§ 184   Sicherheit und Zuverlässigkeit von Steuerungen

1.2   STEUERUNGEN UND BEFEHLSEINRICHTUNGEN
1.2.1   Sicherheit und Zuverlässigkeit von Steuerungen
Steuerungen sind so zu konzipieren und zu bauen, dass es nicht zu Gefährdungssituationen kommt. Insbesondere müssen sie so ausgelegt und beschaffen sein, dass
  • sie den zu erwartenden Betriebsbeanspruchungen und Fremdeinflüssen standhalten;
  • ein Defekt der Hardware oder der Software der Steuerung nicht zu Gefährdungssituationen führt;
  • Fehler in der Logik des Steuerkreises nicht zu Gefährdungssituationen führen;
  • vernünftigerweise vorhersehbare Bedienungsfehler nicht zu Gefährdungssituationen führen.
Insbesondere ist Folgendes zu beachten:
  • Die Maschine darf nicht unbeabsichtigt in Gang gesetzt werden können;
  • die Parameter der Maschine dürfen sich nicht unkontrolliert ändern können, wenn eine derartige unkontrollierte Änderung zu Gefährdungssituationen führen kann;
  • das Stillsetzen der Maschine darf nicht verhindert werden können, wenn der Befehl zum Stillsetzen bereits erteilt wurde;
  • ein bewegliches Maschinenteil oder ein von der Maschine gehaltenes Werkstück darf nicht herabfallen oder herausgeschleudert werden können;
  • automatisches oder manuelles Stillsetzen von beweglichen Teilen jeglicher Art darf nicht verhindert werden;
  • nichttrennende Schutzeinrichtungen müssen uneingeschränkt funktionsfähig bleiben oder aber einen Befehl zum Stillsetzen auslösen;
  • die sicherheitsrelevanten Teile der Steuerung müssen kohärent auf eine Gesamtheit von Maschinen und/oder unvollständigen Maschinen einwirken.
Bei kabelloser Steuerung muss ein automatisches Stillsetzen ausgelöst werden, wenn keine einwandfreien Steuersignale empfangen werden; hierunter fällt auch ein Abbruch der Verbindung.
Die Steuerung von Maschinen ist das System, welches auf Eingabesignale von Teilen der Maschine, von Bedienern, von externen Steuerungseinrichtungen oder einer beliebigen Kombination davon reagiert und entsprechende Ausgangssignale an die Stellelemente der Maschine sendet, um zu bewirken, dass die Maschine in der beabsichtigten Weise arbeitet. Steuerungen können unterschiedliche Technologien oder Technologiekombinationen verwenden, wie beispielsweise mechanische, hydraulische, pneumatische, elektrische oder elektronische Technologien. Elektronische Steuerungen können programmierbar sein.
Die Konstruktion und der Bau der Steuerung, um einen sicheren und zuverlässigen Maschinenbetrieb zu gewährleisten, sind entscheidende Faktoren, um die Sicherheit der Maschine als Ganzes zu gewährleisten. Die Bediener müssen in der Lage sein sicherzustellen, dass die Maschine jederzeit sicher und erwartungsgemäß funktioniert.
Die in Nummer 1.2.1 festgelegten Anforderungen gelten für sämtliche Teile der Steuerung, die bei einer Störung oder einem Ausfall zu Gefährdungen durch unbeabsichtigtes oder unerwartetes Verhalten der Maschine führen können. Sie sind besonders wichtig für Konstruktion und Bau von den Teilen der Steuerung zugehörig zu Sicherheitsfunktionen wie zum Beispiel die zugehörigen Teile der Steuerung zu Verriegelungseinrichtungen und Zuhaltungen für trennende Schutzeinrichtungen, zu nichttrennenden Schutzeinrichtungen oder NOT-HALT-Befehlsgeräten, da ein Ausfall sicherheitsbezogener Teile der Steuerung zu Gefährdungssituationen führen kann, wenn die entsprechende Sicherheitsfunktion in der Folge aktiviert werden muss. Bestimmte Sicherheitsfunktionen können auch Betriebsfunktionen sein, zum Beispiel eine Zweihandschaltung.
