Absolute Drehgeber mit SIL3-Zulassung
Anlagen und Maschinen können bei gefährlichen Ausfällen und Fehlfunktionen
zu Risiken für Personen, Umwelt und Sachwerten führen. Gemäß der IEC 61511
und IEC 61508 werden Anlagen und risikoreduzierende Maßnahmen in jeweils
vier Sicherheitsstufen unterteilt: von SIL 1 für ein geringes Risiko bis
SIL 4 für ein sehr hohes Risiko. Je höher das Risiko, desto zuverlässiger
müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden und um so
zuverlässiger müssen die in der jeweiligen Automatisierungskette
eingesetzten Komponenten sein. Das gilt natürlich auch für Drehgeber. Sie
waren bisher in vielen Sicherheitsketten jedoch das "schwächste Glied". Da
es keine entsprechend zertifizierten Geräte gab, musste man sich mit vom
TÜV geduldeten, aufwändigen Hilfskonstruktionen behelfen. Das hat sich
mittlerweile geändert. Mit dem Multiturn G1S2B hat Baumer IVO einen
sicherheitsgerechten Multiturn-Absolut-Drehgeber mit zwei redundanten
Schnittstellen (SIL3-Zulassung) entwickelt, der sich z.B. für Einsätze im
Bereich der Bühnentechnik, für Krane oder Hängebahnen eignet.
Technik
einzusetzen bedeutet immer auch ein gewisses Sicherheitsrisiko. Ausfälle
und Fehlfunktionen von Maschinen und Anlagen können zu Risiken für
Personen, Umwelt oder Sachwerte führen. Sicherheitsrichtlinien, die
bereits bei der Konzeption entsprechender Einrichtungen beachtet werden,
sollen diese Risiken minimieren. Doch was das konkret für die
automatisierungstechnische Praxis bedeutet, ist nicht immer leicht
nachzuvollziehen.Zuerst einmal gilt es zu klären, was eigentlich unter dem
Begriff Sicherheit zu verstehen ist. Der angelsächsische Sprachgebrauch
beispielsweise differenziert zwischen "Safety" und "Security". Letzteres
meint Schutz vor zielgerichteten und böswilligen Angriffen von innen und
außen, während unter "Safety" z.B. Systemausfälle, Leitungsausfälle,
Verschleiß, Bedienungsfehler, kurz gesagt: "Technisches und menschliches
Versagen" einzuordnen sind. Der deutsche Begriff "Sicherheit" bietet diese
Differenzierung nicht, sondern man versteht darunter zunächst einmal ganz
allgemein einen Zustand, der frei von unvertretbaren Risiken und
Gefährdungen ist.
Jede Kette ist nur so stark wie ihr
schwächstes Glied
Sicherheit kann sich folglich auf ganz
Unterschiedliches beziehen, auf einzelne Individuen ebenso wie auf
unbelebte Objekte und Systeme, aber auch auf abstrakte Sachverhalte, z.B.
Geldanlagen. Wer die Sicherheit in einem dieser Bereiche erhöhen, also
Gefahren und Risiken minimieren oder gar eliminieren will, braucht ein auf
eben diesen Bereich abgestimmtes und in sich schlüssiges
Sicherheitskonzept. Um z.B. die Sicherheit des Systems "Schaukel" zu
erhöhen, bringt es in puncto Sicherheit nichts, nur die Seile besonders
stark auszulegen (Bild 1). Wenn die Haken oder das Sitzbrett zu schwach
sind, wird es trotzdem zum Unfall kommen. Man muss also das Gesamtsystem
sicherer machen, denn jede Kette ist bekanntlich ja nur so stark wie ihr
schwächstes Glied. Ein Sicherheitskonzept ist dann erfolgreich, wenn die
getroffenen Maßnahmen dazu führen, dass sowohl erwartete als auch
unerwartete Gefährdungen ausgeschlossen bzw. hinreichend unwahrscheinlich
werden. Beim Beispiel der Schaukel bedeutet das, alle Komponenten
angefangen vom Gestell über die Haken und Seile bis hin zum Brett müssen
so ausgelegt sein, dass sie dem Gewicht des Schaukelnden standhalten. Der
Schaukelnde muss sich außerdem an die „Bedienungsvorschriften“ halten.
Beim freihändigen Schaukeln beispielsweise kann die beste
Schaukelkonstruktion ihn nicht vor einem Unfall bewahren. Soweit das
Beispiel. Die darin angesprochenen Sachverhalte lassen sich auch auf
industrielle Bereiche übertragen, wenn die Details dann auch ein wenig
komplizierter sind:
Das Risikopotenzial im Anlagen- und
Maschinenbau
Das Risikopotenzial im Anlagen- und Maschinenbau wird
gemäß der IEC 61511 ermittelt. Werden zur Risikoreduzierung
Automatisierungskomponenten eingesetzt, so müssen diese die Anforderungen
der IEC 61508 erfüllen. Beide Normen unterteilen Anlagen und
risikoreduzierende Maßnahmen in jeweils vier Sicherheitsstufen: von SIL 1
für ein geringes Risiko bis SIL 4 für ein sehr hohes Risiko. Das Kürzel
SIL steht für Safety Integrity Level, wobei der SIL-Wert die spezifizierte
Sicherheitsfunktion im Fehlerfall beschreibt. Dabei gilt, je höher das
Risiko, desto zuverlässiger müssen die Maßnahmen zur Risikoreduzierung
durchgeführt werden und um so zuverlässiger müssen die eingesetzten
Komponenten sein. Zur Risikoabschätzung einer Anlage wird ein
SIL-Assessment durchgeführt, das feststellt, welchem Sicherheitsstandard
ein Sicherheitskreis zu entsprechen hat. Hierzu wird in der IEC 61508 der
Risikograf verwendet. Er berücksichtigt das potentielle Schadensausmaß,
die zu erwartende Aufenthaltsdauer von Personen im Gefahrenbereich und die
Möglichkeiten zur Gefahrenabwendung.Bühnentechnik ist demzufolge recht
kompliziert, wenn man sie unter sicherheitstechnischen Aspekten
betrachtet. Kulissen oder Scheinwerfer müssen schließlich auch dann bewegt
werden, wenn sich Personen in unmittelbarer Nähe befinden. Ähnliches gilt
z.B. auch für Elektrohängebahnen in der Industrie. Die Produktionsprozesse
machen es hier häufig erforderlich, dass auch während des Transports
Personen Zugang zu Maschinen oder Anlagenteilen haben. Man kann also den
Bereich, in dem gefährliche Bewegungen stattfinden, nicht einfach sperren
und z.B. mit Sicherheitslichtschranken oder Sicherheitslichtgittern
absichern. In Bezug auf den Risikograf bedeutet das, dass sich z.B.
