Pepperl+Fuchs: Von der Redundanz zur Intelligenz - Funktionale Sicherheit im Wandel
30 JAHRE GIT SICHERHEIT FEATURE - Man kann die „Funktionale Sicherheit“ mit Recht als deutsche Erfindung bezeichnen. Die ersten Safety-Konzepte wurden hierzulande entwickelt, und bis heute spielen deutsche Hersteller in diesem Marktsegment eine herausragende Rolle. Der Mannheimer Automatisierungsspezialist Pepperl+Fuchs gehört zu den Pionieren auf diesem Gebiet.
Im Juni 1996 explodierte die erste Ariane 5 kurz nach dem Start, weil im Trägheitsnavigationssystem ein Zahlenwert überschritten wurde. Die Software stammte noch vom Vorgängermodell, es kam zu einem Overflow. Diese banale Fehlfunktion kostete schließlich rund 500 Millionen Dollar. Das Programm war nicht für die wesentlich größere Beschleunigung der neuen Raketengeneration validiert worden. Hätte man bei der Entwicklung die Prinzipien der Funktionalen Sicherheit beachtet, wäre der Fehler nicht passiert.
Ur-Norm IEC 61508
Der Begriff der Funktionalen Sicherheit (FS) wurde auch erst zwei Jahre später eingeführt. 1998 wurde die internationale Norm IEC 61508 veröffentlicht, mit dem Titel „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme“. Sie gilt als die Mutter aller Normen in diesem Bereich. Doch es gibt auch eine Vorgeschichte, die mindestens zwanzig Jahre weiter zurückreicht.
In Deutschland begann die Diskussion über konstruktive Sicherheitsvorkehrungen für kritische, insbesondere explosionsgefährdete Anlagen bereits in den 1970er-Jahren. Sie fand hauptsächlich in der verfahrenstechnischen Industrie statt, in Branchen wie Chemie, Petrochemie, Öl und Gas. Pepperl+Fuchs hat hier unter anderem als Erfinder der eigensicheren Trennbarriere einen wichtigen Beitrag geleistet.
In den Anfängen der FS bestand die Antwort auf Sicherheitsanforderungen in architekturellen Lösungen mit der redundanten Installation der kritischen Komponenten. Um ein sicheres Signal zu erhalten, wurden zwei Sensoren eingesetzt. Die Verwendung von Controllern war dabei nicht erlaubt. Bei höheren Risikostufen war diversitäre Redundanz gefordert: Es mussten zum Beispiel zwei unterschiedliche Sensoren verwendet werden, um eine bauartbedingte Fehlfunktion auszuschließen. Sicherheitstechnische Schaltungen wurden mit Verzögerungsgliedern sowie mit Und- und Oder-Gliedern implementiert. Dieser Ansatz hatte zur Folge, dass sehr umfangreiche Koppelpläne und Schaltschränke voller Logikbausteine erforderlich waren.
In Anlagensegmenten, die ununterbrochen laufen müssen, führt etwa die Redundanz-Forderung zu beträchtlichem Aufwand: Das Segment – zum Beispiel eine Zulaufleitung mit Durchflussmesser und Ventil – muss für den Fall der Wartung bereits doppelt ausgelegt sein. Um beide Stränge durch Redundanz sicher zu machen, werden sie noch einmal verdoppelt, also insgesamt vervierfacht.
Solch aufwendige Architekturen weckten den Wunsch nach schlankeren, konzeptuellen Lösungen. Pepperl+Fuchs hatte in den 1970er-Jahren damals als erster Anbieter sichere Schaltverstärker und Sensoren auf den Markt gebracht, die mit einem Kanal eine sichere Signalübertragung in Ex-Bereichen möglich machten. Der Innovationsgrad war für damaligen Verhältnisse beträchtlich:
- Prinzipien für induktive und kapazitive Näherungsschalter
- aktive Überwachung von Schaltungsteilen
- Diagnose von Fehlern in Peripherieelementen
- Kopplung von Signalpfad mit Diagnoseinformation
Diese grundlegenden Technologien standen also in Form bereits bewährter Komponenten zur Verfügung, als mit der Norm IEC 61508 ein internationaler Markt für solche Lösungen entstand.
