenfalls in dieser Ausgabe der Zeitschrift erscheint.

 

Stellung der Normen zur funktionalen Sicherheit im kohärenten Normenwerk zur Maschinensicherheit

Im Gegensatz zum Großteil der Sicherheitsfachgrundnormen (Typ B) zur Maschinensicherheit enthalten EN 954, (EN) ISO 13849, IEC (EN) 62061 beziehungsweise IEC 61508 keine Anforderungen/Empfehlungen zum behandelten Themengebiet, die durch den Normenanwender unmittelbar in der Praxis umgesetzt werden können.

Stattdessen geht die Methodologie aller Normen von einer Einschätzung des Risikos einer Gefährdung aus, das durch die in Frage kommende technische Schutzmaßnahme unter Einbeziehung der Steuerung gemindert werden soll. Dieser grundsätzliche Ansatz ist die Ursache für die meisten Probleme bei der praktischen Anwendung dieser Normen.

Worauf ist das im Detail zurückzuführen? Im Rahmen der Risikobeurteilung für die Gesamtmaschine stellt die Einschätzung des Risikos einer signifikanten Gefährdung mit den Teilelementen Schadensausmaß und Eintrittswahrscheinlichkeit des Schadens (siehe (EN) ISO 12100:2010, Abschnitt 5.5) eine Aufgabe dar, die zwangsläufig durch subjektive Beurteilungskriterien vom Ergebnis her eine Varianz besitzt. Das wird durch folgende Aussage aus Abschnitt 6.1 des ISO/TR 14121-2:2012 „Sicherheit von Maschinen – Risikobeurteilung – Teil 2: Praktischer Leitfaden und Verfahrensbeispiele“ unterstrichen:

„Die Wahl eines bestimmten Instruments für die Einschätzung eines Risikos ist weniger bedeutend als der Prozess selbst. Der Nutzen der Risikobeurteilung beruht eher auf der Beherrschung des Prozesses, als auf der absoluten Genauigkeit der Ergebnisse, solange alle Risikoelemente nach ISO 12100:2010, Abschnitt 5.5.2, vollständig berücksichtigt wurden. Außerdem sind die Anstrengungen eher auf Maßnahmen zur Risikominderung auszurichten, als darauf, eine absolute Genauigkeit bei der Einschätzung des Risikos zu erlangen.“

(De facto ist es unmöglich, eine absolute Genauigkeit bei der Risikoeinschätzung zu erreichen.)

Ausgehend von dieser mit subjektiven Faktoren behafteten Risikoeinschätzung werden dann basierend auf der Methodologie der einzelnen Normen (Typ B) jedoch im praktischen Anwendungsfall meist stringente Anforderungen hinsichtlich der Auslegung der sicherheitsrelevanten Teile der Steuerung in Form von zu erreichenden Kategorien (EN 954), PL ((EN) ISO 13849) beziehungsweise SIL (IEC (EN) 62061 und IEC 61508) abgeleitet.

Ein solcher Ansatz, basierend auf einer subjektiv behafteten Abschätzung, stringente Anforderungen abzuleiten, die dann in der Praxis auch eingefordert werden, führt zwangsläufig zu kontroversen Interpretationen im Hinblick auf die praktische Anwendung dieser Normen im Maschinenbau und ist aus ingenieurtechnischer Sicht hinsichtlich ihrer Logik grundsätzlich zu hinterfragen.

Aufgrund dieser konzeptionellen Schwachstelle sollten diese Normen (Typ B) eher als Leitfäden zur Auslegung der sicherheitsrelevanten Teile von Steuerungen bei Maschinen verstanden werden und nicht wie bisher einen Anforderungscharakter mit einhergehender Vermutungswirkung als harmonisierte Norm zur Maschinenrichtlinie 2006/42/EG (wie bei EN ISO 13849 und EN 62061 der Fall) für sich reklamieren.

Damit wäre bei der praktischen Auslegung einer spezifischen Maschine beziehungsweise bei der Erarbeitung von maschinenspezifischen Sicherheitsnormen (Typ C) auch die erforderliche Flexibilität gegeben, um für die dort relevanten Fälle spezifische Anforderungen für sicherheitsrelevante Teile der Steuerung umzusetzen beziehungsweise festzulegen, die unter Berücksichtigung des in diesem Kontext bestehenden Standes der Technik und von historisch bewährten Lösungen angemessen sind. Ein solches neues Verständnis zur Funktion dieser Normen würde auch dazu beitragen, dass der Kohärenz des gesamten Normenwerks zur Maschinensicherheit besser als bisher Rechnung getragen wird.

Weitere interessante Artikel: