Kleiner Einstieg in die Thematik der Funktionalen Sicherheit
Andreas Schunkert • 7. Oktober 2024
Funktionale Sicherheit ist ein entscheidender Aspekt in der Entwicklung sicherheitskritischer Systeme, insbesondere in Branchen wie Automobil, Luftfahrt und Maschinenbau. Sie bezieht sich auf die Fähigkeit eines Systems, sicher zu funktionieren, selbst in der Präsenz von Störungen oder Fehlfunktionen. Ein zentrales Konzept in diesem Kontext ist der Performance Level (PL), der sowohl die erforderlichen Sicherheitsanforderungen als auch die tatsächliche Sicherheitsleistung eines Systems beschreibt.
Performance Level Required (PLr)
Ermittlung des PLr
Der Performance Level Required (PLr) wird durch eine umfassende Risikoanalyse ermittelt. Dieser Prozess umfasst mehrere Schritte:
- Identifikation von Gefahren: Zunächst müssen alle potenziellen Gefahren identifiziert werden, die mit dem System verbunden sind. Dies beinhaltet sowohl mechanische als auch elektrische Gefahren. Eine gute Hilfestellung, welche Gefahren alle betrachtet werden sollen, bietet der Anhang I der Maschinenrichtlinie mit den darin enthaltenen Allgemeinen Sicherheits- und Gesundheitsschutzanforderungen.
- Risikoabschätzung: Jede identifizierte Gefahr wird hinsichtlich der Schwere einer möglichen Verletzung beim Eintritt, der Häufigkeit und der Möglichkeit der Vermeidung bewertet. Hierbei kommen Methoden wie die Fehlerbaumanalyse (FTA) oder die Gefährdungsanalyse (HAZOP) zum Einsatz.
- Klassifizierung: Basierend auf der Risikoabschätzung wird der PLr in eine der Kategorien (PLa bis PLe) eingestuft, wobei PLa die niedrigste und PLe die höchste Sicherheitsanforderung darstellt. Die Einstufung erfolgt nach den Kriterien der Normen wie ISO 13849 oder IEC 61508, wobei letztere statt eines Performance Levels (PL) einen Safety Integrity Level (SIL) beschreibt.
- Anforderungen an die Sicherheitsfunktionen: Der PLr legt fest, welchen Performance Level die implemetierten Sicherheitsfunktionen aufweisen müssen, um die identifizierten Risiken ausreichend zu minimieren.
Tatsächlicher Performance Level (PL)
Berechnung des PL
Nachdem der PLr definiert wurde, muss der tatsächliche Performance Level (PL) des Systems ermittelt werden. Dies geschieht durch die Bewertung der implementierten Sicherheitsfunktionen und ihrer Wirksamkeit:
- Analyse der Sicherheitsfunktionen: Zunächst müssen die Sicherheitsfunktionen, die zur Erfüllung des PLr implementiert wurden, detailliert analysiert werden. Dazu gehört die Betrachtung der Funktionsweise, der Redundanz (des Aufbaus der Sicherheitsfunktion) und der Zuverlässigkeit der Systeme.
- Bestimmung der Sicherheitsmerkmale: Jedes System hat spezifische Sicherheitsmerkmale, wie Fehlertoleranz, Diagnosefähigkeit und die Möglichkeit zur Fehlererkennung. Diese Merkmale werden quantifiziert, um die Leistungsfähigkeit der Sicherheitsfunktionen zu bewerten.
- Berechnung der Sicherheitswerte: Anhand von statistischen Daten und Erfahrungswerten wird die Wahrscheinlichkeit von Fehlfunktionen ermittelt. Diese Werte fließen in die Berechnung des PL ein. Die Berechnung erfolgt typischerweise durch die Formel:
PL = f(MTTFd, SFF, DC)
Hierbei stehen MTTFd (Mean time to failure dangerous), SFF (Safe Failure Fraction) und DC (Diagnostic Coverage) für die relevanten Parameter zur Berechnung der Sicherheitsleistung.
- Überprüfung und Validierung: Der berechnete PL muss mit dem PLr abgeglichen werden. Wenn der PL den Anforderungen des PLr entspricht oder diese übersteigt, gilt das System als sicher. Andernfalls sind weitere Maßnahmen erforderlich.
Fazit
Die funktionale Sicherheit ist ein komplexes, aber essentielles Konzept, das eine systematische Herangehensweise zur Identifizierung, Bewertung und Minimierung von Risiken erfordert. Die korrekte Ermittlung des Performance Level Required (PLr) und die anschließende Berechnung des tatsächlichen Performance Levels (PL) sind entscheidend, um die Sicherheit von Systemen zu gewährleisten. Unternehmen müssen sicherstellen, dass sie die richtigen Methoden und Normen anwenden, um die Sicherheit ihrer Produkte und Systeme zu garantieren.
