Sicherheit im Spiegel der Märkte und Normen

Sichere Automation ist stärker als andere industrielle Bereiche getrieben von Direktiven und Normen. Da sich diese von Region zu Region stark unterscheiden können, ist es für den Maschinen- und Anlagenbauer heute unverzichtbar, sich im Detail mit der Materie zu beschäftigen, damit zum Beispiel die Kosten für zusätzliche Aufwendungen und Abnahmen nicht aus dem Ruder laufen.

Sichere Automation ist stärker als andere industrielle Bereiche getrieben von Direktiven und Normen. Da sich diese von Region zu Region stark unterscheiden können, ist es für den Maschinen- und Anlagenbauer heute unverzichtbar, sich im Detail mit der Materie zu beschäftigen, damit zum Beispiel die Kosten für zusätzliche Aufwendungen und Abnahmen nicht aus dem Ruder laufen.

Zielsetzung der Sicherheitstechnik soll sein, die Gefährdung von Menschen und Umwelt durch technische Einrichtungen so gering wie möglich zu halten, ohne damit die industrielle Produktion und den Einsatz von Maschinen mehr als unbedingt notwendig einzuschränken. International abgestimmte Regelwerke sollen nicht nur dafür sorgen, dass der Schutz von Mensch und Um-welt in allen Ländern den gleichen Stellenwert einnimmt, sondern auch Wettbewerbsverzerrungen auf Grund unterschiedlicher Sicherheitsanforderungen im internationalen Handel vermeiden. Soviel zum Idealzustand. Tatsächlich driften die Vorstellungen und Maßnahmen zur Umsetzung der Sicherheits- technik weltweit auseinander, was sich unter anderem an den gebräuchlichen Begrifflichkeiten veranschaulichen lässt.

Der Begriff Risiko war ursprünglich nicht ausschließlich negativ besetzt. Risiko leitet sich aus dem italienischen "rischiare" ab und bedeutet einerseits das Wagnis, Verluste zu erleiden, andererseits beinhaltet es aber auch die Chance eines Gewinnes. Heute wird Risiko im technischen Sinne als ein mit bestimmter Wahrscheinlichkeit zu erwartender Schaden mit einem mehr oder weniger hohen Schadenspotential aufgefasst. Um Risiken zu begegnen, muss deshalb die Vorstellung über Sicherheitsziele korrigiert werden: von der angestrebten und prinzipiell nicht erreichbaren ab-soluten Sicherheit (Nullrisiko) hin zu einem akzeptablen und auch akzeptierten Restrisiko. Dies fällt umso schwerer, da auch der Begriff des Restrisikos in unserer Gesellschaft insbesondere durch die Atomkraftwerk-Debatte negativ belegt ist.

Hinzu kommt: Das akzeptierte Restrisiko ist in unterschiedlichen Bereichen des gesellschaftlichen Lebens jeweils anders angelegt. Als Beispiele seien die Sicherheitsvorkehrungen in einem Automobil, an Bahnstrecken oder gar im Haushalt genannt. Eine offene Bahnstrecke ist mit Sicherheit eine sehr gefährliche Angelegenheit und würde nach der Risikobeurteilung wie in der Industrie üblich entsprechend kritisch bewertet werden. Dennoch sind diese offenen, das heißt ungeschützten Bahnstrecken allgemein akzeptiert.

Das akzeptierte Restrisiko ist also kein feststehender Wert, sondern hängt von vielen Faktoren ab. Dies zeigt sich auch in den Ländern der Europäischen Gemeinschaft und deren Hintergrund. Zwar liegt (fast) allen die gleiche Rechtsgrundlage und Normensituation zu Grunde, dennoch gibt es ein gewisses Nord-Süd-Gefälle bei der Akzeptanz des Restrisikos. Das Bild verändert sich noch dramatischer, wenn man dazu die Triadenmärkte Europa, USA und Asien vergleicht. So existiert gerade auf dem amerikanischen Kontinent eine gewisse "Kultur" was das Tragen eines Risikos (take the risk) betrifft, gleichzeitig aber auch eine Kultur der hohen Strafen. In Asien – und insbesondere im hoch entwickelten Japan – war es bis vor mehreren Jahren noch die gelbe Linie, die um eine Anlage oder Maschine gezogen wurde und bei deren Überschreitung dann Gefahr drohte. Hier ist die Sicherheit ganz anders in der Kultur verankert.

