Lift Report

Mit der Einführung der Definition allgemein formulierter Schutzziele in der Aufzugsrichtlinie sowie der Möglichkeit über eine Gefahrenanalyse und eine entsprechende Risikobewertung ein mindestens vergleichbares Sicherheitsniveau neuer Lösungswege nachzuweisen, hat die Aufzugsindustrie einen deutlichen Innovationsschub erlebt.

Hierüber ist schon des Öfteren berichtet worden. Aber nur unter diesem Hintergrund ist es möglich heute über die Anwendung neuer Steuerungssysteme im Bereich sicherheitskritischer Anwendungen zu berichten.

Wenn man sich mit diesen Begriffen auseinandersetzt, stößt man schnell auf die Basisnorm IEC 61 508 die den Titel hat „Funktionelle Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbarer elektronischer Systeme.”

Im Dezember 2001 wurden die sieben Teile der IEC 61 508 durch die CENELEC als europäische Norm EN 61 508 ratifiziertund veröffentlicht. Schließlich wurde sie als DIN EN 61 508 (VDE 003) in das deutsche Regelwerk übernommen.

Diese angeführten Normen beschreiben den Stand der Technik.

Die EN 61 508 ist nicht unter einer EU Richtlinie harmonisiert wie dies z. B. für die EN 81 1/1 zutrifft. Eine automatische Vermutungswirkung zur Erfüllung von allgemeinen Schutzzielen einer Richtlinie ist somit nicht gegeben.

Aus diesen Gründen ist es für die Anwendung elektronischer Systeme in der Aufzugstechnik von entscheidender Bedeutung, dass die produktspezifische Norm, EN 81-1/2:A1, besser bekannt unter dem Namen „PESSRAL”, ausgearbeitet wurde.

PESSRAL steht als Abkürzung für „Programmable Electronic Systems in Safety Related Applications for Lifts.”

Diese inzwischen harmonisierte Norm verweist in wesentlichen Teilen und Definitionen auf die Grundnorm EN 61 508 als sog. „mitgeltende Norm“.

Wendet der Hersteller von elektronischenBaugruppen in sicherheitsrelevanten Systemen die EN 61 508 in diesem Zusammenhang an so nutzt er die Vermutungswirkung der PESSRAL als verweisende Norm.

Die Struktur der EN 61 508 ist in 9 Teile untergliedert: Teil 1 – 4 hat normativen Charakter, die Teile 5 – 9 sind informativ.

Anlagen und Maschinen können bei Ausfällen und Fehlfunktionen zu Risiken im Hinblick auf Personen- Umwelt- und Sachschäden führen.

Diese Risiken müssen durch den Hersteller solcher Anlagen vor dem Inverkehrbringen anhand einer Risikoanalyse bewertet werden.

Erstmals fordert die EN 61 508 einen quantitativen Nachweis für das verbleibende Risiko im Hinblick auf das komplette System, bestehend aus Sensoren, Steuerung und Aktoren.

Abhängig vom beschriebenen Risiko sind Maßnahmen zur Risikoreduzierung durch Fehlervermeidung, Fehlererkennung und Fehlerbeherrschung abzuleiten.

Zielsetzung dieser Anforderungen ist es, Fehler im System zu vermeiden oder zu beherrschen und die Wahrscheinlichkeitgefährlicher Ausfälle auf definierte Wertezu begrenzen.

Hierzu wurden 4 Stufen definiert, die als sog. Safety Integrity Level (SIL) das zu erreichende Niveau der Versagenswahrscheinlichkeit beschreiben.

SIL 4 ist die höchste Sicherheitsstufe, SIL 1 die niedrigste.

Bild 1 beschreibt diesen Zusammenhang der SIL Klassifizierung und der mittleren Versagenswahrscheinlichkeit PFDav (Probability of Failure of Demand).

Die SIL Einstufungen dürfen keinesfalls mit den Definitionen der Sicherheits-Kategorien verwechselt werden wie sie in der EN 954-1 für sicherheitsbezogene Steuerungen definiert sind.

Vereinfacht kann gesagt werden dass die SIL Einstufung immer einer um 1 erhöhten Kategorie entspricht, d. h. SIL 1 entspricht Kategorie 2 usw.

