Safety und Normen in der SPS-Programmierung

Sicherheitsprogrammierung ist in der industriellen Automatisierung nicht optional – sie ist gesetzlich vorgeschrieben und schützt Menschen sowie Anlagen. Ob Roboteranlagen, Pressen oder Transportsysteme: Sobald Maschinen Gefährdungspotenzial für Bediener bergen, sind normgerechte Safety-Funktionen erforderlich. Masterwerk entwickelt seit über 15 Jahren sichere SPS-Lösungen für Automotive, Halbleiter und Fertigungsindustrie – stets nach aktuellen Normen und mit höchsten Performance-Ansprüchen.

Safety und Normen in der SPS-Programmierung

Warum Safety-Programmierung unverzichtbar ist

Die Risikobeurteilung nach ISO 12100 zeigt, ob technische Schutzmaßnahmen erforderlich sind. In der Praxis sind dies typische Szenarien:

Gefährdungssituationen, die Safety erfordern:

  • Roboter arbeiten im selben Bereich wie Werker (kollaborative Anwendungen oder eingezäunte Zellen mit Zugang)
  • Schnell bewegte Achsen in Reichweite von Bedienern (Pick-and-Place, Portale, Gantry-Systeme)
  • Pressen und Stanzautomaten mit Einzugs- oder Quetschgefahr
  • Fördertechnik und AGV/FTS-Systeme in Verkehrsbereichen
  • Thermische oder elektrische Gefahrenquellen in zugänglichen Bereichen

Ohne normgerechte Safety-Funktionen drohen nicht nur rechtliche Konsequenzen – im Ernstfall sind Menschenleben in Gefahr. Gleichzeitig darf die Sicherheitstechnik die Produktivität nicht unnötig einschränken. Hier liegt die Kunst der Safety-Programmierung.

Zentrale Normen für Safety-Programmierung

Die Entwicklung sicherer Steuerungen folgt einem klaren Regelwerk. Wer diese Normen kennt und umsetzt, schafft Rechtssicherheit und vermeidet kostspielige Nachbesserungen.

ISO 13849: Performance Level (PL)

Diese Norm definiert fünf Performance Level (PL a bis e), die angeben, wie zuverlässig eine Sicherheitsfunktion arbeiten muss. Der erforderliche PL ergibt sich aus der Risikobeurteilung und berücksichtigt Schwere der Verletzung, Häufigkeit der Exposition und Vermeidbarkeit.

Typische Performance Level in der Praxis:

  • PLr a: Leichte Verletzungen, gut vermeidbar (z.B. Quetschgefahr bei niedriger Geschwindigkeit)
  • PLr c: Mittlere Verletzungen, gelegentlich schwer vermeidbar (z.B. Roboterarbeitsraum mit langsamen Bewegungen)
  • PLr d: Schwere Verletzungen, schwer vermeidbar (z.B. Pressmaschinen, schnelle Portalanlagen)
  • PLr e: Tödliche Verletzungen, nicht vermeidbar (z.B. Hochgeschwindigkeits-Roboter, gefährliche Stoffe)

Die Architektur der Sicherheitssteuerung muss dem PL entsprechen – von einkanaligen Systemen mit niedriger Diagnosedeckung (Kategorie 1) bis zu zweikanaligen, diversitären Systemen mit umfassender Diagnose (Kategorie 4).

IEC 61508: Safety Integrity Level (SIL)

Während ISO 13849 hauptsächlich im Maschinenbau verwendet wird, regelt IEC 61508 die funktionale Sicherheit über alle Branchen hinweg. Die Safety Integrity Level (SIL 1 bis 4) definieren die Ausfallwahrscheinlichkeit pro Stunde.

