Funktionale Sicherheit gewährleisten

Funktionale Sicherheit gewährleisten

Anforderungen für den Einsatz von ferngesteuerten Maschinen

Mit einer Funksteuerung ausgerüstete Maschinen und Anlagen, wozu auch Krane und Hebezeuge gehören, bieten dem Bediener viele Vorteile. Um die funktionale Sicherheit durch die Risikobewertung des Zusammenspiels von Maschine und Funksteuerung zu gewährleisten, muss mit dem Funkhersteller die sichere Gestaltung der Schnittstelle zwischen Maschine und Funksystem abgestimmt werden.

Die Funksteuerung von Maschinen hat sich in vielen Bereichen der Industrie als sicheres und effizientes Arbeitsmittel etabliert. Sie ermöglicht es dem Maschinenführer, die optimale Steuerposition nahe bei oder fernab der Maschine einzunehmen. Entsprechend der Maschinenrichtlinie 2006/42/EG darf von einer Maschine grundsätzlich in keinem Moment eine Gefahr für Mensch und Umwelt ausgehen. Daher sind Hersteller aufgefordert, eine Risikoanalyse durchzuführen und daraus Anforderungen an Konstruktion, Bau, Betrieb und Wartung der Maschine abzuleiten. Anforderungen an die sichere Funksteuerung leiten sich ebenso aus der Maschinenrichtlinie ab. Dabei gibt es heute keine Produktnorm, die abschließend zur Bewertung einer Funksteuerung herangezogen werden kann.1) Insofern finden sich Anforderungen an die funktionale Sicherheit der Funksteuerung heute vor allem in diversen Teilen oder Anhängen von maschinenbezogenen Normen, z. B. DIN EN 60204-32 (Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen – Teil 32: Anforderungen für Hebezeuge), in Verbindung mit Fachgrundnormen wie z. B. EN ISO 13849 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen).

Mögliche Einsatzszenarien und Risikobewertung

Wird die Maschine per Funk gesteuert, entstehen neue Szenarien, die es zu betrachten gilt:

  • Der Bediener kann und soll entsprechend der Arbeitsaufgabe wechselnde Positionen relativ zu den gefährdenden Elementen der Maschine einnehmen.

  • Im Allgemeinen herrschen wechselnde Umgebungsbedingungen vor, vor allem bei Maschinen für den mobilen Einsatz.

  • Funkwellen breiten sich im freien Raum aus und können mit anderen Funksignalen wechselwirken, so dass ein Signalgemisch beim Funkempfänger ankommt. Eine Störung durch solche Interferenz darf nicht zu einer gefährlichen Situation führen. Auch ist die Anzahl der zur Verfügung stehenden Kanäle begrenzt, und mehrere Nutzer teilen sich gewöhnlich das Funkspektrum. Eine Nutzertrennung zum Beispiel auf Basis einer eindeutigen Adressie-rung der Komponenten ist notwendig.

  • Solange sich der Bediener innerhalb der Funkreichweite bewegt, muss er jederzeit in der Lage sein, die Maschine per Not-Halt-Befehl mit der Funksteuerung in den sicheren Zustand zu bringen.

  • Die Reichweite bzw. geometrische Abdeckung eines Funksignals ist begrenzt, auch ein Funkabriss darf nicht zu einer gefährlichen Situation führen.

  • Signale können abgefangen, aufgezeichnet und wieder ausgesendet werden; ein entsprechender Schutz gegen Manipulation muss vorgesehen werden.

  • Der Funksender muss als bewegliche Komponente gezielt vor unbefugter Benutzung geschützt werden; daher ist ein sicherer Schlüssel notwendig ebenso wie eine automatische Deaktivierung des Senders, wenn er über längere Zeit nicht benutzt wird.

  • Das Bedienteil am Maschinenführer wird per Akku betrieben; insofern ist eine regelmäßige Unterbrechung des Steuerbetriebs zum Batteriewechsel immer gegeben.

Diesen grundlegenden Merkmalen des Funkbetriebs muss in der Risikobewertung Rechnung getragen werden. Darüber hinaus ergeben sich Anforderungen aus der sicherheitsbezogenen Bewertung der Maschinensteuerung an sich selbst. Sicherheitsfunktionen, die mit einer Funksteuerung abgebildet werden können, umfassen heute beispielsweise die Funktion Not-Stopp bzw. Not-Halt2), Schutz vor ungewollter Ingangsetzung, die sichere Aktivierung, Übertragung und Auslösung eines Bewegungsbefehls, die sichere Beschleunigung oder auch sichere Limitierung einer Geschwindigkeit, sichere Anwahl einer Betriebsart, Zwei-Hand-Bedienung oder Zustimmfunktionen.

Um im Sinne der EN ISO 13849-1 eine Aussage über die Sicherheit einer Funktion der Funksteuerung zu treffen, ist es notwendig, eine durchgängige Signalkette für die jeweilige Sicherheitsfunktion zu betrachten. Diese reicht von entsprechend qualifizierten Eingabeelementen am Funksender (z. B. Schalter, Taster) bis zu den Ausgabeelementen des maschinenseitig verbauten Funkempfängers (z. B. Relais, analoge Strom- oder Spannungssignale, Digitalwerte, serielle Schnittstellen, Bussysteme usw.) und schließt eine Qualifizierung der Elektronik und Software inklusive ihrer Diagnosefähigkeit mit ein.