Wie Sicherheitsbewusstsein auch immer definiert wird und ungeachtet der regional unterschiedlichen Auffassungen – eines lässt sich aus technischer Sicht festhalten: Auch bei Anwendung noch so guter und ausgeklügelter Sicherheitsmaßnahmen ist es prinzipiell unmöglich, alle Risiken vollständig zu eliminieren. Ein Restrisiko bleibt immer. Entscheidend ist nur, dass dies unterhalb des "Grenzrisikos" bleiben muss, bei dem eine Gefährdung von Mensch oder Maschine unter keinen Umständen mehr akzeptabel ist.

Was bedeutet all dies aber mit Blick auf die konkrete technische Realisierung der Sicherheitsfunktionen in einer Maschine oder Anlage? Funktionale Sicherheit – sprich wenn die Sicherheit von der korrekten Funktion abhängt – setzt voraus, dass alle Teile einer Anlage korrekt funktionieren oder sich im Fehlerfall so verhalten, dass eine Maschine oder Anlage in einen sicheren Zustand kommt und bleibt, beziehungsweise in diesen übergeführt werden kann. Die Anforderungen dazu basieren auf der Vermeidung und Beherrschung systematischer Fehler sowie auf der Beherrschung zufälliger Fehler und Ausfälle. Dazu wurden in der Vergangenheit spezielle Techniken entwickelt, die diese Anforderungen erfüllen können. Das Maß der erreichten funktionalen Sicherheit wird heute in den Normen durch unterschiedliche Begriffe ausgedrückt:

  • Kategorien (Kat) in der EN 954-1 zukünftig dann PL (Performance Level)
  • Safety Integrity Level (SIL) inder IEC 61508
  • Anforderungsklassen (AK) inder DIN V 19250.

Die Herkunft und damit auch indirekt der Geltungsbereich dieser oben genannten Normen lässt sich an den Kürzeln leicht erkennen. DIN V für die Deutsche Vornorm, die EN954-1 als europäische beziehungsweise die IEC als internationale Norm. Neben unterschiedlichen Inhalten ist die EN 954-1 unter der Maschinenrichtlinie harmonisiert. Die 61508 erfordert ein Umdenken und ein anderes Vorgehen. Auf Systemebene bedeutet dies, dass zum Beispiel alle Komponenten, die zur Ausführung einer Sicherheitsfunktion beitragen, gemeinsam betrachtet werden müssen. Rechnet man den Know-how-Erwerb, die Qualifizierung der Mitarbeiter und die Beschaffung der Werte nicht hinzu, so ist ein 61508-Projekt dennoch mit erheblichem Mehraufwand verbunden. Umgekehrt unterstützt die 61508 von Haus aus die neuen Technologien, was sich allein schon an der Bezeichnung "Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer elektronischer Systeme" ablesen lässt. Die Einarbeitung entsprechender Technologien (elektrisch, elektronisch ...) in die Normenlandschaft ist im Gange.

Ein gutes Beispiel hierfür ist die EN 60204-1 für die "Elektrische Ausrüstung für Maschinen". In der zuletzt gültigen Fassung legt sie zum Beispiel in Kapitel 9.2.5.4.2, Absatz 3 fest, dass "eine Funktion nicht von einem elektronischen Schaltwerk (Hardware oder Software) oder von der Übertragung von Befehlen über ein Kommunikationsnetzwerk oder eine Datenverbindung abhängen darf." In Absatz 4 heißt es, dass "die endgültige Abschaltung durch die Verwendung elektromechanischer Betriebsmittel erfolgen muss."

Das nationale Vorwort war hier schon weiter und erklärte in Absatz 8 unter anderem, dass "elektronische Betriebsmittel auch für Not-Aus-Einrichtungen – unabhängig von der Stoppkategorie – angewendet werden dürfen." Die im internationalen Vorwort enthaltene Roadmap war – ohne Zusatzerklärungen – eher schwer zu verstehen. Seit 1995 sind aber schon Produkte am Markt, welche dies auf elektronischer Basis ausgeführt haben, wie beispielsweise die programmierbare Sicherheitssteuerung PSS 3000 von Pilz. Erst in 2003 besteht jetzt mit der neuen Revision die Chance, eine entsprechende Verankerung in der Norm zu erreichen