Wir von AS Maschinensicherheit stehen Ihnen gerne jederzeit mit Rat und Tat zur Seite, um Sie dabei zu unterstützen, Ihre Maschine arbeitsschutztechnisch sicher und auch rechtssicher auszulegen. Wir unterstützen Sie auch gerne im Rahmen einer Betriebsbegehung, zeigen Ihnen dabei mögliche arbeitsschutztechnische Mängel auf und geben Empfehlungen zur Behebung der Mängel.
Kontaktieren Sie uns gerne!
Lesen Sie hier, wo die Unterschiede, die Gemeinsamkeiten und die rechtlichen Grundlagen einer Risikobeurteilung und einer Gefährdungsbeurteilung liegen.
Auch der Betreiber einer Maschine hat gewisse Pflichten, welche sich aus dem Arbeitsschutzgesetz (ArbSchG) und der Betriebssicherheitsverordnung (BetrSichV) ergeben. In diesem Artikel werden diese Pflichten ein wenig beleuchtet.
Die Veröffentlichung der neuen ISO 10218 mit Ihren beiden Teilen für Roboter und Roboterapplikationen rückt immer näher und sollte bis Ende 2024 erfolgen. Eine der wesentlichen Veränderungen in der Neufassung dieser Norm sollten wir jedoch bereits vorab schon einmal verinnerlichen. Der Begriff „Cobot“ oder „kollaborierender Roboter“ muss weg! Wir müssen endlich verstehen, dass ein Roboter (egal welcher Hersteller) nicht kollaborierend sein kann. Wir können zwar Applikationen kollaborierend gestalten, indem wir entsprechende Risikominderungsmaßnahmen vornehmen (z.B. die Verwendung der Kraft- und Leistungsbegrenzung eines Roboters), jedoch ist auch ein „Cobot“ an dessen Ende ein Messer montiert ist alles andere als ein kollaborativer Roboter. Wir sollten damit anfangen diese Art der Roboter als „Roboter mit erweiterten Sicherheitsfunktionen“ bezeichnen. Denn genau das sind sie. Die Neufassung der ISO 10218 wird diesen Aspekt auch genauso wieder spiegeln. In der Fassung von 2011 findet sich noch die Definition eines „kollaborierenden Roboters“ im Teil 2 als Roboter, der designet wurde, um direkte Interaktionen mit dem Meschen in einem kollaborativen Arbeitsraum durchzuführen. In der Neufassung ist diese Definition aus o.g. Gründen bewusst weggefallen. In der bald veröffentlichten Version wird nur noch die kollaborative Applikation definiert und behandelt, was auf jeden Fall der Weg in die richtige Richtung ist. Nun muss es nur noch in die Köpfe der Anwender und vor allem in die Köpfe der Marketingabteilungen der Hersteller rein, dass es keinen „Cobot“ gibt und dieses Wort der Vergangenheit angehören sollte. Des Weiteren wird es in Zukunft auch noch eine weitere Änderung in der Normenwelt geben. Die fast jedem bekannte ISO/TS 15066, welche leider auch den Begriff „Kollaborative Roboter“ trägt, soll von einer TS in eine ISO-Norm umgewandelt werden. Da der Hauptteil der ISO/TS 15066 bereits in die Neufassung der ISO 10218-2 übernommen wurde, wird dieser Inhalt nicht mehr in einer zusätzlichen Norm benötigt. Die 15066 als ISO-Norm wird sich dann hauptsächlich auf den jetzigen Anhang A – die biomechanischen Grenzwerte - beziehen. Auch hier wird dann der Titel der Norm nicht mehr „Kollaborierende Roboter“ sein, was dann das letzte Argument für die Bezeichnung eines Roboters als kollaborierenden Roboters aus der Normenwelt entfernt. Als kleine Zusatzinformation sei hier noch angemerkt, dass die Umwandlung der ISO/TS 15066 in eine ISO-Norm noch gut ein bis zwei Jahre dauern wird und mehrere Teile für eine ISO 15066 geplant sind: Teil 1 = Biomechanische Grenzwerte aus jetziger ISO/TS 15066 Teil 2 = Jetziger Inhalt der ISO/PAS 5672 Teil 3 = Berechnungsmethoden zur modelbasierten Kollisionskraftermittlung Es ist aber davon auszugehen, dass die Teile 2 und 3 hier noch länger als ein bis zwei Jahre bis zur Veröffentlichung benötigen. Aber dennoch sollten wir JETZT bereits damit anfangen, das Wort „Cobot“ oder auch „kollaborierender Roboter“ aus unseren Köpfen zu löschen. Wir müssen damit beginnen zu verstehen, dass nur Applikationen kollaborierend sein können!