Sicherheit beginnt in der Entwicklung
In dieser Norm kam das Umdenken zum Ausdruck. Der Blick wurde erweitert: von der einzelnen Komponente, vom einzelnen Regelkreis zum Management des Gesamtsystems. Die Verifizierung und Validierung sicherheitsrelevanter Schritte und Vorkehrungen muss danach bereits im Planungsprozess einsetzen. „Eingebaute“ Fehlfunktionen wie bei der ersten Ariane 5 sollen auf diese Weise ausgeschlossen werden. Zugleich erlaubt IEC 61508 eine große Flexibilität bei der Wahl der eigentlichen Lösung. Statt der starren Vorgabe einer definierten Architektur sind intelligente Konzepte möglich. Mit modernen Sicherheitssteuerungen und I/Os können Sicherheitskreise flexibel implementiert werden.
In der verfahrenstechnischen Industrie, die häufig in großem Maßstab mit explosiven und ökologisch kritischen Stoffen arbeitet, gibt es heute vielfach bewährte Konzepte dafür. Hohe Sicherheitslevel wie SIL 3 werden nach wie vor über redundante Strukturen realisiert. In den Stufen darunter sind technische Lösungen zulässig, die mit einem Kanal auskommen und dabei auf Elemente wie sichere Steuerungslogik oder integrierte Selbstdiagnose setzen. Ein griffiges Beispiel dafür ist der Partial Stroke Test bei Ventilen: Statt einen Leitungsstrang für die Ventilprüfung vollständig abzuschalten, wird das Ventil in bestimmten Abständen teilweise bewegt und so seine Funktionsfähigkeit bestätigt. Erst wenn dabei Probleme auftreten, sind weitere Maßnahmen zu ergreifen. Die Sicherheit bleibt gewährleistet, die Anlagenverfügbarkeit steigt bei geringerem Investitionsaufwand.
Vielfältiger und damit komplexer stellt sich die Situation in der diskreten Produktion dar. In der Fabrikautomation geht es zunehmend um die Interaktion zwischen Mensch und Maschine, wobei letztere immer öfter eine autonom agierende Einheit bildet. Neben dem klassischen Gefahrenbereich im Umkreis fest installierter Maschinen muss auch die eigenständige Bewegung von Robotern und selbstfahrenden Fahrzeugen abgesichert werden. Hier gilt für Europa die Maschinenrichtlinie 2006/42/EG sowie die harmonisierte Norm EN ISO 13849 mit Gestaltungsleitsätzen zu sicherheitsbezogenen Steuerungen als Maßgabe. Wo früher einfache Schutzzäune installiert wurden, fordern die erhöhte Interaktion von Mensch und Maschine sowie die Forderung nach flexiblen Produktionsabläufen heute eine komplexe Sicherheitsheitslösungen bestehend aus vielen unterschiedlichen Sensoren. Bei der Erstellung der geforderten Sicherheitskonzepte und Berechnungen unterstützt Pepperl+Fuchs seine Kunden und gehört sowohl im Bereich Sensorik für die Fabrikautomation als auch bei den Interfaces für Sicherheitsloops oder SIL-Kreise zu den weltweit führenden Anbietern von Safety-Lösungen.
Meist gelesen
General Product Safety Regulation (GPSR): Was regelt sie und welche Akteure müssen sich damit befassen?
Neue EU-Produktsicherheitsverordnung (GPSR) ab 13.12.2024: Wichtige Änderungen und Anforderungen für Verbraucherprodukte
Kommunale Sicherheit: Gespräch mit der Düsseldorfer Ordnungsdezernentin Britta Zur
Öffentliche Sicherheit der Stadt Düsseldorf im Zusammenspiel von Ordnungsamt und Polizei: Ordnungsdezernentin Britta Zur im Interview über die Kriminalitätsentwicklung, Gefahrenabwehr und Fußball-EM 2024.
Wie Unternehmen und Polizei zusammenarbeiten
GIT SICHERHEIT im Interview mit Julia Vincke, Leiterin Unternehmenssicherheit BASF, und Bettina Rommelfanger, Polizeivollzugsbeamtin am Landeskriminalamt Baden-Württemberg (LKA BW).
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.
VIP-Interview: Ante Gaspar, Corporate Security bei Coca-Cola
GIT SICHERHEIT im Interview mit Ante Gaspar, Vice President Corporate Security & Integrity bei Coca-Cola Europacific Partners (CCEP).