SIL-Level im Überblick:

  • SIL 1: 10⁻⁵ bis 10⁻⁶ (z.B. einfache Förderanlagen)
  • SIL 2: 10⁻⁶ bis 10⁻⁷ (z.B. Roboterzellen, Montagelinien)
  • SIL 3: 10⁻⁷ bis 10⁻⁸ (z.B. kritische Prozessanlagen, Chemieindustrie)
  • SIL 4: 10⁻⁸ bis 10⁻⁹ (z.B. Eisenbahnsignalanlagen, selten im Maschinenbau)

In der industriellen Automatisierung wird häufig IEC 62061 verwendet – eine branchenspezifische Norm für den Maschinenbau, die auf IEC 61508 basiert.

ISO 10218 & ISO/TS 15066: Robotersicherheit

Sobald Roboter im Spiel sind, greifen spezielle Sicherheitsnormen. ISO 10218 regelt die Sicherheitsanforderungen für Industrieroboter, ISO/TS 15066 ergänzt dies für kollaborative Anwendungen (Mensch-Roboter-Kollaboration, MRK).

Sicherheitsfunktionen für Roboteranlagen:

  • Sichere Geschwindigkeitsüberwachung (Safe Speed Monitoring)
  • Sicherer Halt (Safe Stop 1 und Safe Stop 2)
  • Sichere Arbeitsraumbegrenzung (Safe Workspace Limitation)
  • Sicherheits-Handbetrieb (Safe Manual Mode)
  • Kraft- und Leistungsbegrenzung bei MRK (Power and Force Limiting)

Masterwerk implementiert diese Funktionen in KUKA, ABB, Fanuc und Universal Robots Systemen – stets abgestimmt auf die spezifische Anwendung und Risikoklasse.

EN 954-1 & ISO 13849-1: Sicherheitskategorien

Die Sicherheitskategorien (Kat. B, 1, 2, 3, 4) beschreiben die Architektur der Sicherheitssteuerung. Während EN 954-1 veraltet ist, verwendet die moderne ISO 13849-1 diese Kategorien weiterhin als Basis für die PL-Berechnung.

Kategorien im Überblick:

  • Kategorie B: Einkanalig, keine Fehlertoleranz
  • Kategorie 1: Einkanalig mit bewährten Bauteilen
  • Kategorie 2: Einkanalig mit Testung vor jedem Gefahrvorgang
  • Kategorie 3: Zweikanalig, ein Fehler führt nicht zum Ausfall
  • Kategorie 4: Zweikanalig mit Fehlererkennung, maximale Sicherheit

Die Wahl der Kategorie hängt vom erforderlichen PL ab. Für PLr e ist mindestens Kategorie 3 erforderlich.

Sichere Steuerungstechnik in der Praxis

Die theoretischen Normen müssen in echte Hardware und Software übersetzt werden. Hier kommen spezialisierte Safety-Komponenten zum Einsatz.

Safety-SPS und Sicherheitsbaugruppen

Moderne SPS-Systeme bieten integrierte Safety-Funktionalität:

Siemens Safety Integrated
  • S7-1500F und S7-1200F Steuerungen für Fail-Safe Anwendungen
  • F-I/O Module für sichere Ein- und Ausgänge
  • PROFIsafe Kommunikation für sichere Netzwerke
  • Safety Advanced Controller für komplexe Anwendungen
Beckhoff TwinSAFE
  • Integrierte Safety in TwinCAT 3
  • Verteilte Safety-I/O über EtherCAT FSoE
  • Flexible Sicherheitsarchitekturen für Motion-Control
  • TwinSAFE Logic für anspruchsvolle Sicherheitsprogramme
Allen-Bradley GuardLogix
  • ControlLogix und CompactLogix Safety-Controller
  • CIP Safety Netzwerk
  • Integrierte Motion-Safety für Servosysteme

Masterwerk beherrscht alle führenden Safety-Plattformen und wählt die optimale Lösung für Ihre Anlage – basierend auf Anforderungen, Kosteneffizienz und Kompatibilität.

