Die Bedeutung von Fehlerausschlüssen – Funktionale Sicherheit

Sichere Technik ist Realität, versagensfreie Technik ist eine Utopie

Die obige Feststellung bedeutet, dass sichere technische Lösungen sich bei einem Versagen (Fehlzustand) tolerant verhalten müssen, d. h. in einen funktional sicheren Zustand übergehen und in diesem verharren. Um Funktionale Sicherheit zu erreichen, müssen Fehlzustände rechtzeitig und sicher erkannt werden. Keine Lösung ist es, mögliche Fehlzustände aus „Bequemlichkeit“ zu ignorieren oder mit nur scheinbar greifenden Randbedingungen auszuschließen. Für die Bewertung ist das stets vorhandene und unvermeidbare Restrisiko (als tolerierbares Risiko) mit dem möglichen Schadensausmaß der Maßstab. Der rechtliche Rahmen ist gesteckt unter anderem durch Richtlinien der Europäischen Union (EU) bzw. der daraus abgeleiteten nationalen Gesetzgebung. Beispielhaft sei hier die Maschinenrichtlinie genannt.

Betrachtungsrahmen

Zulässige Fehlerausschlüsse und zu beachtende Fehlzustände sind in das Lösungskonzept einzubeziehen. Hier sind Fehlerkataloge, die u. a. in einschlägigen Normen [1] zu finden sind, hilfreich. Werden mögliche Fehler entgegen dem Stand der Technik, der sich in Normen darstellt, ausgeschlossen, besteht die Gefahr, grob fahrlässig zu handeln, was u. U. einen Straftatbestand darstellt. Dies gilt insbesondere dann, wenn die grundlegenden Sicherheitsprinzipien nach ISO/EN 13849-2 nicht beachtet wurden. Die Funktionale Sicherheit ist essenzieller Teil der Industrieautomation, Prozessautomation,

Verkehrstechnik, Medizin- und Aufzugstechnik u. w. Es wird beispielsweise erwartet, dass sich Türen zu Gefahrenbereichen einer Maschine während des Betriebs nicht öffnen lassen. Umgekehrt gilt demzufolge, dass bei geöffneter Tür eine Inbetriebnahme nicht möglich ist.

Damit sind die Konsumgüter keineswegs ausgeschlossen, da zum einen der Einsatzbereich für die gesetzliche Einordnung maßgeblich ist und zum anderen auch in nichtindustriellen Anwendungen die Unversehrtheit der Nutzer zu beachten ist.

Fehlzustand bei Elementarrelais

Für den Anwender ist eine hohe Verfügbarkeit der jeweiligen Einrichtung vordergründig wichtig. Funktionale Sicherheit ist damit aber nicht automatisch eingeschlossen. Sie erfordert eine zusätzliche Betrachtung, z. B. bei Elementarrelais.

Ein nicht ausschließbarer Fehlzustand ist das Öffnungsversagen eines Kontaktes (z. B. Verschweißen). Dieses Verhalten ist in der Regel als kritisch bzw. gefährlich zu bewerten. Es wird nachfolgend aufgezeigt, auf welch einfache Weise mit geeigneter Architektur das Öffnungsversagen eines Kontaktes deterministisch (eindeutig vorhersehbar) beherrscht werden kann.

Öffnungsversagen wird besonders in der IEC/EN 61810-3 [2] betrachtet. Diese Norm gilt ergänzend zur IEC/EN 61810-1 [3] für Elementarrelais. Die mögliche negative Wirkung in Anwendungen kann bei Verwendung von Elementarrelais mit zwangsgeführten Kontakten und geeigneter Schaltungstechnik (Zustandserkennung – Diagnose) vermieden werden. Im Falle des Öffnungsversagens eines Schließers, können die Öffner nach Abschalten der Spulenerregerspannung nicht schließen. Damit wird der Fehlzustand einwandfrei erkennbar. Die Öffnungsweite im Fehlzustand ist mit 0,5 mm für Einfachkontakte festgelegt. Diese Funktionalität der Zwangsführung gilt auch im umgekehrten Fall, wenn ein Öffner verschweißt ist.

Lösungsansatz

Mit Redundanz als Lösungsansatz ist Funktionale Sicherheit schaltungstechnisch einfach und übersichtlich erfüllbar. Hierzu sind bewährte Lösungen bekannt und können immer wieder angewendet werden. Das grundlegende Sicherheitsprinzip der Energietrennung steht hier im Vordergrund.

Man schaltet z. B. zwei Schließer (S1 und S2) in Reihe, die jeweils von zwei Elementarrelais (Redundanz) stammen und die voneinander zeitlich beabstandet betätigt werden (grundlegende Sicherheitsprinzipien, Maßnahmen gegen Ausfälle gemeinsamer Ursache – CCF). Der Schaltzustand der Kontakte wird sicher über einen zugeordneten zwangsgeführten Öffner (Zustandserkennung) erkannt.

Werden beide Schließer in zeitlichem Abstand betätigt, ist die Beanspruchung und damit auch der Verschleiß aufgeteilt (diversifizierte Beanspruchung – diversitäre Redundanz). Fällt ein Schließer durch Öffnungsversagen aus, ist durch den zweiten, „geschonten“ Schließer eine Abschaltung trotzdem möglich. Ein erneutes Einschalten ist durch die Zustandserkennung mittels der den Schließern zugeordneten zwangsgeführten Öffner, die dann nicht zusammen geschlossen sind (in Reihe geschaltet ist der Stromkreis nicht geschlossen – Diagnose), zuverlässig (deterministisch) bei jedem Einschaltversuch (zyklische Testung) verhindert.

Zusammenfassung

Sichere Technik ist machbar, auch wenn versagensfreie Technik eine Utopie bleibt. Treten Fehlzustände ein, die das System erkennt (Diagnose) und reagiert darauf deterministisch im erforderlichen Sinne, bestätigt sich die angewendete Strategie. Der erhöhte Aufwand für die erforderliche diversitäre Redundanz ist gerechtfertigt für die erreichte Funktionale Sicherheit. Es werden Personen vor Schaden oder gar Tod bewahrt, Umwelt und Güter werden geschützt. Ausschlüsse von Fehlzuständen in einer Systembewertung aus Bequemlichkeit oder Kostendruck darf es nicht geben.

Eberhard Kirsch

[1] ISO/EN 13849-2; Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen, Teil 2: Validierung
[2] IEC/EN 61810-3 (Nachfolger der EN 50205); Elektromechanische Elementarrelais, Teil 3: Elementarrelais mit (mechanisch) zwangsgeführten Kontakten
[3] EC/EN 61810-1: Elektromechanische Elementarrelais, Teil 1: Sicherheitsgerichtete und allgemeine Anforderungen