Sicherheitsfunktionen am Kran – Endschalter, Überlastbegrenzung

Endschalter und Endabschaltfunktionen begrenzen und sichern Bewegungen von Maschinen und Anlagen. Sie dienen dazu, definierte Endlagen (Hublimit, Fahrwege) zuverlässig zu erkennen und Bewegungen kontrolliert oder zwangsweise zu stoppen, bevor Gefährdungen, Kollisionen oder Schäden auftreten.

• Hubwerke (oberes/unteres Hublimit, zweistufig: Betriebsendschalter und Notendschalter/Überhubschutz)

• Lineare Achsen und Portale (Vermeidung von Anschlägen; Referenz- und Soft-Endlagen)

• Drehachsen (mechanische Anschläge mit Endlagenerkennung)

• Förder- und Fahrwerke (Pufferzonen, Gleis- bzw. Bahn-Enden)

• Betriebsendschaltern (vorlaufende, wiederkehrende Abschaltung zur normalen Positionierung) und

• sicherheitsgerichteten Endabschaltungen (redundante, fehlersichere Abschaltung bei Überschreitung des Betriebsbereichs)

• unterschieden. Zusätzlich kommen softwarebasierte „Soft Limits“ in Antriebscontrollern zum Einsatz, die die Hardware-Endabschaltung nicht ersetzen, sondern ergänzen.

• Kategorien B/1: einfache Architektur, nur für geringe Risiken geeignet.

• Kategorie 2: mit regelmäßiger Prüfung; geeignet für mittlere Risiken.

• Kategorie 3: redundante Kanäle mit Diagnose (DCavg) zur Fehlererkennung; Toleranz gegen Einzelfehler.

• Kategorie 4: zusätzlich hohe Fehlerbeherrschung und Diagnosetiefe; Toleranz gegen Einzelfehler mit periodischer Prüfung.

Nach EN ISO 13849 sind u. a. MTTFd der Kanäle, DCavg (Diagnosedeckung) und CCF (Common Cause Failure) nachzuweisen. Nach IEC 62061 sind PFHd, SFF/DC und HFT relevant. In der Praxis wird die Endabschaltung häufig als zweikanalige Kette umgesetzt, die einen sicheren Antriebsstopp bewirkt (z. B. STO in redundanter Ausführung), ggf. mit vorgelagertem SS1 (kontrolliertes Abbremsen) und Übergang zu STO.

• Mechanische Endschalter: Rollenhebel, Stößel, Schwenkhebel, Nockenschalter; schnappende Kontakte (positiv öffnend nach IEC 60947-5-1) für sicherheitsgerichtete Kanäle.

• Berührungslose Sensoren: induktiv (Metall), kapazitiv (Dielektrika), optisch (Lichtschranken), magnetisch (Reed, Hall). Berührungslose Sicherheitssensoren mit codiertem Betätiger reduzieren Manipulationsrisiken.

• Weg-/Positionssysteme: Encoder, Linearmaßstäbe; für Soft Limits und Plausibilitätsdiagnose.

• Aktorik zur Endabschaltung: sichere Antriebsfunktionen (STO, SS1/SS2), Sicherheitsrelais, Sicherheits-SPS; bei Hydraulik/Pneumatik zusätzlich Sperrventile, Druckentlastung.

• Schnittstellen: Drahtgebunden zweikanalig, sicherheitsgerichtete Feldbusse (PROFIsafe, CIP Safety, FSoE) für Diagnose und Parametrierung.

Für Hubwerke sind zweistufige Systeme Stand der Technik: ein Betriebsendschalter für Vorabschaltung (Reduktion der Geschwindigkeit) und ein unabhängiger, zwangsöffnender Notendschalter zur Endabschaltung.

• Mechanisch: Verschleiß, Verstellung, Betätigerbruch, Verklemmen, Federbruch.

• Elektrisch: Kontaktverschweißung, Kontaktprellen, Leitungsbruch/Querschluss, Versorgungsausfall.

• Sensorisch: Drift (Temperatur), Blindheit durch Verschmutzung, Demagnetisierung, interne Elektronikfehler.

• Systemisch: Falsche Parametrierung von Soft Limits, EMC-Beeinflussung, gemeinsame Ursache (CCF) durch Vibration, Feuchtigkeit.

• Redundanz mit Diversität (mechanisch + induktiv), zeitliche Diskrepanzüberwachung.

• Querschluss- und Erdschlussüberwachung, zyklische Prüfimpulse (OSSD-artig).

• Plausibilitätsprüfung mit Weg-/Geschwindigkeitsmessung (z. B. Endschalterwechsel nur zulässig, wenn Position plausibel).

• Zustandsüberwachung: Schaltspiele zählen, Betätigungskräfte/Ströme trendieren, Temperatur/Feuchte erfassen.

• Schutz gegen Manipulation: kodierte Betätiger, verdeckte Montage, Verriegelung der Justageschrauben, Siegel.

• Mechanische Justage: Betätigeranschlag definieren, Hysterese berücksichtigen, ausreichende Überhubreserve einstellen.

• Funktionstest bei reduzierter Geschwindigkeit: Auslösen des Betriebsendschalters (Vorabschaltung), Messen von Brems- und Nachlaufweg, anschließendes Auslösen des Notendschalters. Der geforderte Sicherheitsabstand s ergibt sich aus s = v·t + s_B (v: Annäherungsgeschwindigkeit, t: Summe aus Reaktions- und Ansprechzeiten, s_B: Bremsweg); s muss kleiner als der verbleibende Restweg bis zum mechanischen Anschlag sein.

• Elektrische Prüfung: Kanaltrennung, Querschlusserkennung, Diskrepanzzeiten, sichere Abschaltpfade (bis STO) verifizieren.

• Diagnosetests: Erzwungene Fehler (Leitungsunterbrechung, Querschluss-Simulation), Auswertung in Sicherheitssteuerung prüfen.

• Wiederkehrende Prüfungen: Intervalle gemäß Sicherheitsnachweis (Proof Test Interval) und Herstellervorgaben; Prüfumfang und -ergebnisse protokollieren.

• Einstellschutz: Justagepunkte plombieren, Werte in der Steuerung schreibgeschützt hinterlegen; Änderungsmanagement.

• Schutzarten und Robustheit: IP-Schutz nach EN/IEC 60529 entsprechend Staub/Feuchte, Temperaturbereich, Schock/Vibration (z. B. EN 60068), UV/Ölbeständigkeit, korrosive Atmosphären.

• EMV: Schirmung, Erdung, Leitungsführung getrennt von Leistungskabeln; EMV-Prüfung der Sicherheitsfunktionen.

• Mechanische Integration: formschlüssige Betätigung, definierte Nocken, spielfreie Befestigung; Schutz gegen Fehlausrichtung.

• Antriebsintegration: Nutzung sicherer Antriebsfunktionen (STO, SS1) mit geeigneter Kategorie/PL/SIL; sichere Parameterverwaltung; Notlaufkonzepte.