Sichere Sensoren und Aktoren

Die besten Safety-Controller nützen wenig ohne normgerechte Peripherie:

Sichere Eingabegeräte
  • Not-Aus-Taster nach ISO 13850 (zweikanalig, mechanisch verriegelnd)
  • Schutztürschalter mit Zuhaltung und Zustimmtaster
  • Sicherheitslichtgitter (AOPD) mit Muting-Funktion
  • Laserscanner für bereichsbasierte Überwachung
  • Druckempfindliche Matten und Bumper
Sichere Aktoren und Ausgänge
  • Sicherheitsschütze und Relais mit Zwangsöffnung
  • Sichere Ventile für pneumatische und hydraulische Systeme
  • Sichere Antriebstechnik mit STO (Safe Torque Off) und SS1 (Safe Stop 1)
  • Zweikanalige Ausgänge mit Rückführung zur Diagnose

Die Auswahl und Verdrahtung dieser Komponenten folgt strengen Regeln. Fehlerverdrahtungen oder ungeeignete Bauteile können die gesamte Sicherheitsarchitektur kompromittieren.

Entwicklung sicherer SPS-Programme

Safety-Programme unterscheiden sich fundamental von Standard-SPS-Code. Sie unterliegen strengen Entwicklungsprozessen und müssen nachvollziehbar dokumentiert werden.

Safety-Programmierung nach IEC 61508

Die Norm fordert einen strukturierten Entwicklungsprozess:

1. Anforderungsanalyse

Definition aller Sicherheitsfunktionen aus der Risikobeurteilung

2. Safety-Konzept

Festlegung der Architektur, PL/SIL-Level, Kategorien

3. Programmierung

Strukturierte Entwicklung mit bewährten Patterns

4. Verifikation

Systematisches Testen aller Sicherheitsfunktionen

5. Validierung

Nachweis, dass alle Anforderungen erfüllt sind

6. Dokumentation

Lückenlose Nachvollziehbarkeit für Audits und Wartung

Masterwerk nutzt bewährte Design-Patterns für Safety-Code: Zustandsautomaten für komplexe Abläufe, klare Funktionsbausteine für Wiederverwendbarkeit und strikte Trennung von Safety- und Non-Safety-Code.

Typische Safety-Funktionen

In realen Anlagen begegnen uns immer wieder dieselben Sicherheitsbausteine:

  • Not-Aus-Kette: Der Klassiker jeder Anlage. Alle Not-Aus-Taster sind seriell verdrahtet, die SPS überwacht die Kette zweikanalig und leitet bei Auslösung einen sicheren Stopp ein. Die Quittierung erfolgt erst nach Fehlerbeseitigung und manuellem Reset.
  • Schutztürüberwachung: Sicherheitstürschalter melden, ob eine Schutztür offen ist. Bei geöffneter Tür wird die Anlage gestoppt (Safe Stop 1 oder 2), bei Türen mit Zuhaltung wird zusätzlich ein mechanisches Schloss aktiviert, bis alle Bewegungen stillstehen.
  • Lichtgitter mit Muting: Lichtgitter überwachen Zugangsöffnungen. Muting ermöglicht es, dass Werkstücke das Lichtgitter durchqueren, ohne einen Stopp auszulösen – aber nur unter definierten Bedingungen (Förderband läuft, Werkstück erkannt). Ein Handdurchgriff löst sofort den Stopp aus.
  • Sichere Geschwindigkeit: Bei Robotern und Achsen wird die Geschwindigkeit permanent überwacht. Überschreitet die Bewegung den sicheren Wert, erfolgt ein Stopp. Dies ist essenziell für Handbetrieb oder reduzierte Geschwindigkeiten während Einrichtarbeiten.
  • Zwei-Hand-Steuerung: Für Pressen und gefährliche Maschinen: Beide Hände des Bedieners müssen gleichzeitig zwei Taster drücken, damit die Maschine startet. Dies verhindert, dass die Hände im Gefahrenbereich sind.