Eine derartige Verwechslung von SIL und Kategorie ist auch während der redaktionellen Überarbeitung der PESSRAL geschehen und hat nach Einsprüchen zu einer nochmals notwendigen Überarbeitung des Anhanges A der Norm geführt.

In diesem wichtigen Anhang werden dengem. EN 81-1/2 zu überwachenden Einrichtungen eines Aufzugssystems die entsprechenden SIL Level zugewiesen. SIL 3 ist dabei die höchste Einstufung einer Sicherheits-Komponente innerhalb eines Aufzugssystems.

Der gem. EN 61 508 höchste Level 4 findet richtigerweise keine Anwendung in der Aufzugstechnik da diese Kategorie Systemen zugewiesen ist bei deren Versagen katastrophale Auswirkungen mit sehr vielen Toten zu befürchten sind. (Atomkraftwerk und vergleichbare Einrichtungen).

Wie bereits erwähnt sind die EN 61 508 und die PESSRAL Normen die auf einer Risikodefinition und -bewertung beruhen.

Wesentliche Definitionen für eine solche Bewertung sind die folgenden 4 Parameter:

C1 leichte Verletzung einer Person oder kleinere schädliche Umwelteinflüsse

C2 schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod einer Person oder vorübergehende größere schädliche Umwelteinflüsse

C3 Tod mehrerer Personen oder langer schädlicher Umwelteinflüsse, z. B. nach Störfallverordnung.

C4 katastrophale Auswirkung, sehr viele Tote

F1 selten bis öfter

F2 häufig bis dauernd

P1 möglich unter bestimmten Bedingungen

P2 kaum möglich

W1 sehr gering

W2 gering

W3 relativ hoch

Dies führt zu dem bekannten Risikographen, Bild 2.

Nach diesen allgemeinen Vorbemerkungen soll die Anwendung der PESSRAL und der EN 61 508 anhand eines Beispiels aus dem Aufzugssystem TWIN veranschaulicht werden.

TWIN ist ein neuartiges Aufzugssystem bei dem 2 Fahrkörbe übereinander in demselben Aufzugsschacht betrieben werden.

Ein vierstufiges Sicherheitssystem überwacht permanent den Abstand zwischen den beiden Fahrkörben und verhindert so eine gefährliche Annäherung oder gar eine Kollision. Dieses AbstandsÜberwachungs- System besteht wie allgemein üblich aus Sensoren, einer Auswertesteuerung und Aktoren.

In der ersten Generation dieser Überwachungseinrichtung waren die als sicherheitskritisch definierten Stufen 3 und 4 elektromechanisch realisiert und konnten somit nach den bekannten Sicherheitskriterien der Aufzugsnorm EN 81 beurteilt werden.

Auf dem Begrenzerseil jeder Aufzugsanlage ist eine Verdickung sicher befestigt. Diese Verdickung eilt dem unteren Fahrkorb bei der Fahrt nach oben voraus während die dem oberen Fahrkorb zugeordnete Verdickung bei der Abwärtsfahrt vorauseilt.

Der Abstand zwischen dem Beginn der Verdickung und des nachfolgenden oder vorausfahrenden Fahrkorbs entspricht dem erforderlichen Bremsweg und dem Fangweg, jeweils betrachtet unter Worst case Bedingungen.

Kommen sich nun die Fahrkörbe zu nahe treffen die Verdickungen auf einen Sicherheitsschalter der am jeweils anderen Fahrkorb angebaut ist und betätigen diesen mechanisch. Der jeweilige Sicherheitskreis der beiden Aufzüge wird unterbrochen und durch den Abfall der Bremsen wird ein Nothalt ausgelöst.

Somit ist gewährleistet, dass auch wenn die Fahrkörbe mit Nenngeschwindigkeit aufeinander zufahren und kein Verzögerungsbefehl seitens der Steuerung erfolgt eine Kollision ausgeschlossen ist.

Falls die Bremsen und somit die dritte Stufe des Sicherheitssystems auch versagen würde, wird nach einer weiteren zurückgelegten Wegstrecke, die dem Bremsweg aus Nenngeschwindigkeit entspricht, durch die Verdickung die Fangvorrichtung ausgelöst. Auch dieser Vorgang ist zwangsläufig und beruht auf einem rein mechanischen Wirkprinzip.

