Safety PLC & Maschinenrichtlinie: Was Automatisierer wirklich wissen müssen

Die rechtliche Grundlage: Maschinenrichtlinie und ihre Nachfolge

Die EU-Maschinenrichtlinie 2006/42/EG ist das Herzstück der Maschinensicherheit in Europa. Sie definiert grundlegende Sicherheits- und Gesundheitsanforderungen, die jeder Maschinenhersteller vor dem Inverkehrbringen erfüllen muss. Die CE-Kennzeichnung bescheinigt die Konformität – nicht die Sicherheit, sondern die Einhaltung der Anforderungen.

Wichtig: 2023/1230/EU ist die neue Maschinenverordnung (nicht mehr Richtlinie), die ab Januar 2027 vollständig gilt. Die entscheidenden Änderungen: strengere Anforderungen für KI-gesteuerte Maschinen, klarere Anforderungen für vernetzte Maschinen, und ein erweiterter Anwendungsbereich. Wer heute Maschinen entwickelt, sollte bereits die neue Verordnung berücksichtigen.

Performance Level (PL) nach EN ISO 13849-1

Das Performance Level beschreibt die Fähigkeit sicherheitsbezogener Steuerungsteile, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen. Fünf Stufen:

• PL a: Sehr geringe Anforderungen (Wahrscheinlichkeit gefährlichen Ausfalls: 10⁻⁵ bis 10⁻⁴ pro Stunde)
• PL b: Geringe Anforderungen (10⁻⁶ bis 10⁻⁵)
• PL c: Mittlere Anforderungen (10⁻⁷ bis 10⁻⁶)
• PL d: Hohe Anforderungen (10⁻⁸ bis 10⁻⁷) – typisch für Industrieroboter
• PL e: Sehr hohe Anforderungen (10⁻⁹ bis 10⁻⁸) – medizinische Geräte, Pressen

Der erforderliche PL (PLr) wird über eine Risikobeurteilung ermittelt (EN ISO 12100). Einflussfaktoren: Verletzungsschwere, Expositionshäufigkeit, Vermeidbarkeit.

SIL-Level nach IEC 62061 und IEC 61508

Safety Integrity Level (SIL) ist das Pendant zu PL in der IEC-Normenwelt. Drei Stufen (SIL 1 bis 3) mit entsprechenden PFH (Probability of Dangerous Failure per Hour)-Werten. Grobe Entsprechung:

• SIL 1 ≈ PL c
• SIL 2 ≈ PL d
• SIL 3 ≈ PL e

IEC 62061 gilt speziell für Steuerungssysteme in Maschinen, IEC 61508 für allgemeine funktionale Sicherheit. Im Maschinenbau ist EN ISO 13849-1 (PL) die deutlich verbreitetere Norm.

SISTEMA: Das kostenlose Berechnungswerkzeug

SISTEMA (Safety Integrity Software Tool for the Evaluation of Machine Applications) ist ein kostenloses Werkzeug des IFA (Institut für Arbeitsschutz der DGUV). Es berechnet den erreichbaren PL auf Basis der eingesetzten Komponenten und deren Verschaltung. Eingaben:

• Kategorie (B, 1, 2, 3, 4) nach EN ISO 13849-1
• MTTFd (Mean Time to Dangerous Failure) der Komponenten aus Datenblättern
• DC (Diagnostic Coverage) – Güte der Fehlerdiagnose
• CCF (Common Cause Failure) – Maßnahmen gegen gemeinsame Ursachenfehler

SISTEMA liefert den PL-Nachweis als PDF – ein unverzichtbares Dokument in der technischen Dokumentation zur CE-Kennzeichnung.