Testing und Validation

Safety-Code darf nicht einfach "funktionieren" – er muss nachweislich sicher sein. Jede Sicherheitsfunktion wird gezielt getestet:

Testszenarien für Safety-Funktionen:

  • Auslösung bei korrekter Bedingung (z.B. Not-Aus drücken → Anlage stoppt)
  • Keine Auslösung bei normalem Betrieb (False Positive Test)
  • Verhalten bei Sensorfehler (z.B. Kurzschluss, Leitungsbruch)
  • Verhalten bei unerwarteten Zuständen (z.B. gleichzeitiges Öffnen mehrerer Türen)
  • Quittierung und Wiederanlauf nur unter korrekten Bedingungen

Diese Tests werden dokumentiert und sind Teil der technischen Dokumentation, die bei CE-Konformitätsbewertungen vorgelegt werden muss.

Normen für spezielle Anwendungen

Neben den allgemeinen Safety-Normen gibt es branchenspezifische Richtlinien.

Automotive-Standards (VASS, Integra, TMO)

In der Automobilindustrie gelten zusätzliche Konzernstandards:

VW Integra (VW-Lastenheft)
  • Strenge Vorgaben für Anlagenverfügbarkeit und Wartbarkeit
  • Spezifische Sicherheitskonzepte für Roboterzellen und Transfer-Linien
  • Dokumentationsanforderungen und FMEA-Prozesse
Mercedes VASS
  • Fokus auf Leistung, Taktzeit und Prozessstabilität
  • Harmonisierte Bedienkonzepte und HMI-Guidelines
  • Detaillierte Sicherheitsanforderungen für Mensch-Maschine-Interaktion
BMW TMO
  • Ergonomie und Arbeitssicherheit als zentrale Themen
  • Vorgaben für Wartungszugänge und Instandhaltungskonzepte
  • Strikte Anforderungen an Sicherheitsabstände und Schutzeinrichtungen

Masterwerk entwickelt seit Jahren Anlagen für VW, Mercedes, BMW und Audi – entsprechend tief ist unsere Kenntnis dieser Standards.

CE-Konformität und Maschinenrichtlinie 2006/42/EG

Die CE-Kennzeichnung ist Voraussetzung für das Inverkehrbringen von Maschinen im europäischen Wirtschaftsraum. Die Maschinenrichtlinie fordert:

  • Risikobeurteilung nach ISO 12100
  • Technische Dokumentation mit Betriebsanleitung
  • Konformitätserklärung des Herstellers
  • Einhaltung aller harmonisierten Normen (ISO 13849, ISO 10218, etc.)

Die SPS-Programmierung ist ein zentraler Teil der Konformitätsbewertung. Fehlerhafte Safety-Logik kann die CE-Konformität gefährden.

DGUV: Berufsgenossenschaftliche Vorschriften

In Deutschland sind zusätzlich die Vorschriften der Deutschen Gesetzlichen Unfallversicherung (DGUV) relevant, insbesondere DGUV Vorschrift 3 (früher BGV A3) für elektrische Anlagen. Diese fordern regelmäßige Prüfungen, Wartung und fachgerechte Instandhaltung – auch von Sicherheitseinrichtungen.

Häufige Fehler in der Safety-Programmierung

Aus über 15 Jahren Projekterfahrung kennen wir die typischen Stolpersteine:

Unzureichende Risikobeurteilung

Ohne fundierte Risikoanalyse fehlt die Grundlage für alle Safety-Maßnahmen. Häufig werden Gefährdungen übersehen oder falsch bewertet.

Falsche PL/SIL-Einstufung

Eine zu niedrige Einstufung gefährdet Menschen, eine zu hohe treibt die Kosten unnötig in die Höhe. Die korrekte Berechnung nach ISO 13849 oder IEC 62061 ist entscheidend.

Unsaubere Trennung Safety/Non-Safety

Vermischung von sicherheitsgerichtetem und normalem Code führt zu Wartungsproblemen und kann die Zertifizierung gefährden.

