Schutzkreise sind mehr als die Summe ihrer Teile

Welchem Safety Integrity Level (SIL) müssen Schutzkreise von Anlagen oder Maschinen genügen, damit sie stets sicher betrieben werden können? So zentral diese Frage für Planung, Herstellung und Betrieb ist, so häufig wirft sie in der Praxis weitere Fragen auf: Welche Komponenten und integrierten Systeme sind geeignet? Wie müssen sie kombiniert werden? Wie wird der erforderliche Eignungsnachweis im konkreten Einzelfall erbracht? Am Beispiel eines Schutzkreises zur Geschwindigkeitsüberwachung soll dies verdeutlicht werden.
Jede Anlage oder Maschine birgt ein gewisses Risiko der Gefährdung von Personen, Sachen und der Umwelt. Die Höhe des Risikos ergibt sich aus der Multiplikation der Eintrittswahrscheinlichkeit und des Schadensausmaßes eines Szenarios. Um diese beiden Faktoren und somit das Restrisiko auf ein akzeptables Maß zu reduzieren sind, in Abhängigkeit von der konkreten Gefährdungssituation, technische und/oder organisatorische Maßnahmen notwendig. Grundsätzlich muss die Sicherheit einer Maschine oder Anlage über deren gesamte Lebensdauer gewährleistet sein. Um dies sicherzustellen führt der Hersteller eine systematische Gefahrenanalyse sowie Risikobeurteilung durch und definiert geeignete Maßnahmen zur Risikoreduzierung. Werden technische Maßnahmen zur Risikoreduzierung unter Verwendung von elektrischen und/oder elektronischen und/oder programmierbaren elektronischen Systemen (E/E/PE-System) ausgeführt, sind die Anforderungen der Regelwerke zur funktionalen Sicherheit zu beachten. Im Zuge der Risikobeurteilung wird für jeden Schutzkreis ein Safety Integrity Level (SIL), als Maß für die notwendige Risikoreduzierung, definiert. Dieser steht für die Wahrscheinlichkeit, dass ein sicherheitsbezogenes E/E/PE-System die festgelegten Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt. SIL1 steht für das kleinste Maß an Risikoreduzierung, SIL4 stellt die höchste Stufe dar. Die grundlegenden Betrachtungen zur Funktionalen Sicherheit auf Komponentenebene sind in der Normenreihe EN61508 Teil 1-7 definiert. Die sektorspezifischen Normen zur Funktionalen Sicherheit, wie z.B. EN62061 für Maschinen und EN61511 für die Prozessindustrie, legen die Anforderungen an die Schutzkreise auf Anwendungsebene fest. Ein in der Praxis häufig auftretendes Beispiel für die Anwendung sicherheitsgerichteter E/E/PE-Systeme ist die sichere Reduzierung der Geschwindigkeit von gefahrbringenden Bewegungen an Maschinen. Beispielhaft stehen hierfür Gefährdungen, welche von der Fahrbewegung einer Elektrohängebahn ausgehen können. Diese kommen häufig in der Automobilindustrie zum Einsatz, um Karosserien quasi schwebend zu transportieren. Die Fördergeschwindigkeit der Karosserien muss z.B. in der Montagezone unterhalb definierter Grenzwerte bleiben und darf nur in abgesicherten Bereichen angehoben werden. Bei Überschreitung des Grenzwertes innerhalb der Montagezone besteht ein hohes Risiko für die permanent dort befindlichen Mitarbeiter sich Quetschungen oder sogar irreversible Verletzungen zuzuziehen. Beispielhaft könnte für diesen Fall eine Risikoreduzierung in der Größe von SIL2 für eine zu errichtende Sicherheitseinrichtung in der Risikobeurteilung festgelegt worden sein.

Risiko reduzieren

Die Basis für die Umsetzung der normativen Anforderungen an Schutzkreise stellt der Sicherheitslebenszyklus in EN61508-1 dar. Dieser beginnt mit der Konzeptphase und endet mit der Außerbetriebnahme der Schutzeinrichtung. Die Strategie zur Reduzierung gefährlicher Ausfälle kann dabei in einem Satz zusammengefasst werden: Systematische Fehler müssen vermieden und zufällige Fehler beherrscht werden. Die Umsetzung dieser Strategie erfolgt basierend auf drei Säulen:

• • Vorhandensein eines Managementsystem der Funktionalen Sicherheit
• • Einhaltung technischer Anforderungen durch die Komponenten der Schutzeinrichtungen
• • Sicherstellung der Qualifikation des Personals

Im Folgenden wird die zweite Säule der Fehlervermeidungsstrategie näher erläutert. Durch die Einhaltung technischer Anforderungen werden auftretende zufällige Fehler erkannt oder auf Grund der Architektur des Schutzkreises beherrscht, etwa durch redundanten Aufbau der Sensorik. Für das Beispiel der Elektrohängebahn mit der Sicherheitseinrichtung zur Geschwindigkeitsüberwachung bedeutet das konkret, dass in einer Million Betriebsstunden der Maschine lediglich ein gefährlicher Ausfall auf Grund eines zufälligen Fehlers, welcher die Funktion der Schutzeinrichtung im Anforderungsfall verhindert, toleriert wird. Um diesen hohen Anforderungen an die Zuverlässigkeit gerecht zu werden, müssen die Komponenten Sensorik, Logikeinheit und Aktorik des Schutzkreises für den Anwendungsfall geeignet sein. Die entsprechenden Eignungsnachweise sind die Basis für das Planungsteam bei der Auslegung des Schutzkreises, um die grundsätzliche Eignung der Komponenten bewerten zu können und die Architektur des Schutzkreises festzulegen. Der Eignungsnachweis für die Komponenten kann auf drei Wegen erbracht werden:

• • Eigennachweis durch den Hersteller, dass die Komponente gemäß den Anforderungen der Normenreihe EN61508 entwickelt/ gebaut wurde und für den Einsatz in einem Schutzkreis mit dem erforderlichen ‚SIL‘ geeignet ist.
• • Durch einen Nachweis der Betriebsbewährung, in welchen die Komponente über einen längeren Zeitraum in einer vergleichbaren Anwendung hinsichtlich ihrer Eignung beobachtet und bewertet wurde.
• • Durch Baumusterprüfung, bei welcher die Komponente auf der Basis einer bestehenden Produktnorm durch ein Prüfinstitut wie TÜV SÜD geprüft wurde. Auf Basis der erforderlichen Eignungsnachweise für die Einzelkomponenten ist abschließend der gesamte Schutzkreis einer Bewertung zu unterziehen.

Fazit

Die Gewährleistung hoher Sicherheitsstandards beim Einsatz sicherheitsgerichteter E/E/PE-Systeme kann nur durch ein vorhandenes und gelebtes Managementsystem der Funktionalen Sicherheit, dem Einsatz von für die Anwendung geeigneten Komponenten und der Sicherstellung eines hohen Wissensstandes durch Aus- und Weiterbildung aller am Projekt beteiligten Personen erfüllt werden.