Auf der sicheren Seite

Frau Arnold, Herr Bansemir, die seit über 20 Jahren etablierte IEC 61508 gilt heute als eine Art „Urknall“ der funktionalen Sicherheit und ist sicherlich jedem Automatisierungsexperten ein Begriff. Kann man diese Norm als Startpunkt der Disziplin funktionale Sicherheit bezeichnen?
Stefanie Arnold: Ohne die zweifelsohne enorme Relevanz der IEC 61508 schmälern zu wollen, lässt sich konstatieren, dass es bereits Leben vor ihr gab. Tatsächlich können die Anfänge der funktionalen Sicherheit bis in die 1960er-Jahre zurückverfolgt werden.
Werner Bansemir: Richtig, den eigentlichen öffentlichen Start für das Thema Funktionssicherheit markiert die 1966 durch den Ausschuss Anlagensicherung der VDI-/VDE-Fachgruppe Regelungstechnik publizierte Richtlinie 2180 „Sicherung von Anlagen der Verfahrenstechnik“. Diese Richtlinie stellt erstmalig Grundlagen der Gerätetechnik und Planung dar, die beim Aufbau von Sicherungseinrichtungen zu beachten sind. Bereits hier lässt sich die evolutionäre Natur des Themenkomplexes Funktionssicherheit beobachten, denn Teile dieser Richtlinie wirken bis heute nach: Die MooN-Struktur, also die Klassifikation sicherheitsbezogener Systeme nach Redundanz und angewandtem Auswahlverfahren, entstammt dieser Erstversion der 2180.

Seit wann ist funktionale Sicherheit für Pepperl+Fuchs ein Thema?
Werner Bansemir: Als eines der traditionsreichsten Automatisierungsunternehmen beschäftigt sich Pepperl+Fuchs natürlich auch schon entsprechend lange mit der „FuSi“, genau genommen seit den 70er-Jahren. Bei uns im Hause war die Initialzündung eine Kundenanfrage nach einer sicheren Abschaltung der Hauptbrennstoffzufuhr von Feuerungsanlagen. Daraus resultierte 1973 die Entwicklung eines ersten Sicherheitsschaltverstärkers. Das dynamische Übertragungsprinzip des Schaltsignals der damaligen Schaltverstärker bildet übrigens bis heute die technische Grundlage sicherheitstechnischer Geräte für SIL-3-Applikationen.
Stefanie Arnold: Daran schloss sich kurze Zeit später auch die Entwicklung des ersten Näherungsschalters für Sicherheitsanwendungen an. Diese Sensoren waren eine Weiterentwicklung von Standardsensoren, die nun in der Lage waren, über zwei zusätzliche Transistoren einen Fehler zu detektieren. Die zusätzlichen Bauelemente im Sensor wurden nötig, um in allen Fehlerfällen im Sensor diesen dennoch einen sicheren Signalzustand ausgeben zu lassen, also das Fail-Safe-Prinzip umzusetzen. Während dieser Entwicklungen war man natürlich von einem global relevanten Safety-Framework wie der 61508 noch weit entfernt: Man bezog sich damals beispielsweise auf die DIN 4788 zum Thema Gasbrenner oder die VDE 0116, die die elektrische Ausrüstung von Feuerungsanlagen behandelte .

Mit der Seveso-Katastrophe fällt ein weiteres zentrales Ereignis für die Evolution der funktionalen Sicherheit ebenfalls in die 70er-Jahre. Könnten Sie die Geschehnisse noch einmal kurz skizzieren?
Werner Bansemir: 1976 kam es in der kleinen Ortschaft Seveso, die nördlich von Mailand liegt, in einer Chemieanlage zu einem Dioxinaustritt mit verheerenden Folgen für Mensch und Umwelt. Automatische Kühlsysteme und Warnanlagen waren damals nicht vorhanden, was zu einer Überhitzung der Anlage führte. Seveso war jedoch leider kein singuläres einschneidendes Ereignis: Bereits zwei Jahre zuvor war es im englischen Flixborough in einer Chemieanlage zu einem ähnlich dramatischen Störfall mit mehreren Toten gekommen.
Stefanie Arnold: In diesem Kontext ist sicherlich auch das Unglück im indischen Bhopal 1984 zu erwähnen – bis heute der größte Chemieunfall der Geschichte. Diese traumatischen Ereignisse und die Tschernobyl-Katastrophe korrelieren eng mit dem Entstehen der Umweltschutzbewegung in den Achtzigern. Unter dem Eindruck all dieser Tragödien gewann das Thema funktionale Sicherheit in der öffentlichen Wahrnehmung deutlich an Relevanz.