• Bedienung und HMI: klare Statusanzeige der Endschalter, Meldungen bei Vorabschaltung/Fehler, geführte Testprozeduren.

• Instandhaltung: gute Zugänglichkeit, Steckverbinder mit Verriegelung (z. B. M12), eindeutige Kennzeichnung, Ersatzteilkonzept.

• Sicherheitsanforderungsspezifikation (SRS) für Endabschaltfunktionen inkl. PLr/SILr, Reaktionszeiten, Grenzwerte.

• Risikobeurteilung und Auswahlbegründung (Hardware-Endschalter, Soft Limits, Redundanz).

• FMEA/FMEDA der Endschalterkette (Sensorik, Logik, Aktorik) mit MTTFd/PFHd, DCavg/SFF, CCF-Nachweis.

• Architekturdokumentation (Kategorien, HFT), Schaltpläne, Kanaltrennung, Erdung/EMV-Maßnahmen.

• Validierungs- und Prüfplan inkl. Abnahmeprotokolle, Proof-Test-Intervalle, Checklisten, Messwerte (Brems- und Nachlaufwege).

• Parametrierungs- und Einstellwerte (Schaltpunkte, Diskrepanzzeiten, Geschwindigkeitsgrenzen), Änderungs- und Freigabeverlauf.

• Wartungs- und Inspektionspläne, Ersatzteillisten, Schulungsnachweise.

• Konformitätsnachweise (z. B. Einbindung in CE-Verfahren), Herstellererklärungen der Komponenten, ggf. Zertifikate (TÜV/CB).

e LMB schließt eine Gefährdungslücke, die durch variierende Ausladung, Auslegerlänge, Neigung, Wind und elastische Durchbiegung entsteht. Neben dem Primärziel „Vermeidung von Verlust der Standsicherheit“ erhöht sie die Strukturlebensdauer durch Vermeidung von Überlastzyklen und unterstützt die betriebliche Compliance.

Sorgfältig ausgelegte und validierte Endschalter- und Endabschaltfunktionen sind zentrale Bausteine der technischen Sicherheit. Sie verbinden robuste Sensorik mit geprüfter Abschaltlogik und klaren, auditfesten Nachweisen – und schaffen so die Voraussetzung für wiederholbar sichere Bewegungsbegrenzungen im gesamten Lebenszyklus der Maschine.

• Mobil-, Turm-, Lade- und Brückenkrane sowie Offshore- und Schwimmkrane.

• Teleskoplader, Rettungs- und Hubarbeitsbühnen mit Lastfunktion.

• Sondermaschinen mit schwenkenden Auslegern (z. B. Bohrgeräte), bei denen das Kippmoment maßgebend ist.

Die LMB schließt eine Gefährdungslücke, die durch variierende Ausladung, Auslegerlänge, Neigung, Wind und elastische Durchbiegung entsteht. Neben dem Primärziel „Vermeidung von Verlust der Standsicherheit“ erhöht sie die Strukturlebensdauer durch Vermeidung von Überlastzyklen und unterstützt die betriebliche Compliance.

• Produktspezifische Krannormen: EN 13000 (Fahrzeugkrane), EN 14439 (Turmkrane), EN 12999 (Ladekrane), EN 15011 (Brücken- und Portalkrane). Diese fordern RCI/RCL-Funktionen, Warn- und Abschaltgrenzen, Konfigurationsmanagement und Manipulationssicherheit.

• Allgemeine Kran-Grundlagennormen: EN 13001-Reihe (Auslegung), EN 12077-2 (Steuerungen von Kranen – Sicherheitsanforderungen).

• Funktionale Sicherheit: ISO 13849-1/-2 (PL-basiert, Kategorien), IEC 62061 (SIL-basiert) sowie ISO 12100 (Risikobeurteilung).

• Ergänzend: ISO 10245-Reihe (Sicherheitsausrüstung an Kranen), EN 60204-32 (Elektrische Ausrüstung von Kranen), EMV-Standards (z. B. EN 61000-6-2/-6-4).

• Rechtlicher Rahmen: EU-Maschinenrichtlinie 2006/42/EG bzw. Maschinenverordnung (EU) 2023/1230; BetrSichV und TRBS in Deutschland; DGUV-Regelwerk (z. B. DGUV Vorschriften 52/54).

Typische normative Anforderungen umfassen zweistufige Reaktionen (Vorwarnung bei ca. 90–95 % der Nennlast; Bewegungsabschaltung für „gefährliche Bewegungen“ bei 100–110 % der zulässigen Last, abhängig von Norm und Einsatzart), Dokumentation der Kennfelder und die Unzulässigkeit von nichtautorisierten Überbrückungen.

• Ziel-Performance: häufig PL d (Kat. 3) oder SIL 2; in besonders kritischen Anwendungen PL e/SIL 3. Maßgebend sind Schwere des Schadens (S2), Häufigkeit (F2) und Möglichkeit der Vermeidung (P1/P2).

• Architektur: redundante Sensorik/Pfade (z. B. 1oo2 für Messgrößen, 2-Kanal-Logik), Diagnoseabdeckung (DCavg) ≥ 90 % für PL d, Watchdog, zyklische Plausibilitätsprüfungen, CRC-gesicherte Kommunikation (z. B. CANopen Safety/PROFIsafe).

• Sicherheitsfunktionen: sicher begrenzte Bewegungen (SLS), sichere Geschwindigkeitsreduktion vor Cut-off, sichere Stoppfunktionen für Heben, Ausfahren und Absenken der Stützkraft; definierte „aus dem Gefahrenbereich“-Manöver bleiben zulässig (z. B. Einziehen/Teleskopieren ein, Senken).

• Reaktionszeiten: begrenzt durch Brems- und Hydraulikdynamik; nachweislich so kurz, dass die Überschreitung oberhalb der normativen Toleranz vermieden wird.

• Manipulationssicherheit: zugriffsgeschützte Konfigurationsparameter (Auslegerkonfiguration, Ballast, Abstützungszustand, Seilstrangzahl), Ereignisprotokollierung und Versiegelung.

• Kraft-/Lastmessung: Hydraulikdrucksensoren an Hubzylindern (indirekte Lastbestimmung via Kraftgleichgewicht).

• Seilzug-/Umlenkrollenmessbolzen (Schersensorik), Todpunkt-Seilendlastzellen.

• Dehnungsmessstreifen an Strukturteilen (Auslegermantel, Bolzen).

• Auslegerlängenmessung über Seilauszuggeber mit Inkremental-/Absolut-Encoder.

• Neigungssensoren (MEMS) für Auslegerwinkel und Fahrgestellneigung.

• Auslegerknickwinkel-/Teleskopstufen-Sensorik, Drehwerkswinkelgeber (Sperrbereiche).

• Windmessung (Anemometer), Temperatur.

• Abstützungszustand (Sensorik an Abstützholmen, Druck-/Wegmessung).