Die neue ISO 10218 hat lange gebraucht, aber jetzt nähert sich der Zeitpunkt der Veröffentlichung. Grund genug um sich einmal etwas tiefer gehend mit den Neuerungen in der bald kommenden Neufassung zu beschäftigen.
Risikobeurteilungen sind ein wichtiger Bestandteil des Maschinenbaus und spielen eine entscheidende Rolle bei der Gewährleistung der Sicherheit und dem Gesundheitsschutz am Arbeitsplatz. Durch eine systematische Bewertung und Analyse von potenziellen Gefährdungen können Unternehmen Risiken minimieren, Arbeitsunfälle verhindern und die Einhaltung von Gesetzen, Richtlinien und Vorschriften gewährleisten. In diesem Artikel wird wir die Bedeutung der Risikobeurteilung von Maschinen noch einmal herausgestellt und verdeutlicht.
2004 und damit vor fast 20 Jahren wurde der erste kollaborative Roboter, der LBR 3 verkauft. Da sollte man doch meinen, dass wir heute im Jahr 2023 kollaborative Roboter sicher einsetzen können und es umfängliche Regeln gibt, welche den Einsatz in den unterschiedlichsten Applikationen genau definieren. Leider ist es jedoch nicht ganz so. Zwar wurde 2016 (12 Jahre nach dem ersten Cobot auf dem Markt) die ISO TS 15066, mit Regeln für die Anwendung von kollaborativen Roboterapplikationen, veröffentlicht. Jedoch unterscheidet diese in ihrer Betrachtung nicht wirklich Applikationen bei denen ein Cobot tatsächlich 24/7 Seite an Seite mit einem Mitarbeiter zusammen arbeitet und solche Anwendungen, bei denen der Roboter zwar ohne Schutzzaun arbeitet aber eigentlich weit und breit kein Mitarbeiter in der Nähe ist. Schaut man in die ISO 12100 - Sicherheit von Maschinen - Risikobeurteilung und Risikominderung, so findet man dort, dass sich das Risiko aus den Faktoren "Schwere der möglichen Verletzung" und der "Wahrscheinlichkeit des Auftretens" zusammen setzt. Im letzteren Faktor sind die Aufenthaltsdauer im Gefahrenbereich, die Frequenz mit der man in den Gefahrenbereich eintritt und die Möglichkeit der Vermeidung des Schadens inkludiert. Schaut man nun in die ISO TS 15066, so findet sich dort in der Anlage A eine Auflistung an Kräften und Drücken welche den Schmerzeintritt definieren. Diese Werte werden nun seit Jahren für alle kollaborierenden Applikationen gleicher-maßen heran gezogen und als Obergrenze gesetzt. Ganz gleich ob die Applikation eine hohe Wahrscheinlichkeit einer Kollision zwischen Mensch und Roboter aufweist, da sich ein Mitarbeiter im normalen Arbeitsprozess ständig in der Nähe des Roboters aufhält, oder ob die Wahrscheinlichkeit eher gering ist, da der Cobot für sich alleine arbeitet und nur alle paar Stunden mal ein Mitarbeiter vorbei schaut und z.B. ein neues Tray bei einer Maschinenbeladung einlegt. Das Betrachten beider Applikationen mit den gleichen Maximalwerten für Kraft und Druck kommt mit Hinblick auf die oben beschriebene Ermittlung des Risikos nach ISO 12100 dem berühmten Vergleichen von Äpfel und Birnen gleich! Nehmen Sie einmal an, sie bewerten die Klemmung einer Hand nach der oben genannten ISO TS 15066. Nachfolgend ist hierzu ein Auszug aus der Anlage 1 dargestellt. Wie Sie sehen, wird hier die maximale Kraft mit 140N für eine Klemmung und einem transienten Faktor von 2 beziffert. Der transiente Faktor bezieht sich dabei auf eine zulässige Überhöhung in den ersten 0,5 Sekunden. Es dürfte so also bei einer Messung in einer Applikation 280N in den ersten 0,5 Sekunden auftreten und 140N nach 0,5 Sekunden. Liegt einer der beiden gemessenen Werte über diesen Werten so wäre die Applikation nach dieser Technischen Spezifikation (TS) als nicht sicher zu bewerten.