Fehlende Testabdeckung

Nicht alle Fehlerfälle werden getestet. Im Ernstfall reagiert die Sicherheitsfunktion nicht wie erwartet.

Dokumentationslücken

Fehlende oder unvollständige Dokumentation macht Audits und Wartung zum Alptraum. Bei Änderungen ist nicht nachvollziehbar, warum bestimmte Lösungen gewählt wurden.

Nachlässigkeit bei Wartung

Safety-Funktionen müssen regelmäßig getestet werden. Defekte Not-Aus-Taster oder verschmutzte Lichtgitter werden übersehen – bis es zu spät ist.

Masterwerk Safety-Engineering

Unser Ansatz für sichere Automatisierungslösungen kombiniert tiefe Normkenntnis mit praktischer Erfahrung aus hunderten Projekten.

Unser Vorgehen

1. Risikobeurteilung & Safety-Konzept

Gemeinsam mit Ihnen analysieren wir alle Gefährdungen, bewerten Risiken nach ISO 12100 und entwickeln ein maßgeschneidertes Safety-Konzept. Das Ergebnis: klare Anforderungen an PL/SIL, Kategorien und Sicherheitsfunktionen.

2. Hardware-Auswahl & Architektur

Basierend auf dem Safety-Konzept wählen wir die optimale Steuerungstechnik: Siemens S7-1500F für Standard-Anwendungen, Beckhoff TwinSAFE für komplexe Motion-Control oder Allen-Bradley GuardLogix für nordamerikanische Projekte. Die Peripherie (Sensoren, Schütze, Ventile) wird normgerecht dimensioniert.

3. Strukturierte Programmierung

Unser Safety-Code folgt bewährten Design-Patterns: klare Zustandsautomaten, wiederverwendbare Funktionsbausteine, strikte Trennung von Sicherheits- und Standardlogik. Jede Zeile Code ist nachvollziehbar und wartbar.

4. Systematische Verifikation

Jede Sicherheitsfunktion durchläuft umfangreiche Tests: positive Tests (Funktion löst bei Bedarf aus), negative Tests (keine False Positives), Fehlertests (Verhalten bei Sensorfehler). Die Ergebnisse werden dokumentiert.

5. Dokumentation & Übergabe

Sie erhalten eine vollständige technische Dokumentation: Safety-Konzept, Schaltpläne, Programmdokumentation, Testprotokolle und Betriebsanleitung. Alles, was für CE-Konformität und Wartung erforderlich ist.

Ihre Vorteile

Rechtssicherheit

Unsere Lösungen erfüllen alle relevanten Normen und schaffen die Basis für CE-Konformität.

Verfügbarkeit

Sicherheit darf Produktivität nicht blockieren. Wir entwickeln intelligente Lösungen, die schnelle Zykluszeiten ermöglichen.

Zukunftssicherheit

Modularer, wartbarer Code erleichtert spätere Anpassungen und Erweiterungen.

Erfahrung

Über 15 Jahre Projekterfahrung in Automotive, Halbleiter und Lebensmittelindustrie – wir kennen branchenspezifische Anforderungen.

Von der Theorie zur sicheren Anlage

Safety-Normen sind komplex, aber unverzichtbar. Die richtige Umsetzung schützt Menschen, vermeidet Haftungsrisiken und ermöglicht gleichzeitig effiziente Produktion. Masterwerk verbindet fundierte Normkenntnis mit praktischer Umsetzungsstärke – vom initialen Safety-Konzept bis zur CE-konformen Inbetriebnahme.

Ob Neuanlage mit kompletter Risikobeurteilung, Modernisierung bestehender Sicherheitstechnik oder Support bei Audits und Abnahmen – unsere Safety-Spezialisten stehen Ihnen zur Seite.