• Steuergerät mit Sicherheitsprozessoren, getrennten Versorgungspfaden.

• Bedieneinheit mit optisch/akustischer Warnung und Anzeige der zulässigen Lasten, Ausladung, Auslegerkonfiguration.

• Abschaltventile, sichere Ausgangsrelais, drehzahlbegrenzte Ansteuerungen.

Die Fusionslogik verknüpft Messgrößen mit Gerätekennfeldern (Load Charts) und Korrekturen für elastische Durchbiegung, Seildehnung, Temperatur und Wind.

• Sensorik: Nullpunktdrift (thermisch), Hysterese, Offset infolge Druckspitzen, Ermüdung an Messbolzen, Kabelbruch, lose Steckverbindungen, Abschirmungsfehler/EMI.

• Mechanik: Auslegerdurchbiegung und -kriechen, Seildehnung, Lager- und Bolzenspiel, Reibungsänderungen in Hydraulik.

• Software/Logik: fehlerhafte Kennfelder, Overflow/Quantisierung, Zeitstempel-Fehler, Verlust der Parametrierung.

• Kommunikation/Versorgung: Busarbitrierung, Latenzen, Unterspannung, Erdschleifen.

• Redundanz und Querplausibilisierung (z. B. Druck vs. Seilkraft; Winkel vs. Längenänderung).

• Online-Selbsttests, zyklische CRC-Prüfungen, Watchdog-Überwachung.

• Temperaturkompensation, Drift-Tracking bei bekannter Last (Leerhaken-Referenz).

• Fehlerreaktionen mit abgestufter Degradation (Warnung, Betriebsartenwechsel, sichere Abschaltung ausgewählter Bewegungen).

• Werkskalibrierung: mehrpunktige Kennlinienaufnahme über den gesamten Arbeitsbereich (Kombinationen aus Auslegerlänge/-winkel/Seilstrangzahl), Rückführung auf rückführbare Gewichte/Messnormale.

• Inbetriebnahmeprüfung: Funktionsnachweis der Warn- und Abschaltgrenzen, Reaktionszeitmessung, Parametrierung der Konfiguration (Stützweite, Ballast, Auslegerstufen) mit Dokumentation.

• Wiederkehrende Prüfungen: Sicht- und Funktionsprüfung täglich; periodische Prüfungen durch befähigte Personen (z. B. jährlich gemäß BetrSichV/DGUV), inklusive Lastprobe (typisch 1,0–1,1-fache Nennlast) und Kennfeldstichproben.

• Änderungs- und Reparaturnachweis: Re-Kalibrierung nach Tausch sicherheitsrelevanter Komponenten (Sensorik, Steuergerät, Ventile) oder Strukturreparaturen.

• Softwaretests: formale Verifikation sicherheitsbezogener Anforderungen, Hardware-in-the-Loop, Fehlersimulationen (Sensorbruch, stuck-at, Kommunikationsverlust).

Alle Prüfungen sind im Prüfbuch/Log digital zu dokumentieren, inkl. Versionsstand der Software und der Parametrierung.

• Klima/Mechanik: Temperaturbereiche (typ. −20 bis +60 °C, erweitert für Offshore), Schock/Vibration (IEC 60068), Schutzarten (min. IP65 im Außenbereich).

• EMV/Elektrik: robuste Massekonzepte, Schirmung, Überspannungsschutz; Konformität mit EMV-Normen und Störaussendungsgrenzen.

• Hydraulik: saubere Integration von Abschaltventilen, Fail-safe-Positionen, kontrolliertes Abbremsen zur Vermeidung dynamischer Überschwinger.

• Mensch-Maschine-Schnittstelle: eindeutige Anzeige von Lastreserve, Ausladung und Betriebsart; akustische Eskalation; verständliche Fehlercodes.

• Integration in Gesamtsysteme: sichere Kommunikationsprotokolle, Sperrbereichsüberwachung, Wind- und Neigungseinfluss; Logging/Telematik zur Nachverfolgbarkeit.

• Besondere Bereiche: ATEX/IECEx-Anforderungen bei Ex-Zonen; Korrosionsschutz und Dichtkonzepte für Offshore.

• Betriebsprozesse: tägliche Funktionskontrollen (Warn-/Abschaltprobe ohne Last), korrekte Eingabe der Konfiguration (Abstützung, Ballast, Seilstränge), Beachtung der Lasttabelle und Windgrenzen.

• Schulung: qualifizierte Einweisung in Anzeigen, Warnstufen, zulässige Manöver bei Abschaltung (nur entlastende Bewegungen), Verhalten bei Fehlermeldungen.

• Override-Management: Überbrückungen sind nur in definierten Sonderfällen mit autorisiertem Schlüssel/Code, zeitlicher Begrenzung und Ereignisprotokoll zulässig; Risikoanalyse und Freigabeprozess sind verbindlich.

• Instandhaltung: fristgerechte Prüfungen gemäß BetrSichV/TRBS und DGUV, Pflege des Prüfbuchs, rechtzeitiger Austausch verschleißanfälliger Sensorik/Steckverbinder, Software- und Parametermanagement (Change Control).

• Monitoring: Nutzung von Ereignis-Logs/Telematik zur Erkennung von wiederkehrenden Grenzwertnähen, Fehlbedienungen oder driftenden Sensoren; daraus abgeleitet zustandsorientierte Wartung.

Durch die Kombination aus normgerechter Auslegung, robuster Messtechnik, systematischer Diagnostik und disziplinierter Betreiberpraxis erfüllt die Überlastbegrenzung ihre sicherheitskritische Funktion als letzte technische Schutzmaßnahme gegen Verlust der Standsicherheit und strukturelle Überlastung.

Die Not‑Halt‑Funktion dient der schnellstmöglichen Abwendung oder Minderung von Gefährdungen durch das Einleiten eines sicheren Stillstands. Sie ergänzt primäre Schutzeinrichtungen (z. B. trennende Schutze, AOPD) und ersetzt diese nicht. Gemäß IEC 60204‑1 erfolgt der Not‑Halt als Stop‑Kategorie 0 (sofortige Energieabschaltung, auslaufender Stopp) oder Kategorie 1 (geregelter Stopp mit anschließender Energieabschaltung); Kategorie 2 ist für Not‑Halt unzulässig. Die Auslösung erfolgt über verrastende, rote Pilztaster auf gelbem Hintergrund; das Rückstellen ist nur manuell und bewirkt keinen Wiederanlauf, sondern erlaubt lediglich eine gesonderte Startfreigabe.

Kernanforderungen: Verrastung mit Zwangsöffnung, gelber Hintergrund, eindeutige Erreichbarkeit, manuelles Rückstellen, definierter Stopp (Kat. 0/1), Vermeidung unbeabsichtigten Wiederanlaufs, Diagnose und Fehlerbeherrschung gemäß gefordertem PL/SIL.

• EN ISO 13850: Auslegung, Gestalt, Funktion und Rückstellprinzip der Not‑Halt‑Funktion.

