1. Was ist Funktionale Sicherheit?

Sie stellt sicher, dass ein System bei Fehlern vorhersehbar und gefahrlos reagiert. Dazu dienen definierte Sicherheitsfunktionen, die Risiken auf ein vertretbares Maß reduzieren.

2. Welche Normen sind besonders relevant?

Kernnormen sind IEC 61508 (Basisnorm), EN ISO 13849-1 (Maschinen) und EN/IEC 61800-5-2 (Sicherheitsfunktionen von Antrieben). Für die Risikobeurteilung gilt EN ISO 12100.

3. Worin unterscheiden sich PL und SIL?

PL (a–e) aus EN ISO 13849-1 basiert u. a. auf MTTFd, DCavg und Architektur. SIL (1–3) bewertet PFHd über den Lebenszyklus nach IEC 61508/EN IEC 62061. Beide zielen auf beherrschte Rest-Risiken.

4. Wann nutze ich STO, SS1 oder SS2?

STO für schnelles gefahrloses Abschalten (Not-Halt). SS1, wenn ein kontrolliertes Abbremsen den Prozess schont. SS2, wenn die Position nach dem Stopp sicher gehalten werden muss (z. B. Lasten).

5. Wie starte ich ein Retrofit-Projekt sicher?

Mit einer aktuellen Risikobeurteilung, anschließend Funktionsspezifikation (PL/SIL), Auswahl geeigneter Komponenten und strukturierter Validierung. Proof-Tests und Dokumentation fest verankern.

Funktionale Sicherheit in Maschinen und Antrieben: STO, SS1, SLS & Co. praxisnah erklärt

Funktionale Sicherheit bedeutet, dass Steuerungs- und Schutzsysteme in Maschinen vorhersehbar reagieren, wenn etwas schiefgeht. Sie ergänzt die konstruktive Sicherheit und sorgt dafür, dass Anlagen kritische Zustände erkennen und kontrolliert beherrschen. Normen wie IEC 61508, EN ISO 13849-1 und EN/IEC 61800-5-2 definieren Anforderungen an die Integrität, das Diagnosekonzept und die Ausführung von Sicherheitsfunktionen. In der Praxis zeigen Funktionen wie STO (Safe Torque Off), SS1 (Safe Stop 1), SS2 (Safe Stop 2) oder SLS (Safe Limited Speed), wie sich Risiken reduzieren, Stillstände vermeiden und Menschen sowie Anlage schützen lassen.

Spis Treści

Was bedeutet Funktionale Sicherheit in der Praxis?

Im Maschinenbau dient Funktionale Sicherheit dazu, das Risiko auf ein vertretbares Maß zu senken, indem sicherheitsbezogene Teile der Steuerung (SRP/CS) gezielt gefährliche Bewegungen verhindern oder begrenzen. Sie wirkt immer dort, wo rein mechanische Schutzmaßnahmen nicht ausreichen, etwa wenn Antriebe dynamisch geregelt werden oder Bedienpersonal in den Prozess eingreift. Eine Sicherheitsfunktion umfasst den Sensorikpfad (Erkennen), die Logik (Bewerten) und die Aktorik (Reagieren) – und sie benötigt klare Anforderungen, Validierung und Nachweisführung über den gesamten Lebenszyklus.

Beispiele: STO trennt das Drehmoment sicher ab; SS1 sorgt für ein kontrolliertes Abbremsen bis zur sicheren Drehmomentabschaltung; SLS überwacht eine begrenzte Geschwindigkeit und greift ein, wenn der Grenzwert überschritten wird. Welche Funktionen notwendig sind, ergibt sich aus der Risikobeurteilung und den Schutzprinzipien der jeweiligen Anwendung.

Warum Funktionale Sicherheit über Sicherheit hinausgeht

Wer Risiken präzise beherrscht, reduziert nicht nur Unfälle. Er senkt auch ungeplante Stillstände, begrenzt Folgeschäden und steigert die Anlagenverfügbarkeit. Ein Antrieb, der bei Störungen kontrolliert stoppt statt abrupt auszuschalten, schont Mechanik, Werkstücke und Werkzeuge. Und wer die sichere Zusammenarbeit zwischen Mensch und Maschine ermöglicht, gewinnt in Rüstprozessen und Service an Tempo. Funktionale Sicherheit ist also kein Pflichtprogramm, sondern ein Produktivitätsfaktor – vorausgesetzt, Sie planen sie von Beginn an mit ein.

Kategorien des sicheren Stillsetzens

Für elektrische Antriebe beschreibt EN/IEC 61800-5-2 das sichere Stillsetzen in drei Kategorien. Jede Kategorie adressiert einen anderen technischen Bedarf und ein anderes Risikoprofil:

Kategorie 0: STO

Safe Torque Off entzieht dem Motor sofort das Drehmoment. Es gibt kein kontrolliertes Abbremsen; die Bewegung läuft mechanisch aus. Das minimiert das Risiko unkontrollierter Anläufe und eignet sich für Not-Halt-Szenarien, bei denen Zeit alles ist. Nachteil: Mechanik und Prozess können bei abruptem Stillstand stärker belastet werden.