Siemens S7-1500F und ET 200SP F

Die F-Varianten der S7-1500-Reihe sind für sicherheitsbezogene Anwendungen ausgelegt. Die S7-1515F kann Standard- und Safety-Programm auf einer CPU ausführen. Wichtige Eigenschaften:

• F-Peripherie (ET 200SP F-Module) kommuniziert über PROFIsafe
• Safety-Programm läuft in separaten F-OBs (F-OB1, F-DB)
• F-Bibliotheken (FDBACK, FESTO, etc.) für Standard-Sicherheitsfunktionen
• Passwortschutz für das Safety-Programm
• Erforderliche Safety-Abnahme nach jeder Programmänderung

Wichtig: Das Safety-Programm darf nicht aus dem Standard-Programm heraus direkt aufgerufen werden. Kommunikation über globale F-Variablen.

Sicherheitsfunktionen nach EN 61800-5-2

Die häufigsten Sicherheitsfunktionen für Antriebssysteme:

• STO (Safe Torque Off): Drehmomentenloser Zustand – Motor kann nicht anlaufen. Entspricht NOT-HALT. Kein Bremsvorgang, sondern sofortiger Drehmomententzug.
• SS1 (Safe Stop 1): Kontrolliertes Abbremsen auf Stillstand, dann STO. Entspricht Stopp-Kategorie 1 nach EN 60204-1.
• SS2 (Safe Stop 2): Abbremsen und Halten der Nullstellung (Regelung bleibt aktiv). Für Prozesse, die einen definierten Haltepunkt benötigen.
• SLS (Safely-Limited Speed): Sichert, dass die Drehzahl einen definierten Grenzwert nicht überschreitet. Ermöglicht Einrichtbetrieb ohne vollständigen Stillstand.
• SBC (Safe Brake Control): Sichere Bremsenansteuerung, die die mechanische Bremse beim STO sicher schließt.
• SDI (Safe Direction): Überwacht die Drehrichtung – nur eine Richtung ist erlaubt.

Häufige Fehler bei der Safety-Implementierung

Aus unserer Praxis die häufigsten Fehler, die bei Safety-Audits auffallen:

• Kategorie falsch gewählt: Kategorie 2 statt 3, weil die Anforderung an DCavg nicht erfüllt wurde. Immer DC überprüfen.
• MTTFd-Werte nicht dokumentiert: Hersteller-Datenblätter müssen archiviert werden. SISTEMA-Projekt ohne MTTFd-Quellen ist wertlos.
• Querschluss-Überwachung vergessen: Zweikanalige Eingänge ohne Querschlusstest erfüllen Kategorie 3 nicht.
• Validierungstest fehlerhaft: Sicherheitsfunktionen müssen im schlimmsten Fehlerfall validiert werden – nicht nur im Normalfall.
• Änderungsmanagement fehlt: Jede Änderung am Safety-Programm muss dokumentiert und neu abgenommen werden.

Safety-Validierung: Was wirklich geprüft wird

Die Validierung einer Sicherheitsfunktion umfasst:

1. Fehlerinjektion: Simulierter Ausfall von Sensoren, Kabeln, Ventilen
2. Reaktionszeitenmessung: Zeit zwischen Auslösung und sicherem Zustand
3. Durchgangsmessung: Sicherheitskreise auf Querschlüsse prüfen
4. Wiederanlaufsperre: Muss nach einem Fehler Quittierung erfordern
5. Dokumentation: Prüfprotokoll mit Datum, Prüfer, Ergebnis

Ein Safety-Ingenieur trägt persönliche Verantwortung für die Korrektheit der Sicherheitsbeurteilung. Das ist keine Übertreibung – im Schadensfall kann die Frage nach der Verantwortung direkt auf den verantwortlichen Ingenieur zeigen.

Fazit: Safety als ingenieurmäßige Aufgabe

Functional Safety ist nicht schwer – aber sie erfordert Systematik und Sorgfalt. Wer die relevanten Normen kennt, SISTEMA beherrscht und die Sicherheitsfunktionen korrekt implementiert, kann sichere Maschinen bauen. Holen Sie sich bei Unsicherheit externe Unterstützung: Eine fehlerhafte CE-Kennzeichnung kann teuer werden – nicht nur finanziell.