• IEC/EN 60204‑1: elektrische Ausführung, Stop‑Kategorien, Verdrahtung, EMV.

• EN ISO 13849‑1/‑2 bzw. IEC 62061: sicherheitsbezogene Teile von Steuerungen (SRP/CS), Nachweis von PL bzw. SIL.

• EN 60947‑5‑5 und EN 60947‑5‑1 (Anhang K): Geräteanforderungen an Not‑Halt‑Taster, Zwangsöffnung (positives Trennen).

• ISO 14119: Verriegelungen/Schutztürüberwachung in den Sicherheitskreis integriert.

• EU‑Maschinenrichtlinie 2006/42/EG bzw. EU‑Maschinenverordnung 2023/1230: grundlegende Sicherheits‑ und Gesundheitsschutzanforderungen.

• Deutschland: BetrSichV, ArbSchG, DGUV‑Regelwerk (Prüfpflichten, Unterweisung).

• EN ISO 13849‑1: PFHd‑Bereiche

• PL a: ≥1E‑5 bis <1E‑4 h⁻¹

• PL b: ≥3E‑6 bis <1E‑5 h⁻¹

• PL c: ≥1E‑6 bis <3E‑6 h⁻¹

• PL d: ≥1E‑7 bis <1E‑6 h⁻¹

• PL e: ≥1E‑8 bis <1E‑7 h⁻¹

• Übliche Architekturen: Kategorie 3 oder 4 mit DCavg ≥90 % und CCF‑Bewertung ≥65 Punkte.

• SIL 1: ≥1E‑6 bis <1E‑5 h⁻¹

• SIL 2: ≥1E‑7 bis <1E‑6 h⁻¹

• SIL 3: ≥1E‑8 bis <1E‑7 h⁻¹

• Not‑Halt‑Taster:

• Roter Pilzknopf, gelber Hintergrund, Verrastung, Dreh‑/Zugentriegelung.

• Zwangsöffnende, positiv geführte Kontakte; zweikanalige Signalbildung.

• Mechanische Robustheit (Schutzart z. B. IP65/IP67), klare Kennzeichnung.

• Zweikanalige Auswertung mit Querschluss‑ und Erdschlussüberwachung, Diskrepanzzeitüberwachung.

• EDM‑Rückführung über zwangsgeführte Hilfskontakte der Leistungsschütze.

• Netzwerkfähige sichere Kommunikation (z. B. PROFIsafe, CIP Safety, FSoE) für zonenweise Abschaltung und Diagnose.

• Redundante Schütze/Kontaktoren (K1/K2) mit Spiegelkontakten (EN 60947‑4‑1).

• Energieabschaltung der gefährdenden Bewegungen/Antriebe gemäß definierter Stop‑Kategorie.

• Türschalter mit Zwangsbetätigung oder codierte, manipulationssichere Systeme (ISO 14119, Typ 4 RFID).

• Bei Nachlaufgefahren: Verriegelung mit Zuhaltung (safe locking) und Freigabe erst nach Stillstandsdetektion.

• Zonenbildung, um unnötige Produktionsstillstände zu vermeiden.

• Saubere Trennung von Sicherheits‑ und Betriebskreisen, definierte Rücksetzlogik (Reset nur bei sicherem Zustand, kein Autostart).

• Kontaktverschweißung von Schützen; gebrochene/geklebte Taster; Kabelbruch/Querschluss; fehlerhafte Erdung; fehlende EDM‑Rückmeldung; Diagnosezeitüberschreitung; EMV‑Einkopplung; Manipulation/Überbrückung.

• Redundanz und Überwachung (Kat. 3/4), geschirmte Leitungen, zwangsgeführte Kontakte, kurze Prüfintervalle, CCF‑Maßnahmen (getrennte Verlegung, unterschiedliche Technologien).

• Funktionsprüfungen:Vor Schichtbeginn jeden Not‑Halt betätigen, korrektes Abschalten und Melden verifizieren.

• Rücksetzen nur nach Gefahrenbeseitigung; anschließende Startfreigabe separat.

• Periodische Prüfungen gemäß SRS (z. B. monatlich/vierteljährlich): Überprüfung der Querschlussüberwachung, EDM, Stoppkategorie, Stillstandsüberwachung, Verriegelungskräfte, Betätigungskräfte der Taster.

• Dokumentation aller Tests und Ereignisse (Audit‑Trail).

• Erreichbarkeit ohne Hindernisse, Sichtlinie zum Prozess; Montagehöhe typ. 0,8–1,6 m über Standfläche.

• Anbringen an Bedienpulten, Zugängen, Übergabestellen, Roboterzellen, Förderern; zusätzliche Seil‑Not‑Halt‑Systeme an langen Maschinenfronten.

• Eindeutige Kennzeichnung, Beleuchtung, Piktogramme; Vermeidung von Verwechslung mit anderen Tastern.

• Mobile Anwendungen: Not‑Halt auf Handbediengeräten; bei Einrichtbetrieb zusätzlich Zustimmtaster (dreistufig) mit angepasster Geschwindigkeitsreduzierung.

• Integration in Leitsysteme: sichere Zonenlogik, schnelle Diagnose (Ort des ausgelösten Tasters), kontrollierte Wiederanlaufsequenz.

• Gefährdungsbeurteilung und Festlegung von PLr/SILr; Aktualisierung bei Änderungen (MOC).

• Inbetriebnahme‑ und wiederkehrende Prüfungen durch befähigte Personen; Fristen gemäß BetrSichV/DGUV und Herstellervorgaben.

• Betriebsanweisung: klare Rücksetz‑ und Wiederanlaufprozedur; Festlegung, wer zurücksetzen darf (nur unterwiesene/autorisierten Personen).

• Schulung aller Beschäftigten:Zweck und richtige Anwendung des Not‑Halts; Grenzen der Funktion.

• Verhalten nach Auslösung (Anlagenzustand sichern, Meldung, Ursachenanalyse).

• Erkennen und Melden von Defekten/Manipulation.

Prüfprotokolle, Änderungsnachweise, Schulungsnachweise, Fehler‑ und Ereignislogs; Kennzahlen (MTBF, Auslösehäufigkeit) für kontinuierliche Verbesserung.

Durch die Kombination aus normgerechter Auslegung, hoher diagnostischer Abdeckung, ergonomischer Platzierung und gelebten Betreiberprozessen wird der Not‑Halt‑Sicherheitskreis robust, manipulationsresistent und audit‑sicher umgesetzt.

Erweiterte Sicherheitsfunktionen zielen auf eine nachweisbar vertrauenswürdige, widerstandsfähige und regulatorisch konforme Systemlandschaft über den gesamten Lebenszyklus. Sie verbinden technische Vertrauensanker mit kontinuierlicher Verifikation, adaptiver Abwehr und automatisierter Governance. Der Nutzen liegt in messbarer Risikoreduktion (proaktiv statt reaktiv), verkürzten Audit- und Zertifizierungszyklen („Compliance by Design“), höherer Verfügbarkeit unter Angriffen (Resilienz, Fail-operational) sowie geringeren Gesamtbetriebskosten durch Orchestrierung und Policy-Automatisierung.