FAQs – Safety-Programmierung

1. Was ist der Unterschied zwischen PL und SIL?

Performance Level (PL) nach ISO 13849 und Safety Integrity Level (SIL) nach IEC 61508 sind zwei verschiedene Ansätze zur Bewertung von Sicherheitsfunktionen. PL wird hauptsächlich im Maschinenbau verwendet und basiert auf Kategorien sowie deterministischen Ausfallraten. SIL kommt aus der Prozessindustrie und betrachtet probabilistische Ausfallwahrscheinlichkeiten. Die Levels sind grob vergleichbar: PL d entspricht etwa SIL 2, PL e etwa SIL 3. Masterwerk wendet je nach Branche und Kundenanforderung die passende Norm an.

2. Wie hoch sind die Kosten für Safety-Programmierung?

Die Kosten hängen stark von der Komplexität der Anlage, dem erforderlichen PL/SIL-Level und dem Umfang der Dokumentation ab. Eine einfache Schutztürüberwachung mit Not-Aus (PL d) kann mit wenigen Tausend Euro umgesetzt werden. Komplexe Roboterzellen mit mehreren Sicherheitszonen, Muting-Funktionen und umfangreicher Risikobeurteilung liegen im mittleren fünfstelligen Bereich. Wichtig: Safety-Investitionen zahlen sich durch Haftungssicherheit und Vermeidung von Unfällen mehrfach aus.

3. Muss bestehende Altanlagen nachgerüstet werden?

Grundsätzlich gilt: Bestandsschutz. Anlagen, die bei Inbetriebnahme den damaligen Normen entsprachen, müssen nicht nachgerüstet werden. Ausnahmen: wesentliche Änderungen (z.B. neue Roboter, Funktionserweiterungen) oder konkrete Gefährdungen. Bei jedem Umbau empfiehlt sich jedoch eine Risikobeurteilung. Oft lassen sich mit überschaubarem Aufwand deutliche Sicherheitsverbesserungen erzielen – und das schützt sowohl Mitarbeiter als auch Betreiber vor Haftungsrisiken.

4. Wie lange dauert die Entwicklung einer Safety-Lösung?

Die Projektdauer variiert stark. Eine einfache Safety-SPS-Erweiterung ist in 1-2 Wochen umgesetzt. Eine komplette Roboterzelle mit Risikobeurteilung, Safety-Konzept, Programmierung, Test und Dokumentation benötigt 4-8 Wochen. Großanlagen mit mehreren Sicherheitszonen, komplexer Peripherie und umfangreichen Tests können 3-6 Monate in Anspruch nehmen. Wir erstellen für Ihr Projekt einen realistischen Zeitplan mit klaren Meilensteinen.

5. Welche Safety-SPS ist die beste?

Es gibt keine universell beste Plattform. Siemens S7-1500F ist Marktführer mit breiter Akzeptanz und umfangreichem Know-how-Pool – ideal für die meisten Anwendungen. Beckhoff TwinSAFE glänzt bei Motion-Control und bietet höchste Flexibilität – perfekt für anspruchsvolle Handling-Systeme. Allen-Bradley GuardLogix ist in Nordamerika Standard. Wir beraten herstellerunabhängig und wählen die Plattform, die zu Ihrer Anlage, Ihrem Team und Ihrer Infrastruktur passt.

6. Was passiert bei einem Audit oder einer Werksabnahme?

Bei Audits (z.B. durch TÜV, Berufsgenossenschaft oder Kundenprüfer) wird die gesamte Sicherheitskette kontrolliert: Risikobeurteilung, Safety-Konzept, Umsetzung in Hardware und Software, Dokumentation, Testprotokolle. Eine gründliche Vorbereitung ist entscheidend. Masterwerk erstellt alle erforderlichen Dokumente audit-sicher und begleitet Sie bei Bedarf während der Abnahme. Unsere Lösungen bestehen regelmäßig TÜV-Prüfungen und Kundenaudits bei Premium-OEMs.

Masterwerk | Copyright 2025. All Rights Reserved.
ImpressumDatenschutz

Drücke Enter zum Suchen oder Esc zum Schließen.

You are using an outdated browser. The website may not be displayed correctly.