Personen hier häufig bis dauernd im Gefahrenbereich aufhalten. Für solche
Bereiche sind demzufolge Steuerungssysteme notwendig, die nach SIL3
zertifiziert sind oder ausschließlich nach SIL3 zertifizierte Komponenten
enthalten. PROFIsafe beispielsweise ist ein nach IEC 61508 zertifiziertes
Profil für PROFIBUS und PROFINET. Mit SIL 3 (Safety Integrity Level) bzw.
Kategorie 4 nach EN 954-1 erfüllt PROFIsafe als Kommunikationsmedium die
höchsten Sicherheitsanforderungen für die Prozess- und Fertigungsindustrie.
Steuerungssysteme
in der Bühnentechnik
Bei einer Bühnensteuerung müssen nun
natürlich alle eingesetzten Komponenten diesen hohen
Sicherheitsanforderungen genügen. Dazu gehören nicht nur das
Kommunikationsmedium, sondern auch die Steuerung selbst, der Umrichter,
der Antrieb mit Bremse, der Drehgeber zur Positionserfassung und die
Seilwinde, die Kulissen, Schweinwerfer etc. bewegt. Das schwächste Glied
dieser "Kette" war bisher der Drehgeber, denn z.B. im Gegensatz zu
Steuerungen waren Drehgeber mit entsprechender Zertifizierung bis vor
kurzem nicht verfügbar. Man musste sich also bei der Positionserfassung
zur Steuerung von drehenden Achsen, Aufzügen und Winden anders behelfen:
Oft wurden beispielsweise einfach zwei Geber verwendet. Beide Geräte
brauchen in diesem Fall nicht zertifiziert zu sein, da sie gemeinsam im
eingeschalteten Zustand ein redundantes System bilden. Typische
Kombinationsmöglichkeiten sind hier z.B. zwei Absolutwertgeber, ein
Absolutwertgeber und ein Inkrementalgeber oder auch eine Kombination aus
Drehgeber und Nockenschaltwerk, wobei die Einstellung des
Nockenschaltwerks in der Regel allerdings recht kompliziert ist. Die
redundanten Signale beider Positionsgeber werden dann auf zwei Rechner
oder Steuerungen geführt und miteinander verglichen.
SIL3-zertifizierter
Drehgeber ersetzt aufwändige Hilfskonstruktionen
Allen drei
Kombinationsmöglichkeiten gemeinsam ist der hohe Aufwand für zwei Geräte.
Dabei sind nicht nur die Anschaffungskosten maßgeblich, sondern auch der
Montageaufwand. Teilweise werden deshalb heute auch Absolutwertgeber mit
zusätzlichen Inkrementalspuren verwendet. Man hat dann zwar nur ein Gerät,
aber leider keine echte Redundanz, denn es kann nicht erkannt werden, wenn
der Geber gleich nach dem Einschalten einen falschen Wert liefert. Nach
dem Einschalten steht nur der absolute Positionswert zur Verfügung. Die
Inkrementalwerte lassen sich nur während des Fahrbetriebs generieren. Die
technischen Überwachungsvereine (TÜV) sind deshalb mit diesem
Lösungsansatz eher unzufrieden. Sie fordern schon lange praktikablere
Lösungen, die bereits beim Einschalten zwei Absolutwerte liefern. Der neue
Multiturn-Absolutwertgeber G1S2B mit zwei redundanten Schnittstellen,
könnte hier zum universellen Problemlöser werden. Der Drehgeber mit
SIL-3-Zulassung kann als zertifiziertes Gerät ohne weitere Prüfungen in
Anlagen eingesetzt werden, die nach SIL 3 konzipiert werden. Er erfüllt
die entsprechenden in der DIN EN 61508 definierten Anforderungen zur
"funktionalen Sicherheit sicherheitsbezogener elektrischer,
elektronischer, programmierbarer elektronischer Systeme", kurz auch als
E/E/EP-Systeme bezeichnet. Die Sicherheitskette bei der Bühnensteuerung
ist damit geschlossen. Natürlich lassen sich diese Vorzüge auch in anderen
Applikationen nutzen, die für die Positionserfassung SIL3-zertifizierte
Komponenten erforderlich machen, z.B. bei Elektrohängebahnen, Kranen oder
ähnlichen Applikationen.