Basisfunktionen (z. B. Härtung, Firewalls, Verschlüsselung in Ruhe/Transit, Benutzer- und Rechteverwaltung, Backup, grundlegendes Logging) schützen primär den Normalbetrieb und adressieren bekannte Bedrohungen. Erweiterte Funktionen gehen darüber hinaus: Sie schaffen hardwaregestütztes Vertrauen, sichern Lieferketten und Updates kryptografisch ab, erzwingen kontextsensitive Zugriffe (Zero Trust), erkennen Abweichungen in Echtzeit und koppeln Sicherheits- mit Sicherheitsfunktionen im Sinne geregelter Degradation. Entscheidend ist die lebenszyklusweite Integration in Architektur, CI/CD, Betrieb (SOC) und Safety-Engineering.

• 6.1 Vertrauenswürdige Ausführungsbasis (Secure/Measured Boot, Remote Attestation): Normbezug: NIST SP 800-193, IEC 62443-4-2, ISO/SAE 21434. Integration: TPM/TEE/HSM, Boot-Kette, Remote-Trust-Services.

• 6.2 Identitäts- und Schlüsselmanagement (PKI, Gerätezertifikate, Secret-Hygiene): Normbezug: ETSI EN 319 411/421, FIPS 140-3. Integration: IAM/CIAM, Zertifikatslebenszyklus, automatisiertes Provisioning.

• 6.3 Sichere Updates & Software-Lieferkette (Code Signing, SBOM, VEX): Normbezug: UN ECE R155/R156, NIST SP 800-218 (SSDF), SLSA. Integration: CI/CD, Update-Orchestrierung (OTA), Artefakt-Registry.

• 6.4 Laufzeitüberwachung und Anomalieerkennung (EDR/IDS/IPS, verhaltensbasiert): Normbezug: IEC 62443-3-3, ISO/IEC 27035. Integration: SIEM/SOAR, OT/IT-Telemetrie, Use-Case-Kataloge.

• 6.5 Zero Trust & Mikrosegmentierung (mTLS, Policy-as-Code, PDP/PEP): Normbezug: NIST SP 800-207, ISO/IEC 27001/27002. Integration: SDN/Service Mesh, Attribut-basierte Kontrolle, Föderation.

• 6.6 Resilienz, Fail-operational & Graceful Degradation (Safety-Security-Co-Design): Normbezug: IEC 61508, ISO 26262, EN 50129. Integration: Redundanz/Orchestrierung, Health-Monitoring, Watchdogs.

• 6.7 Schwachstellen-, Bedrohungs- und Offenlegungsmanagement (PSIRT, TI, VDP): Normbezug: ISO/IEC 30111, ISO/IEC 29147, CVE/CVSS. Integration: Asset-DB, Ticketing/CMDB, Patch- und Risiko-Backlog.

Mehrstufige Endanschläge kombinieren einen vorgelagerten Warnanschlag mit einem nachgelagerten Hauptanschlag, um Annäherungsbewegungen an Wegenden sicher, verschleißarm und normkonform zu beherrschen. Der Warnanschlag detektiert das Erreichen einer Vorwarnzone und initiiert eine definierte Reduktion der Geschwindigkeit (bzw. des Drehmoments), während der Hauptanschlag als ultima ratio die Bewegung sicher abschaltet und verbleibende kinetische Energie durch mechanische Energieabsorber oder definierte Anhalteprofile aufnimmt. Elektrische/elektronische Funktionen (z. B. Safe-Limited-Speed, STO) und mechanische Elemente (Puffer, Prallkörper) wirken dabei komplementär.

• Lineare Achsen von Werkzeugmaschinen, Portal- und Handlingsystemen

• Krane, Hubwerke, Förder- und Regalbediengeräte

• Verfahr- und Dreheinheiten mit großem Trägheitsmoment

• Hub-/Teleskopantriebe in Montage- und Prüfanlagen

Überall, wo unvermeidbare Wegenden, Toleranzen oder Lastschwankungen bestehen, senkt der Warnanschlag Lastspitzen und Verschleiß, der Hauptanschlag stellt die Restschutzfunktion sicher.

• ISO 12100: Risikobeurteilung als Grundlage für Funktionsumfang und Performance Level.

• IEC 60204-1: Elektrische Ausrüstung von Maschinen; Anforderungen an Endschalter und Verdrahtung.

• ISO 13849-1/-2 bzw. IEC 62061: Sicherheitsbezogene Teile von Steuerungen, PLr/SIL, Kategorien, DCavg, CCF.

• IEC 61800-5-2: Sichere Antriebsfunktionen (SLS, SS1, SS2, STO) für die Geschwindigkeitsreduktion und Abschaltung.

• ISO 14119 und IEC 60947-5-1: Auswahl und Ausführung von Schaltern/Sensoren mit Zwangsöffnung, Diagnosefähigkeit.

• Je nach Anwendung sind bereichsspezifische Normen (z. B. für Krane, Hubwerke, Roboter) ergänzend zu berücksichtigen.

• Warnstufe (Vorwarnzone): Erkennung durch vorgelagerte, toleranzkompensierte Sensorik (zwei Kanäle). Steuerung triggert ein sicheres Reduzieren der Geschwindigkeit (SLS) oder eine SS1-Rampe mit kontrollierter Bremsung. Setzpunkte sind anhand Anhalteweg, Reaktionszeit, Last und Umgebungsbedingungen zu verifizieren.

• Hauptstufe (Endzone): Zweiter, näher am Wegende positionierter Kanal erzwingt eine sichere Endabschaltung (STO) bzw. SS1/SS2 mit energiearmer Restbewegung. Mechanische Endanschläge/Puffer sind so ausgelegt, dass sie die Worst-Case-Energie aufnehmen und nachweislich standfest sind.

• Fallback: Versagt die Warnstufe, muss die Hauptstufe die Sicherheit weiterhin gewährleisten (verschärfte Anforderung an Energieaufnahme, aber ohne Gefährdung).

• Zwei räumlich getrennte, diversitäre Sensoren/Schalter (z. B. induktiv + elektromechanisch mit Zwangsöffnung), getrennte Leitungsführung, Testimpulse.

• Diskrepanzzeit- und Kreuzschlussüberwachung im Sicherheitsrelais/Safety-PLC; periodische Proof-Tests.

• Nachweis PLr/SIL über MTTFd, DCavg und CCF-Maßnahmen; Dokumentation im Sicherheitskonzept.

• Positions- und Toleranzanalyse (Temperatur, Bremsstreuung, Reaktionszeiten) zur Festlegung der Zonenbreiten.

• Mechanische Energieabsorber nach Herstellerdaten auf maximale kinetische Energie, Wiederholhäufigkeit und Restelastizität auslegen.