Wie zeigte sich diese Veränderung konkret?
Werner Bansemir: Uns Deutschen wird ja bekanntlich nachgesagt, ein sehr sicherheitsorientiertes Volk zu sein. Das würde ich in diesem Kontext zweifelsohne als ein Kompliment betrachten: Die Risiken von Prozessanlagen beherrschbar zu machen, war in Deutschland durch die genannten Unglücksfälle frühzeitig Thema und wurde mit Beginn der 80er-Jahre seitens Gesetzgebern und Anlagenbetreibern immer methodischer angegangen. Das zeigt sich im Erscheinen diverser nationaler Normen und Vornormen in diesem Zeitraum, die bis heute nachwirken und die dann auch in internationalen Normen aufgegriffen wurden.
Stefanie Arnold: Hierbei hervorzuheben ist sicherlich die DIN V 19250, die zwar nie den Status einer Vornorm verlassen hat, aber einige zukunftsweisende Veränderungen mit sich brachte: Erstmalig wird in ihr anhand eines Risikografen eine Gefährdung qualitativ beschrieben. Die acht genannten Anforderungsklassen mündeten in die heute allgemein bekannten vier Sicherheitsintegritätslevel SIL 1 bis SIL 4. An diese wiederum lehnen sich die in der EN ISO 13849 beschriebenen Performance Level an. Ganz gleich, ob in prozesstechnischen Anlagen, diskreten Fertigungsumgebungen oder an Fahrgeschäften im Freizeitpark – die Art und Weise, wie wir heute weltweit Risiken von automatisierten Vorgängen klassifizieren, lässt sich also ins Deutschland der 80er-jahre zurückverfolgen.

Sie haben gerade das Stichwort „weltweit“ genannt. Die eingangs diskutierte IEC 61508 führte Anfang der 2000er-Jahre zu einem weltweiten Paradigmenwechsel in der funktionalen Sicherheit. Wie stellte sich die Situation bei Pepperl+Fuchs dar?
Werner Bansemir: Ich kann mich noch sehr gut erinnern, mit welchen Herausforderungen wir damals konfrontiert waren: Es gab zu Beginn dieser Phase natürlich noch keine entsprechend zertifizierten Produkte, sondern man bediente sich bei ausgewählten und geeigneten Bestandsprodukten der Rückläuferstatistiken, um die Validität zuvor errechneter Sicherheitskennzahlen zu bestätigen. Gleichzeitig erkannten wir aber auch frühzeitig, welche Chance für uns als Hersteller dem Thema innewohnte. Nachdem die IEC 61508 zum globalen Standard geworden war und alle nationalen Vorläufernormen abgelöst hatte, vergrößerte sich automatisch der weltweite Absatzmarkt für sicherheitsgerichtete Geräte.
Stefanie Arnold: Zudem begannen mit Einführung und Verbreitung der IEC 61508 auch unsere umfangreichen Trainingsprogramme im Bereich der funktionalen Sicherheit. Da wir die Entwicklung der funktionalen Sicherheit über die Jahrzehnte eng mitbegleitet hatten und durch unsere Schulungsaktivitäten zum Thema elektrischer Explosionsschutz bereits Erfahrung in der Vermittlung normativer Zusammenhänge besaßen, stellte dies einen logischen Schritt für Pepperl+Fuchs dar: Heute bieten wir eine ganze Bandbreite an Trainingsformaten an, damit möglichst alle Anwendergruppen bei Fragen zu funktionaler Sicherheit einen Anlaufpunkt finden. In den Seminaren behandeln wir nicht nur die IEC 61508 als solche, sondern befassen uns auch mit den aus ihr resultierenden Sektornormen wie der EN 61511 oder den für Maschinenbauer relevanten EN 62061 und ISO 13849.