Nummer 1.2.1 Absatz 1 und deren vier Aufzählungspunkte legen die grundsätzlichen Anforderungen an die Zuverlässigkeit und Sicherheit von Steuerungen fest. In Nummer 1.2.1 Absatz 2 und dessen sieben Aufzählungspunkten werden die wichtigsten gefährlichen Ereignisse und Situationen beschrieben, die vermieden werden müssen.
Entsprechend dem ersten Aufzählungspunkt in Nummer 1.2.1 Absatz 1 müssen die Steuerungen in der Lage sein, den zu erwartenden Betriebsbeanspruchungen und Fremdeinflüssen standzuhalten, wobei vorhersehbare ungewöhnliche Bedingungen zu berücksichtigen sind – siehe § 160: Anmerkungen zum allgemeinen Grundsatz 2, und § 175: Anmerkungen zu Nummer 1.1.2 Buchstabe c. Die Steuerung muss deshalb den mechanischen Beanspruchungen standhalten können, die durch den Betrieb der Maschine selbst oder durch deren Umgebung hervorgerufen werden, wie zum Beispiel Stöße, Vibrationen und Abrieb. Steuerungen müssen den Auswirkungen der inneren und äußeren Bedingungen widerstehen können, unter denen die Maschine betrieben werden soll, beispielsweise Feuchtigkeit, extreme Temperaturen, korrosive Atmosphären und Staub. Die einwandfreie Funktion der Steuerungen darf nicht durch elektromagnetische Strahlungen beeinträchtigt werden, unabhängig davon, ob diese durch Teile der Maschine selbst oder durch äußere Einflüsse hervorgerufen werden, mit denen unter den beabsichtigten Verwendungsbedingungen der Maschine vernünftigerweise zu rechnen ist – siehe § 233: Anmerkungen zu Nummer 1.5.11.
Der zweite und dritte Aufzählungspunkt in Nummer 1.2.1 Absatz 1 befassen sich mit dem Verhalten der Steuerung im Falle eines Fehlers oder einer Störung in der Hardware oder Software. Diese Anforderungen berücksichtigen die Möglichkeit von Fehlern, die in der Steuerung auftreten, zum Beispiel aufgrund eines Fehlers an einem mechanischen, hydraulischen, pneumatischen oder elektrischen Bauteil oder aufgrund eines Fehlers in der Software eines programmierbaren Systems. Steuerungen müssen so konstruiert und gebaut werden, dass sie, wenn solche Fehler oder Störungen auftreten, nicht zum Auftreten von gefährlichen Situationen führen, wie zum Beispiel solche, die in Nummer 1.2.1 Absatz 2 beschrieben sind – siehe auch § 205: Anmerkungen zu Nummer 1.2.6.
Die gefährliche Funktion einer Maschine kann beispielsweise unter Kontrolle gebracht werden, indem die Funktion durch Energieentzug gestoppt oder die Ausführung der gefährlichen Aktion der Funktion verhindert wird. Wenn die entsprechenden Maschinenfunktionen weiterlaufen können trotz des Auftretens einer Störung oder eines Fehlers, beispielsweise durch eine redundante Architektur, muss eine Möglichkeit zum Erkennen der Störung oder des Fehlers vorhanden sein, damit die erforderlichen Maßnahmen eingeleitet werden können, mit denen ein sicherer Betriebszustand hergestellt oder aufrechterhalten werden kann.
Die Möglichkeiten, die genutzt werden können, um diese Anforderung zu erfüllen, hängen von der Art der betreffenden Steuerung, dem betroffenen Teil der Steuerung sowie den Risiken, die bei einem Ausfall auftreten können, ab.