• Vermeidung von Umgehungen (Bypass, Justageverschiebung) durch formschlüssige Montage, Manipulationssicherheit und regelmäßige Funktionsprüfungen.

• Zustandsdiagnose (z. B. Voralarm bei frühzeitigem Eingriff der Warnstufe) zur präventiven Instandhaltung.

• Anti‑Kollision: Verhindert Zusammenstöße mit Personen, Fahrzeugen, Infrastruktur und untereinander. Fokus auf dynamischer Umgebung und reaktionszeitkritischem Verhalten.

• Zonenbegrenzung: Erzwingt räumliche Betriebsgrenzen, z. B. Sperrflächen, Geschwindigkeits‑ und Funktionszonen in Hallen und auf Werksgeländen.

• Geofencing: Digitale, kartenbasierte, oft polygonale Luft‑/Boden‑Grenzen mit Höhen‑/Tiefe‑Attributen, inkl. Verbots‑, Warn‑ und Korridorzonen; im Luftfahrtkontext zusätzlich regulatorisch verankert (Geo‑Awareness).

• AMR/AGV in der Intralogistik mit dynamischen Schutzfeldern, Übergangsbereichen (Mischverkehr), Docking‑Zonen, Fahrstuhlintegration.

• Bau‑ und Landmaschinen mit Umfeldwahrnehmung, Näherungsschutz zu Menschen und Gefahrbereichen (z. B. Kran‑Schwenkbereich).

• UAS (Drohnen) in Werksarealen, U‑Space/Kontrollzonen, kritische Infrastruktur; „Return‑to‑Home“ bei Randverletzung.

• ISO 12100: Risikobeurteilung und Risikominderung (Grundlage für PLr/SIL).

• ISO 13849‑1/‑2, IEC 62061, IEC 61508: Funktionale Sicherheit von Maschinen/Allgemein; Bestimmung PL/SIL, Architektur (Kat. 2/3/4), Validierung.

• ISO 13855: Sicherheitsabstände, Reaktionszeiten (Dimensionierung Schutzfelder).

• IEC 61496 (ESPE): Elektro‑sensitive Schutzeinrichtungen; relevant für Laserscanner/Light Curtains.

• ISO 3691‑4: Fahrerlose Fahrzeuge und ihre Systeme (AGV/AMR): SSM, SLS, Schutzfeldumschaltung, Not‑Halten.

• ISO 10218, ISO/TS 15066: Robotersicherheit (kollaborative Modi, Begrenzung Kräfte/Leistungen).

• ISO 16090 (Werkzeugmaschinen), ISO 21815 (Maschinenschnittstellen für Kollisionswarnung; sektorabhängig).

• EU‑VO (EU) 2019/945 und 2019/947: UAS‑Klassen, Geo‑Awareness/Remote ID in der Open‑Category; Spezifik‑/Zertifizierte Kategorie via SORA.

• EN 4709‑002/‑003 (UAS): Geo‑Awareness und Remote ID (Harmonisierung).

• Verordnung (EU) 2021/664 ff. (U‑Space): Anforderungen an Geofencing‑Dienste/Service‑Integration.

• VDA 5050 (FTS‑Flottenkommunikation), IEC 61511 (prozessnah, falls relevant), branchenspezifische Explosionsschutz‑ und Funknormen.

• Wahrnehmung: 2D/3D‑LiDAR (AOPDDR‑fähige sichere Scanner), Stereokameras/ToF, Radar (robust bei Staub/Regen), Ultraschall (Nahbereich), taktile Bumper für letzte Verteidigungslinie.

• Lokalisierung: GNSS/RTK (Outdoor), UWB‑Beacons, SLAM (LiDAR/Vision), Odometrie, IMU‑Fusion; Indoor häufig Marker‑ oder Beacon‑unterstützt.

• Kartografie und Zonenmodelle: metrische Karten (Grid, Vektor), semantische Layer (Verbots‑/SLS‑Zonen, Einbahnregeln), geodätische Polygone mit Höhenfenstern für UAS.

• Entscheidungslogik: Geschwindigkeits‑ und Abstandssteuerung (SSM), Schutzfeld‑Umschaltung nach Fahrzustand, vorausschauende Trajektorienprüfung, Regelverletzungsdetektion mit definierter Latenz.

• Aktorik‑Schnittstellen: STO/SS1/SS2, SLS/SDI/SSM, sichere Bremskreise, sichere Lenkung; bei UAS Flight Controller mit sicheren States (Hover, Landung, RTH).

Zeit‑Synchronisation (PTP), deterministische Kommunikation, manipulationsresistente Geodaten (Signaturen), RAIM/RTK‑Integritätschecks gegen GNSS‑Spoofing.

• Abgeleitete PLr/SIL aus Gefährdungsanalyse (ISO 12100) und Expositionsbewertung

• SSM/Schutzfeld: typ. PLr d (Kat. 3) bis e (Kat. 4) bei Personengefährdung.

• Sichere Stillsetzung (STO/SS1): PLr e in Hochrisikoszenarien (hohe Masse/Geschwindigkeit).

• SLS/SDI: mindestens PLr d, abhängig von Restenergie.

zweikanalig mit Querüberwachung (Kat. 3/4), Diagnoseabdeckung (DCavg) hoch, MTTFd ausreichend, systematische Sicherheitsmaßnahmen nach IEC 61508/IEC 62061.

sicherheitsbezogene SW‑Anteile mit qualifizierten Entwicklungsprozessen; UAS in „specific“ Kategorie: SORA‑abgeleitete OSOs/SAIL‑Niveaus; geofencing‑kritische Funktionen erhalten erhöhte Integritätsziele.

Sicherheitsfunktionen müssen deterministische Reaktionszeiten einhalten (ISO 13855), Nachlaufwege berücksichtigen und sicher gegen Single‑Point‑Faults sein.

• Sensorisch: LiDAR‑Blindzonen, Kameras geblendet/verschmutzt, Ultraschall‑Mehrwege, Radar‑Clutter; GNSS‑Jamming/Spoofing, RTK‑Dropouts; Kalibrierdrift.

• Lokalisierung/Mapping: SLAM‑Drift, Karteninkonsistenz, Koordinaten‑Frames verwechselt.

• Kommunikation: Verlust Flotten‑Heartbeat, U‑Space‑Dienstunterbrechung.

• Software/Logik: Deadlocks, übersehene Randfälle, Zeitüberschreitungen.

• Datenintegrität: manipulierte Geofence‑Polygone, veraltete Zonenstände.

• Degradation: Geschwindigkeitsreduzierung, Übergang auf konservative Schutzfelder, temporärer Handshake‑Modus.

• Sichere Zustände: kontrolliertes Anhalten, SS1→STO; bei UAS Hover→sichere Landung oder RTH innerhalb erlaubter Zonen.