Da Sie gerade den Maschinenbau ansprachen: Wie kann Pepperl+Fuchs bei der Einhaltung der Maschinenrichtlinie unterstützen?
Stefanie Arnold: Die erwähnten Schulungen sind natürlich ein wichtiger Baustein, um mögliche Fallstricke bei der Einhaltung der Richtlinie erkennen zu können. Da der Schulungsbedarf auf dem Gebiet Maschinenrichtlinie aber immens ist, haben wir uns dazu entschlossen, Interessenten zusätzlich ein jederzeit verfügbares Hilfsmittel an die Hand zu geben: Auf unserer Website finden sie seit einigen Monaten ein umfangreiches kostenloses PDF-Whitepaper, das den Weg zur sicheren Maschine schrittweise aufzeigt. Damit bieten wir nun eine sinnvolle Ergänzung zu unserem bereits länger verfügbaren „Kompendium Funktionale Sicherheit“, das stärker die Prozesstechnik als die Fabrikautomation fokussiert. Wer über das Whitepaper hinausgehende Unterstützung bei der Realisierung konkreter Applikationen nach Maschinenrichtlinie benötigt, kann sich ebenfalls an uns wenden: Unsere zertifizierten Experten für funktionale Sicherheit können bei der Berechnung des benötigten SIL bzw. Performance Level helfen oder gleich das gesamte Sicherheitskonzept einer Anwendung entwickeln.

Dabei wird sicherlich auch auf das hauseigene Portfolio an Sicherheitskomponenten zurückgegriffen. Lassen Sie uns abschließend also noch einen Blick auf das aktuelle Angebot in diesem Bereich werfen. Wo steht Pepperl+Fuchs hier heute?
Stefanie Arnold: Zunächst möchte ich ergänzen, dass das Erstellen der Sicherheitskonzepte völlig unabhängig erfolgt: Unser primäres Ziel ist die optimale Lösung der jeweiligen Anwendung. Dabei binden wir uns weder an bestimmte Technologien noch an Produkte oder Anbieter. Nichtsdestotrotz ist der mögliche Zugriff auf unser hauseigenes Portfolio an Sensorik natürlich von enormem Wert: Wir haben damit nicht nur automatisch Zugang zu allen Sicherheitskennzahlen, sondern können auch Technologien einsetzen, die absolut einzigartig am Markt sind. Zum Beispiel bieten wir mit dem USi-safety® das einzige bis Kategorie 3 PL d sichere Ultraschallsensorsystem an. Dieses eignet sich etwa ausgezeichnet für die Absicherung von FTS und ist konkurrenzlos widerstandsfähig gegenüber Schmutz, Temperaturschwankungen oder Feuchtigkeit. Aber auch durch das intelligente Kombinieren von Standardsensoren lassen sich Anwendungen normgerecht und sicher lösen .

Wie gestaltet sich die Lage aufseiten der Prozessautomatisierer im Hause Pepperl+Fuchs?
Werner Bansemir: Mit einer Reihe an neuen SIL-3-Ausgangstreibern haben wir kürzlich die letzte „Lücke“ in unserem ohnehin schon breiten Portfolio an SIL-3-geeigneten Trennbarrieren geschlossen. Dadurch bieten wir jetzt als einziger Hersteller weltweit eigensichere SIL-3-Komponenten für sämtliche Signalarten an. Gleichzeitig stellt diese Wegmarke auch einen schönen Abschlusspunkt meines langen Berufslebens bei Pepperl+Fuchs dar – ich verabschiede mich Ende des Jahres in die Rente. Über die Jahrzehnte hat die funktionale Sicherheit mein berufliches Wirken mitbestimmt und wir konnten wichtige technologische Impulse geben. Doch auch nach mir wird das Thema bei uns weiterhin einen hohen Stellenwert einnehmen, da bin ich mir absolut sicher. Wer auf Pepperl+Fuchs vertraut, darf sich also auch zukünftig jederzeit auf der sicheren Seite wähnen.