Kategorie 1: SS1

Safe Stop 1 bremst zunächst kontrolliert ab und wechselt dann in STO. Diese Sequenz schützt empfindliche Werkstücke, reduziert Prozesskräfte und senkt die mechanische Beanspruchung. SS1 eignet sich für Produktionslinien und Handhabungssysteme, in denen ein abruptes Auslaufen unerwünscht ist.

Kategorie 2: SS2

Safe Stop 2 bremst kontrolliert und hält danach das Drehmoment aufrecht, um die Position zu sichern. Diese Funktion ist ideal, wenn Lasten nicht absinken dürfen oder eine exakte Lagehaltung erforderlich ist – etwa bei Hubwerken, Pressen oder Maschinen mit hängenden Massen.

Funktionale Sicherheit: Monitoring und kontrollierte Bewegung

Nicht jede Gefahr verlangt einen Stopp. Häufig genügt es, die Bewegung auf sichere Grenzen zu begrenzen oder nur für eine Phase anzuhalten. Genau dafür bieten moderne Antriebe und Sicherheitssteuerungen Überwachungs- und Kontrollfunktionen, die dynamisch in den Prozess eingreifen, ohne den Ablauf zu zerstören.

SLS, SOS, SLP und SBC in der Funktionalen Sicherheit

SLS – Safe Limited Speed: Überwacht die Geschwindigkeit gegen einen sicheren Grenzwert. Bei Überschreitung erfolgt eine definierte Reaktion (z. B. SS1 oder STO). Ideal für Teach- und Einrichtbetrieb sowie kollaborative Szenarien.
SOS – Safe Operating Stop: Hält die Achse sicher in Position, ohne die Ansteuerung komplett freizugeben. Die Maschine bleibt „bereit“ und kann schnell wieder anlaufen – perfekt für kurze Unterbrechungen wie Werkzeugwechsel.
SLP – Safe Limited Position: Begrenzt den zulässigen Positionsbereich und verhindert Kollisionen oder Überfahrten. Sinnvoll in kompakten Zellen oder bei Achsen mit Endlagenrisiko.
SSR/SDI/SLA/SAR: Sichere Geschwindigkeitsbereiche, sicherer Bewegungsrichtung, begrenzte Beschleunigung bzw. beschleunigungsbegrenzte Bereiche. Diese Funktionen erhöhen die Prozessqualität und schützen vor dynamischen Gefahren.
SBC/SBT – Safe Brake Control/Test: Steuert mechanische Bremsen sicher an und testet ihre Funktion zyklisch. Unentbehrlich, wenn Massenträgheit groß ist oder Lasten gesichert werden müssen.

Diese Funktionen lassen sich kombinieren: Beispielsweise erzwingt SLS zunächst eine reduzierte Geschwindigkeit; wenn die Bedingung verletzt wird, folgt SS1 und danach STO. So entsteht ein gestuftes Sicherheitskonzept mit hoher Verfügbarkeit.

Vom Risiko zur Lösung: Implementierung der Funktionalen Sicherheit

Wer die Einführung strukturiert plant, spart Zeit, Kosten und Diskussionen in der Abnahme. Drei Schritte bilden den roten Faden – und sie gelten für Neubau wie Retrofit:

Risikoanalyse, Auswahl, Validierung

Risikoanalyse: Ermitteln Sie Gefährdungen, Betriebsarten und Eingriffszenarien. Leiten Sie für jede Gefahr Schutzziele und erforderliche Performance (PL/SIL) ab.
Auswahl der Sicherheitsfunktionen: Ordnen Sie jeder Gefahr eine wirksame Funktion zu, z. B. STO für Not-Halt, SS1 für kontrolliertes Abbremsen, SLS für Einrichten. Definieren Sie Auslösebedingungen und Reaktionen.
Komponentenauswahl: Wählen Sie Sensoren, sichere Logik (Sicherheits-SPS/Relais) und Antriebe mit nachweislicher Eignung. Achten Sie auf Daten wie MTTFd, DCavg, PFHd sowie die zulässigen Anwendungsgrenzen.
Validierung und Verifikation: Weisen Sie nach, dass jede Funktion die geforderten PL/SIL erfüllt und im Fehlerfall richtig reagiert. Protokollieren Sie Testfälle, Grenzwertprüfungen und Fehlersimulationen (z. B. E-Stop, Encoder-Fehler).