• Reversionäre Lokalisierung: Wechsel auf inertiale/odometrische „coasting“ mit engeren Zonen; Geofence‑Durchdringung wird software‑/hardwareseitig unterbunden.

• Kommunikationsverlust: definierte „Lost‑Link“‑Prozeduren (Fail‑Operational vs. Fail‑Safe nach Kontext).

• Security: Geodaten nur signiert laden; bei Integritätsverletzung Sperrung des Missionsstarts.

• Verifikation/Validierung: ISO 13849‑2‑konforme Validierung sicherheitsbezogener Teile, Proof‑Tests, Diagnoseabdeckung.

• Leistungsnachweis SSM/SLS: Messung Reaktionszeit, Anhalteweg, Verifikation sicherer Abstände nach ISO 13855.

• Geofencing: Positiv‑/Negativtests an Polygonkanten, Höhenschwellen, Randbedingungen (Ecken, schmale Korridore), Jamming/Spoofing‑Resilienztests.

• Szenarien mit Dummys/Targets (VRU‑Simulatoren), Corner‑Cases (transparent/schwarz, spiegelnd, Regen/Nebel).

• Extrinsik‑/Intrinsik‑Kalibrierung von Sensoren, Zeitsynchronität, GNSS‑Antenne‑Phasenmitten, UWB‑Anker‑Geometrie.

• Regelmäßige Kontaminations‑Checks (Linsen/Scannerfenster), Drift‑Monitoring.

• FAT/SAT mit dokumentierten Akzeptanzkriterien; Simulation/HIL‑Tests für Geofences und Schutzfeldlogik.

• Wiederholprüfungen nach Softwareupdates, Zonendatenänderungen (Konfigurationsmanagement, Vier‑Augen‑Freigabe).

• Umweltbedingungen: Beleuchtung, Staub, Nebel, Regen/Schnee, akustisches Rauschen (Ultraschall), Radar‑Reflexionen; Temperatur‑ und Vibrationsfestigkeit; EMV.

• Oberflächen/Geometrien: Glas, schwarze matte Objekte, Gitterstrukturen; Bodenreibung, Rampen, Nachlauf.

• Infrastruktur: Leitbaken/UWB‑Anker, WLAN/5G‑Abdeckung, abgesicherte Edge‑Rechner; Integration in Zutritts‑/Sicherheitszonen, Brandschutzkonzepte.

• Flotten‑ und Verkehrsregeln: Right‑of‑Way, Einbahnzonen, Kreuzungsmanager, VDA‑5050‑basierte Priorisierung; HMI (akustisch/optisch) zur Signalisierung von Zonenwechseln.

• U‑Space/ATM‑Integration: dynamische Geofences (NOTAM/D‑Geo), Authentisierung, Latenzanforderungen, Fallback bei Serviceverlust.

• Risikomanagement: initiale und laufende Gefährdungsbeurteilung; Änderungsmanagement für Zonen/Geofences; Periodic Safety Reviews.

• Governance/Prozesse: Rollen und Freigabeworkflows (Erstellung, Prüfung, Freigabe von Zonenpolygone und Schutzfeldprofilen).

• Schulungen für Bedien‑ und Instandhaltungspersonal; Einweisung in Not‑Halt‑ und Fallback‑Prozeduren.

• Sicherheitskonzept, Softwarearchitektur, Nachweise (PL/SIL, SORA/SAIL); Prüf‑/Kalibrierprotokolle; Stücklisten mit sicherheitsrelevanten Komponenten.

• Betriebsanweisungen, Checklisten, Zonenkarten (Versionierung, digitale Signaturen), Black‑Box‑/Event‑Logs (Zeitstempel, Konfig‑Hashes).

• Zyklische Funktionsprüfungen (Schutzfelder, E‑Stop, Geofence‑Kanten), Reinigung/Justage, Firmware‑Management (signierte Updates).

• Vorfallsmanagement: Near‑Miss‑Erfassung, Root‑Cause‑Analysen, CAPA‑Prozesse.

interne/externe Audits gegen Normen/VO; Traceability von Anforderungen zu Tests; Kennzahlen (Safety KPIs) zur Wirksamkeitskontrolle.

Durch die systematische Verzahnung von Anti‑Kollision, Zonenbegrenzung und Geofencing mit funktionaler Sicherheit, robusten Sensor‑/Lokalisierungsketten, sauberen Betriebsprozessen und belastbaren Nachweisen entsteht ein ganzheitlich beherrschbarer, auditierbarer Sicherheitsrahmen für autonome Systeme im Feld.

Die Geschwindigkeits- und Positionsüberwachung dient für Hub-, Wagen- und Laufbewegungen als zentrale Sicherheits- und Qualitätsfunktion. Sie stellt sicher, dass Bewegungen innerhalb definierter Betriebsgrenzen ablaufen, Last- und Anlagenschutz gewährleistet sind und die Endlagen mit „sanften Enden“ (Soft Limits) dynamisch und verschleißarm angefahren werden.

• Überwachung von Geschwindigkeit (z. B. SLS/SSM) und Position (SLP/Soft-Limits)

• Rampe in Abbremszonen vor mechanischen Endanschlägen („sanfte Enden“), inklusive Last- und Fahrwiderstandskompensation

• Schutz vor Übergeschwindigkeit, Fehlpositionierung und Kollisionsrisiken

• Referenzierung/Homing und Wiederanlauf nach Netzausfall mit sicherer Lageinformation

• DIN EN ISO 12100 (Risikobeurteilung) und DIN EN ISO 13849‑1/‑2 (steuerungstechnische Sicherheit, PL, DCavg, Validierung)

• IEC 62061 bzw. IEC 61508 (SIL-basierte Auslegung als Alternative)

• EN 61800‑5‑2 (sichere Antriebsfunktionen: SS1/SS2, SLS, SOS, SSM, SLP)

• EN 60204‑32 (Elektrische Ausrüstung von Hub-, Hebe- und Fördermitteln)

• EN 15011 und EN 13135 (Kran-spezifische Anforderungen an Ausrüstung und Betriebsgrenzen)

• EN 14492‑2 (Hubwerke) als ergänzende Produktnorm

Die Ziel-Performance für Geschwindigkeits- und Positionsschutz liegt in der Praxis häufig bei PLr d (Kat. 3) bis PLr e (Kat. 3/4), abhängig von Lastklasse, Einsatzumgebung und Gefährdungsszenario.

• Rotative Geber: Inkremental- und Absolut-Encoder (z. B. EnDat Safety, HIPERFACE DSL Safety, BiSS Safety) an Motor- oder Trommelwelle; Resolver mit sicherer Auswertung.

• Lineare Wegmessung: Magnetband- oder optische Maßstäbe, Seilzugsensoren, Laser-Distanzsensorik für lange Fahrwege; bei Portalen ggf. Doppelmessung zur Schräglauf-/Verwindungserkennung.

• Redundanzkonzepte: Zwei diverse Messprinzipien (z. B. Motorencoder + Seilzug), räumlich getrennte Montage zur gemeinsamen Ursache-Reduktion.

