- IO-Link — Startseite
- Technologie
- Funktionale Sicherheit
Was ist funktionale Sicherheit?
Funktionale Sicherheit ist ein Konzept im Bereich der technischen Systeme, das sich auf die Gewährleistung der Sicherheit durch das korrekte Funktionieren eines Systems bezieht. Sie stellt sicher, dass ein System oder eine Anlage in einer Weise arbeitet, die das Risiko von Unfällen oder Schäden gemäß Sicherheitseinstufung auf ein akzeptables Maß reduziert.
Aktive Sicherheit
Die aktive Sicherheit umfasst Maßnahmen und Systeme, die darauf abzielen, Unfälle und gefährliche Situationen zu verhindern. Es handelt sich um präventive Maßnahmen, die aktiv in den Betrieb des Systems eingreifen, bevor eine gefährliche Situation eintritt.
In der funktionalen Sicherheit bedeutet aktive Sicherheit die Implementierung von Sicherheitsfunktionen, die durch Sensoren, Aktuatoren und Steuerungen kontinuierlich den Zustand überwachen und bei Erkennung eines Fehlers oder einer Gefahr Maßnahmen ergreifen, um die Gefahr zu vermeiden. Diese Funktionen sind oft in der Software und der Hardware integriert und werden durch Normen wie IEC 61508 oder ISO 26262 spezifiziert.
Passive Sicherheit (rückwirkungsfreie Abschaltung)
Die passive Sicherheit umfasst Maßnahmen und Systeme, die dazu beitragen, die Auswirkungen eines Unfalls oder einer Gefahrensituation zu minimieren, nachdem sie eingetreten sind. Sie greift nicht präventiv ein, sondern reduziert die Folgen.
Im Kontext der funktionalen Sicherheit kann passive Sicherheit bedeuten, dass das System so gestaltet ist, dass es im Fehlerfall "sicher ausfällt". Ein Beispiel wäre, dass ein Gerät in einen sicheren Zustand übergeht oder sich abschaltet, wenn ein Fehler erkannt wird. Auch redundante Systeme, die bei Ausfall eines Teilsystems die Funktion übernehmen, können als Teil der passiven Sicherheit angesehen werden.
Die technische Herausforderung besteht darin, sicherzustellen, dass im Fehlerfall kein ungewolltes Nachversorgen eines Aktuators erfolgt – beispielsweise durch eine Versorgung über die Sensorversorgung (US), obwohl die sicherheitsgerichtete Aktuatorversorgung (UA) bereits abgeschaltet wurde.
Zur Lösung dieses Problems haben wir ein durchgängiges Konzept zur einzelfehlersicheren Abschaltung der Aktuatorversorgung (UA) innerhalb von IO-Link-Systemen entwickelt. Dieses Konzept definiert die technischen Anforderungen für den Einsatz unserer Komponenten in Anwendungen mit Anforderungen an die funktionale Sicherheit. Alle betroffenen Geräte wurden entsprechend angepasst und konstruktiv so überarbeitet, dass relevante Fehlermechanismen zuverlässig ausgeschlossen werden können. So stellen wir sicher, dass unsere Produkte auch in sicherheitskritischen Umgebungen einen verlässlichen Betrieb ohne Rückwirkungen ermöglichen – bei gleichzeitiger Einhaltung aller geltenden Normen und Richtlinien.
IO-Link-Master / Ethernet-Module abschalten
Die Animation demonstriert die sichere Abschaltung der UA-Spannung als Versorgungsspannung für den IO-Link-Master oder das Ethernet-Modul. Wird an der Maschine oder Anlage z.B. ein Schutzbereich verletzt oder ein Not-Halt gedrückt, schalten Sicherheitsrelais bzw. die F-SPS diese UA-Spannung für das Modul ab. Ein angeschlossener Aktuator kann daraufhin nicht mehr über das Ventil geschaltet werden und befindet sich in einem sicheren Zustand.
IO-Link-Module abschalten
Neben den busfähigen Modulen wurden die Anforderungen der funktionalen Sicherheit auch in unseren IO-Link-Modulen umgesetzt. In diesem Beispiel verwenden wir ein IO-Link-Modul mit zwei verschiedenen UA-Spannungen (UAL/UAR). Dadurch können zwei verschiedene Abschaltbedingungen in der F-SPS programmiert werden. Die Abschaltung der UAL oder UAR führt ebenfalls dazu, dass das Ventil nicht mehr geschaltet werden kann.
In der Diskussion um IO-Link-Systeme fällt häufig der Begriff „passive Sicherheit“. Dieser Begriff ist jedoch aus unserer Sicht irreführend, da er den Eindruck erweckt, es handle sich um sicherheitstechnische Komponenten im Sinne der Maschinenrichtlinie. Tatsächlich erfüllen weder IO-Link-Master noch IO-Link-IO-Module die Anforderungen an funktionale Sicherheit: Sie verfügen weder über einen Diagnosedeckungsgrad noch wurden sie gemäß den spezifischen Entwicklungsprozessen für sicherheitsgerichtete Produkte entwickelt.
Werden solche Geräte in Anwendungen eingesetzt, bei denen Aktuatoren sicherheitsgerichtet abgeschaltet werden müssen, ist es entscheidend, dass die eingesetzten Komponenten die Wirksamkeit der Sicherheitsfunktion nicht beeinträchtigen oder aufheben. Aus diesem Grund sprechen wir bewusst nicht von "passiver Sicherheit", sondern von Rückwirkungsfreiheit und Fehlerausschluss.
Dieses Dokument beschreibt ein Konzept für ein System für die rückwirkungsfreie Abschaltung der Versorgungsspannung eines Aktuators mithilfe eines Sicherheitsschaltgeräts und geeigneten Geräten aus den ifm-Gerätefamilien AL1xxx (IO-Link-Master) und AL2xxx (IO-Link-Ein-/Ausgangsmodul) sowie AL43xx IO-Modulen.