Die Not-Stopp-Funktion ist am wichtigsten

Die primäre Sicherheitsfunktion der Funksteuerung ist die Not-Stopp-Funktion, die es dem Bediener ermöglicht, mit Hilfe eines Stoppbefehls jederzeit den sicheren Zustand der Maschine zu erreichen. Der sichere Zustand einer Funksteuerung beschreibt den Zustand des Funkempfängers und seiner Maschinenschnittstelle.

Jeder Funkempfänger ist mit einer überwachten Relaiskette ausgestattet, die den Zustand „Not-Stopp“ (oder Not-Halt) abbildet. Im sicheren Zustand ist die Kette geöffnet. Auf einer Hardware-Schnittstelle sind typischerweise alle Bewegungsbefehle zurückgesetzt, so dass keine Befehlsausgabe stattfindet. Eine serielle Schnittstelle weist ebenso einen definierten Zustand auf: Eine Busschnittstelle kann sicher getrennt werden oder aber eine definierte Nachricht an den Bus weiterreichen. Bewährte Technik ist es bei Buskommunikation auch, den Zustand „Not-Stopp“ zusätzlich zur Businformation als Schaltsignal redundant zu übermitteln und maschinenseitig zu überwachen.

Der Not-Stopp-Funktion wird in vielen Normen ein sog. Performance Level (PL) „d“ abverlangt. Dies bedeutet, dass die Wahrscheinlichkeit eines Fehlers dieser Funktion bei höchstens 10-6 pro Stunde liegt, was in etwa dem Auftreten eines einzigen Fehlers („Not-Stopp-Relais am Funkempfänger öffnen nicht“) in mindestens 114 Jahren entspricht3). Für das Systemdesign der Funksteuerung, bestehend aus Funksender, Funkkanal und Funkempfänger, bis zur Maschinenschnittstelle bedeutet ein Performance Level „d“ typischerweise die Notwendigkeit, eine durchgängige zweikanalige Struktur für die jeweilige Sicherheitsfunktion aufzubauen (sog. Kategorie-3-Architektur im Sinne der EN ISO 13849)4). Es ist nicht ausreichend, nur einseitig (auf Sender- oder Empfängerseite) „PL d“-fähige Ein- oder Ausgabeelemente einzusetzen. Ebenso ist es nicht ausreichend, nur die elektronische Schaltung zweikanalig auszuführen oder nur die entsprechenden Anforderungen an die Software zu erfüllen.

Korrekte Einbindung des Funkempfängers

Eine besondere Bedeutung kommt dem Funkkanal selbst zu, der im Allgemeinen eben nicht zweikanalig (z. B. über zwei separate Funkstrecken) ausgeführt wird. Hier kommt der sog. „Black Channel“-Ansatz zur Anwendung, der auch aus der Buskommunikation bekannt ist. Der einkanalige und daher nicht sichere Übertragungskanal wird durch ein übergeordnetes sicheres Protokoll laufend überwacht. Übertragungsfehler, die ihren Ursprung im Funkkanal haben, werden dabei erkannt.

Damit die für die Funksteuerung spezifizierte Sicherheit im Betrieb tatsächlich erreicht werden kann, ist es entscheidend, dass der Funkempfänger an der Schnittstelle zur Maschine korrekt eingebunden wird. Soll eine Maschine zum ersten Mal mit einer Funksteuerung ausgestattet werden, sollten im Rahmen einer Risikoanalyse folgende Fragen beantwortet werden:

  • Was ist der sichere Zustand der Maschine und welchem Zustand auf der Schnittstelle des Funkempfängers entspricht dies?

  • Wie soll die Maschine bei Funkabriss reagieren?

  • Wie wird vor allem die Not-Stopp-Übertragung vom Empfänger zur Maschine realisiert, d. h., wie wird die Not-Stopp-Information (Schaltkontakt, Busnachricht) von der Maschine interpretiert? Wird eine Sicherheits-SPS verwendet?

  • Muss maschinenseitig unterschieden werden können zwischen einem Stopp bei Funkabriss oder einem vom Bediener aktiv ausgelösten Not-Stopp?

  • Was sind weitere sicherheitsgerichtete Funktionen?

Den Maschinenherstellern wird empfohlen, das Sicherheitskonzept der Maschine zusammen mit dem Funkhersteller (weiter) zu entwickeln. Da die Anforderungen der funktionalen Sicherheit die grundlegende Struktur und Gestaltung des Funksystems beeinflussen, ist eine nachträgliche Erweiterung in diesem Bereich – anders als bei reinen Betriebsfunktionen – im Allgemeinen nur mit hohem Aufwand möglich. Daher sollten die Sicherheitsanforderungen zum frühestmöglichen Zeitpunkt spezifiziert werden.

Hebezeuge Fördermittel 12/2017 PDF-Download (1.52 MB) Autor: Dr.-Ing. Friederike Brendel, Mitglied der Geschäftsleitung, HBC-Radiomatic GmbH in Crailsheim, Dr.-Ing. Jochen Antes, Abteilungsleiter Produktmanagement, HBC-Radiomatic GmbH in Crailsheim