Die Konzepte, die genutzt werden können, umfassen:
  • Ausschluss oder Verringerung der Wahrscheinlichkeit von Fehlern oder Ausfällen, welche die Sicherheitsfunktion beeinträchtigen könnten; durch Rückgriff auf besonders zuverlässige Bauteile und Anwendung von bewährten Sicherheitsgrundsätzen, zum Beispiel das Prinzip der zwangläufigen mechanischen Wirkung eines Bauteils auf ein anderes Bauteil;
  • Verwendung von Standardbauteilen mit Kontrolle der Sicherheitsfunktionen in geeigneten Zeitabständen durch die Steuerung;
  • Die Redundanz von Teilen der Steuerung, sodass ein einzelner Fehler oder Ausfall nicht zu einem Ausfall der Sicherheitsfunktion führt. Die technische Diversität (Vielfalt) der redundanten Bauteile kann zur Vermeidung von Ausfällen infolge gemeinsamer Ursache genutzt werden;
  • automatische Überwachung, um sicherzustellen, dass Fehler oder Ausfälle erkannt und die notwendigen Schutzmaßnahmen eingeleitet werden, um das betreffende Risiko zu verhindern. Zu den Schutzmaßnahmen können das Anhalten des gefährlichen Prozesses, das Verhindern eines Neustarts dieses Prozesses oder das Auslösen eines Alarms zählen.
Diese Konzepte können in unterschiedlichen Kombinationen angewandt werden.
Der erforderliche Performance Level eines bestimmten sicherheitsrelevanten Teils der Steuerung ist vom Grad des Risikos abhängig, für das die Sicherheitsfunktion vorgesehen ist, und muss auf der Grundlage der Risikobeurteilung des Herstellers festgelegt werden. Typ-C-Normen für spezielle Maschinengattungen bieten Unterstützung in Hinblick auf den erforderlichen Performance Level für die verschiedenen sicherheitsrelevanten Teile der Steuerung.
Das Erreichen des erforderlichen Performance Levels für die sicherheitsrelevanten Teile der Steuerungen muss validiert werden, wobei sowohl die Hardware- wie auch die Softwareaspekte derartiger Systeme berücksichtigt werden müssen.
Spezifikationen für die Konstruktion sicherheitsrelevanter Teile von Steuerungen sind in der Norm EN ISO 13849-1117) und in der Norm EN 62061118) enthalten.
Der vierte Aufzählungspunkt in Nummer 1.2.1 Absatz 1 befasst sich mit vernünftigerweise vorhersehbaren Bedienungsfehlern während des Betriebs. Um diese Anforderung zu erfüllen, müssen die Steuerungen soweit wie möglich fehlertolerant ausgelegt werden. Dies schließt Maßnahmen wie das Erkennen von Fehlern und entsprechende Rückmeldungen an den Bediener mit ein, damit die Fehlerbehebung unterstützt wird.
Die Grundprinzipien der Interaktion von Mensch und Maschine, um Bedienfehler zu minimieren, sind in der Norm EN 894-1 angegeben.119)
Nummer 1.2.1 Absatz 3 befasst sich mit einer besonderen Gefährdung in Verbindung mit kabellosen Steuerungen, beispielsweise Fernsteuerungen mit Funk-, optischen oder akustischen Signalen: fehlerhafte Signale oder Abbruch der Verbindung zwischen den Steuerungseinrichtungen und der zu steuernden Maschine. Dabei ist zu beachten, dass Nummer 3.3 zusätzliche Anforderungen an Fernsteuerungen von mobilen Maschinen enthält.
Fußnote 117)
EN ISO 13849-1:2008 – Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1:2006).
Fußnote 118)
EN 62061:2005 – Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme (IEC 62061:2005).
Fußnote 119)
EN 894-1:1997+A1:2008 – Sicherheit von Maschinen – Ergonomische Anforderungen an die Gestaltung von Anzeigen und Stellteilen – Teil 1: Allgemeine Leitsätze für Benutzer-Interaktion mit Anzeigen und Stellteilen.