Dieses beschrieben Konzept wurde an der ersten TWIN Anlage, in Betrieb an der Universität Stuttgart, realisiert.

Es ist leicht nachzuvollziehen dass bei höheren Geschwindigkeiten die erforderlichen Brems- und Fangwege exponentiell ansteigen. Die Sicherheitsabstände müssen somit bei Anlagen mit höheren Fahrgeschwindigkeiten deutlich höher gewählt werden.

Ein gewünschtes Annähern der beiden Fahrkörbe z. B. beim Beladen in den benachbarten untersten Haltestellen wäre somit nicht mehr möglich.

Aus diesem Grund wurde eine Weiterentwicklung der sicherheitsrelevanten Stufen 3 und 4 der Abstandsüberwachungseinrichtung auf Basis einer elektronischen und softwarebasierenden Lösung durchgeführt.

Als erster Schritt war die Frage zu beantworten in welchen Safety Integrity Level die beschriebene Abstandsüberwachungseinrichtung einzuordnen ist.

Nachdem eine derartige Einrichtung in der PESSRAL Tabelle A1 nicht zu finden ist wurden vergleichbare Sicherheitseinrichtungen als Grundlage gesucht.

Dem Risiko am nächsten kommen die Punkte 8.15 b: Notbremsschalter auf dem Fahrkorbdach oder 14.2.1.3.c: Notbremsschalter an der Inspektionssteuerung.

Beide Einrichtungen sind dem SIL Level 3 zugeordnet.

Anm: zum Vergleich, die Verzögerungskontrollschaltung bei Puffern mit verkürztem Hub ist in der SIL 2 wiederzufinden.

Ist eine Sicherheitsschaltung wie die Abstandsüberwachung bei TWIN nicht in der EN 81 definiert und somit in der PESSRAL auch nicht klar zugeordnet, kann jederzeit auch auf den bekannten Risikographen zurückgegriffen werden.

Beide Vorgehensweisen zeigen somit dass die Abstandsüberwachung dem Sicherheits- Integritäts-Level, SIL 3 zuzuordnen ist.

Beim Entwurf einer elektronischen/ programmierbaren Sicherheitsschaltung müssen für alle SIL Level die Tabellen 6 bis 8 der PESSRAL berücksichtigt werden.

Tabelle 6 beschreibt Design Kriterien für die Hardware, z. B. die Verwendung eines sog. Watch dogs oder das Verhalten des Systems bei Unter- oder Überspannung.

Tabelle 7 definiert die grundsätzlichen Anforderungen bei der Erstellung von Software, z. B. wie Interupts zu verwenden sind.

Tabelle 8 geht auf die notwendigen Maßnahmen ein die in den verschiedenen Spezifikationsphasen, beispielsweise bei der Entwurfdokumentation oder der Prüfspezifikation, zu beachten sind. Hier wird zum Beispiel die Implementierung einer Versionskontrolle von Hardware und Software gefordert.

Durch die Einordnung der Abstandsüberwachung in die SIL Klasse 3 sind darüber hinaus die besonderen Maßnahmen für das Design der Hard- und Software zu beachten die in der Tabelle 11 der PESSRAL definiert sind.

Die wichtigste Grundvoraussetzung eines Systems das SIL 3 erfüllt ist bereits in der ersten Zeile zu finden.

Die Anforderungen für die Prozessoreinheit, den Speicher, die EIN/Ausgabe Schnittstellen sowie für die Software sind in den weiteren Definitionen der Tabelle zu finden.

Bei der praktischen Umsetzung all dieser Anforderungen ist es für den Entwickler natürlich einfacher wenn Steuerungskomponenten eingesetzt werden können bei denen bereits eine Zertifizierung nach SIL 3 durchgeführt wurde. In diesen bereits zertifizierten Komponenten sind die doch recht aufwendigen Speicherüberwachungen z. B. mittels des sog. „Galpat“ Tests bereits enthalten. Ebenfalls sind Überwachungen eines falschen Taktsignals oder Programmablaufes in einer solchen zertifizierten Prozessoreinheit bereits im Grundumfang enthalten.