Typische Fehler in der Funktionalen Sicherheit

Unklare Betriebsarten: Ohne sauber definierte Modi (Automatik, Einrichten, Service) entstehen Lücken in Logik und Freigaben.
Fehlende Diagnoseabdeckung: Unentdeckte Einzelfehler senken PL/SIL. Nutzen Sie Querschlussüberwachung, Plausibilitätsprüfungen und regelmäßige Proof-Tests.
Falsche Sensorik: Ungeeignete Encoder oder Grenztaster können die geforderte Performance verfehlen. Prüfen Sie Datenlage und Anwendungsgrenzen.
Ungetestete Kombinationen: Auch zugelassene Komponenten müssen in der konkreten Kombination validiert werden.
Dokumentationslücken: Fehlende Nachweise verzögern Abnahme und CE-Dokumentation. Halten Sie Spezifikationen, Berechnungen und Testergebnisse konsistent.

Funktionale Sicherheit und Zuverlässigkeit: PL, SIL, Diagnostik

EN ISO 13849-1 (PL) und IEC 61508/EN IEC 62061 (SIL) bewerten die Zuverlässigkeit sicherheitsbezogener Systeme. Beide Ansätze verfolgen das gleiche Ziel – ein beherrschtes Restrisiko –, nutzen aber unterschiedliche Kenngrößen und Nachweiswege.

Performance Level (PL a–e): Kombination aus Struktur, Ausfallwahrscheinlichkeit (MTTFd), Diagnoseabdeckung (DCavg) und Anfälligkeit für gemeinsame Ursachen (CCF). Viele Maschinenfunktionen bewegen sich zwischen PLd und PLe.
Safety Integrity Level (SIL 1–3): Wahrscheinlichkeiten gefährlicher Ausfälle pro Stunde (PFHd) über den Systemlebenszyklus. SIL2 ist in der Antriebstechnik häufig, SIL3 adressiert besonders hohe Risiken oder redundante Architekturen.
Diagnostik und Proof-Tests: Überwachen Sie Signalpfade, nutzen Sie Selbsttests der Antriebe und planen Sie wiederkehrende Prüfungen. So halten Sie die geforderte Integrität über Jahre aufrecht.
Architektur und CCF: Redundanz nützt wenig ohne wirksame Maßnahmen gegen gemeinsame Ursachen (z. B. EMV, Temperatur, Verkabelung, Software-Fehler). Dokumentieren Sie CCF-Maßnahmen nachvollziehbar.

Praxis-Tipp: Stimmen Sie PL- oder SIL-Forderung mit den verfügbaren Antriebsfunktionen ab. Oft erreichen Sie das Ziel wirtschaftlich mit einer geschickten Kombination aus SLS/SS1/STO statt maximaler Redundanz an jeder Stelle.

Praxisbeispiel: Roboter im Teach‑Modus

Ein Industrieroboter arbeitet in einer Linie mit manuellen Eingriffen. Im Automatikbetrieb bewegt er sich schnell, im Teach-Modus zeigt er seine Bewegungen langsam und reproduzierbar. Wie sieht ein stimmiges Sicherheitskonzept aus?

STO: Bei Betreten der Gefahrenzone oder Auslösen des Not-Halts schaltet STO das Drehmoment sicher ab. Unkontrollierte Bewegungen sind ausgeschlossen.
SLS: Im Teach-Modus begrenzt SLS die Geschwindigkeit beispielsweise auf 250 mm/s. Encoder und sichere Auswertung überwachen kontinuierlich, bei Überschreitung folgt SS1.
SOS: Für Werkzeugwechsel stoppt der Roboter sicher in Position und bleibt startbereit. Das verkürzt die Unterbrechung und erleichtert den Ablauf.
Ergänzungen: SLP begrenzt Arbeitsräume, SDI erzwingt sichere Bewegungsrichtungen beim Einrichten. SS1 überführt jede Grenzwertverletzung in einen kontrollierten Stopp, anschließend folgt STO.

Ergebnis: Die Linie bleibt produktiv, die Bediener arbeiten nahe am Prozess, und die Nachweisdokumentation zeigt klar, wie jede Funktion zur Risikominderung beiträgt.

Komprimierte Checkliste für die Inbetriebnahme

Betriebsarten sauber definiert (Automatik, Einrichten, Service) und bedienersicher umschaltbar.
Grenzwerte dokumentiert (SLS-Schwellen, Positionsfenster, Beschleunigungen) und nachweislich getestet.
Sicherheitsfunktionen auf Gefährdungen gemappt, Reaktionen eindeutig (SS1→STO, SS2, SOS etc.).
Sensorik/Aktorik mit ausreichender PL/SIL, Verkabelung geprüft, Querschluss/Leitungsbruch überwacht.
Diagnose aktiv (Fehlerreaktion, Alarmierung, sichere Zustände) und im HMI verständlich dargestellt.
Validierung vollständig: Testprotokolle, Abdeckungsgrade, Berechnungen (PFHd/MTTFd/DCavg), CCF-Nachweise.
Wartung geplant: Proof-Tests, Prüfintervalle, Ersatzteile, Schulungspakete für Bediener und Instandhaltung.

FAQ: Funktionale Sicherheit

Oceń post