Derartige in der Regel freiprogrammierbare Steuerungen sind inzwischen von mehreren Herstellern am Markt.

Bei einer vollständigen Eigenentwicklung müssen die in der PESSRAL in den o. g. Tabellen beschriebenen Anforderungenumfänglich mit der zertifizierenden Stelleabgestimmt werden und die Fehlertoleranznachgewiesen werden.

ThyssenKrupp Aufzüge hat eine solche komplette Eigenentwicklung für einen elektronischen Geschwindigkeitsbegrenzer ESG (Electronic Speed Governor) durchgeführt und inzwischen eine Zertifizierung gem. Aufzugsrichtlinie erhalten.

Auch die Komponente ESG ist in den SIL Level 3 eingestuft.

Auf der Grundlage der beschriebenen Anforderungen ergibt sich für das Abstandüberwachungssystem TWIN folgende Struktur:

Die Eingangssignale (Sensorik) haben die Aufgabe für jeden Fahrkorb die Position an die sichere Steuerungseinheit weiterzugeben. Hierzu werden für jeden Fahrkorb 2 redundant/diversitäre Sensoren benötigt deren Signale von der jeweils zugeordneten Auswerteeinheit eingelesen werden.

Die Auswerteeinheiten tauschen über eine serielle Verbindung die Eingangssignale des jeweils anderen Sensorsystems untereinander aus.

Jede Auswerteeinheit ermittelt nun unabhängig voneinander die Position und davon abgeleitet die Geschwindigkeit der Aufzuganlagen und errechnet anhand von hinterlegten, nicht veränderbaren mathematischen Formeln die zur momentan gefahrenen Geschwindigkeit jeweils benötigten Brems- und Fangwege. Während der verschiedenen Rechenschritte gleichen die beiden Kanäle die jeweiligen Zwischenergebnisse wiederum untereinander ab.

Die ermittelten Brems- und Fangwege werden mit dem aktuell vorliegenden Abstand zwischen den Fahrkörben verglichen. Wird ein definierter erster Mindestabstand unterschritten wird das System in einen sicheren Zustand gebracht, d. h. es wird zuerst die Betriebsbremse aufgelegt und beim unterschreiten eines weiteren Mindestabstandes auch die Fangvorrichtung aktiviert.

Die Aktorik ist somit vergleichbar mit den Stufen 3 und 4 der ersten Generation mit dem Unterschied dass die Triggerung der Stufen nicht mechanisch sondern elektrisch erfolgt.

Die Vorteile gegenüber der mechanischen Lösung liegen hauptsächlich darin begründet dass die Brems- und Fangwege nun dynamisch der aktuell gefahrenen Geschwindigkeit angepasst werden können. Eine Annäherung der Fahrkörbe ist somit auch für den Bereich höherer Nenngeschwindigkeiten wieder möglich.

Der neue europäische Standard PESSRAL erlaubt es nun, auch in der Aufzugtechnik die Vorteile elektronischer/programmierbarer Systeme vermehrt einzusetzen. Sicherheitsrelevante Steuerungssysteme, die in der Luftfahrttechnik und in der Automobiltechnik schon seit längerer Zeit erfolgreich eingesetzt werden, sind im Begriff auch die Aufzugs-Steuerungstechnik verändern. Dabei muss eine solche Substitution vorhandener Baugruppen allerdings auch unter wirtschaftlichen Gesichtspunkten betrachtet werden. Nicht immer wird es gelingen die in vielen Jahrzehnten bewährten elektro-mechanischen Sicherheitskomponenten erfolgreich zu ersetzen. So ist es z. B. schwierig eine elektronische Sicherheitsschaltung zu vergleichbar geringen Kosten herzustellen wie sie heute für einen bewährten Sicherheitsschalter zutreffen.

Wenn man allerdings Aufgabenstellungen wie das beschriebene Abstandüberwachungssystem betrachtet, oder mehrere Sicherheitsschalter in eine Auswerteeinheit integrieren kann, sind neue Lösungswege mit wesentlich verbesserten technischen Merkmalen realisierbar.

Es werden sicher in den nächsten Jahren weitere interessante Beispiele hierzu berichtet werden.