• Schnittstellen: Sichere Feldbusse (PROFIsafe, FSoE, CIP Safety) zur Safety-SPS bzw. sichere Antriebsregler mit integrierter Motion-Safety.

• Modellierung: Umrechnung von Drehwinkel in Hubhöhe unter Berücksichtigung von Trommeldurchmesser, Seillage, Seilaufbau und ggf. Schlupf; Wagen-/Laufmessung mit Radgebern mit Schlupfkompensation (Referenzmarken/Beacons).

• Architektur: Kat. 3/4 mit zweikanaliger Erfassung und gegenseitiger Überwachung; sichere Reaktion (SS1/SS2) bei Diskrepanz.

• Sicherheitsfunktionen: SLS/SSM für Übergeschwindigkeit, SLP für Soft-Limits, SOS zum sicheren Stillstand in Position, SS1 für kontrolliertes Abbremsen in Notfällen.

• Diagnose: Kreuzvergleich von zwei Messkanälen (Geschwindigkeits-/Positionsabweichung, Plausibilität gegen Fahrprofil)

• Überwachung auf Signalverlust, stuck-at, Glitches, CRC-Fehler, Zeitstempel-/Jitteranalyse

• Trend- und Driftüberwachung (z. B. schleichende Offsets durch Seildehnung)

• Überwachung der Bremswirkung via Stoppwegmessung (Abgleich mit Grenzwertkurven)

Zugriffskontrolle, signierte/gesicherte Parameter (z. B. via sichere Toolchain), Versions- und Seriennummernprüfung der Sensoren.

PL/SIL-Berechnung (MTTFd, DCavg/β), Validierung nach ISO 13849‑2 inkl. Proof-Test-Intervallen.

• Mechanisch: Seildehnung und Lagenaufbau (effektiver Trommeldurchmesser ändert sich), Spiel in Getrieben/Kupplungen, Radschlupf, Schienenverschmutzung, Pufferkompression, Lockerung der Encoderkupplung.

• Sensorik: Fehlausrichtung/Verkippung von Linearmaßen, verschmutzte optische Systeme, Magnetbandbeschädigung, lose Magnete, Laserreflexionsprobleme, Temperaturdrift, EMC‑Störungen, Kabelbruch/Schirmungsfehler.

• Parametrierung: Falsches Übersetzungsverhältnis, Trommeldurchmesser, falsche Bezugspunkte/Offset, deaktivierte Diagnosefenster.

• Steuerung/Antrieb: Falsche Rampen, unzureichende Bremsenparametrierung, fehlende Synchronisation bei Mehrantrieben (Schräglauf).

• Funktionale Fehler: Soft-Limit überschossen durch zu hohe Last oder verspätete Reaktion; unvalidierter Wiederanlauf ohne sichere Referenz.

• Erstinbetriebnahme: Referenzierung gegen mechanische Endlage oder definierte Marker; Abgleich des Offsets.

• Kalibrierung der Geschwindigkeitsmessung mittels Handtachometer bzw. Vergleichsgeber.

• Verifikation der Soft-Limits: Abbremsprofile in Zonen testen (leer und mit Prüflast), Stoppwege dokumentieren.

• Funktionsprüfung sicherer Motion-Funktionen (SLS/SS1/SOS) gemäß Prüfplan; Fault-Injection soweit gefahrlos möglich (z. B. Kanalabschaltung im Testmodus).

• Plausibilitätsprüfung zweier Messkanäle über den gesamten Arbeitsbereich; Dokumentation der maximalen Abweichung.

• Sicht- und Messprüfung der Messstrecken (Reinigung, Befestigungen, Maßhaltigkeit), EMV‑Check (Erdung/Schirmung).

• Kalibrierzyklen für Linearsysteme (z. B. Laserstrecke/Totalstation) bei Langfahrbahnen.

• Nachweise: Prüfprotokolle nach ISO 13849‑2/IEC 62061, Aktualisierung der Gefährdungsbeurteilung, Rückführung in die Konfigurationsverwaltung.

• Systemintegration: Bevorzugt sichere Motion-Funktionen im Antrieb nach EN 61800‑5‑2 nutzen; Soft-Limits und SLS im Drive parametrieren, Grenzwerte zentral in Safety‑SPS verwalten.

• Einheitliche Koordinatenführung für Hub/Wagen/Lauf; bei Brückenkranen Skew‑Überwachung via dualer Fahrwegmessung.

• Sicherer Datenpfad über PROFIsafe/FSoE; Zeitbasis-Synchronisation (PTP) für korrekte Trajektorien- und Plausibilitätsprüfungen.

• Definierte Safe States: SS1 bei Überschreitung von SLS/SLP, SOS in Halteposition, Not‑Stop Kategorie 0/1 nach EN 60204‑32.

• Degradierter Betrieb: Ggf. zulässiger Übergang in „Heimfahrmodus“ mit reduzierter Geschwindigkeit und erhöhter Diagnose, niemals außerhalb der risikobewerteten Grenzen.

• Alarmierung und Ereignisprotokollierung (Sequenzen, Grenzwertverletzungen, Diskrepanzen) zur Ursachenanalyse und zustandsorientierten Instandhaltung.

• FMEA/FMEDA regelmäßig aktualisieren; Common-Cause-Reduktion (räumliche Trennung, diversitäre Sensorik), Nachweis der β‑Faktoren in der Sicherheitsrechnung.

• Mit einer konsequenten Kombination aus sicherer Sensorik, validierten Motion‑Sicherheitsfunktionen, belastbarer Diagnose und strukturiertem Fehlermanagement lassen sich präzise, verschleißarme „sanfte Enden“ realisieren und zugleich die funktionale Sicherheit auf dem geforderten PLr/SIL-Niveau nachweisbar erfüllen.

Die Schlaffseilerkennung verhindert Schäden und Gefährdungen, die durch unkontrolliertes Entlasten des Hubseils entstehen, etwa Seilablage („Bird‑nesting“) auf der Trommel, Seilaushänger an Umlenkrollen, Stoßlasten beim erneuten Straffen sowie Beschädigungen an Lastaufnahmemitteln. Sie dient als sicherheitsbezogene Abschalt- bzw. Interlock-Funktion insbesondere im Senkbetrieb. Relevante Regelwerke sind u. a. EN 12077‑2 (Begrenzungs- und Anzeigeeinrichtungen an Kranen), EN 15011/EN 14492‑2 (Hebewerke), EN ISO 13849‑1/‑2 bzw. IEC 62061/IEC 61508 (Funktionale Sicherheit), ISO 10245 (Kranbegrenzungen) sowie EMV- und Umweltprüfnormen (IEC 61000‑6‑2/‑4, IEC 60068). Für explosionsgefährdete Bereiche gilt ergänzend ATEX/IECEx.

Architekturen reichen von einkanaligen Schaltern mit Ruhestromprinzip bis zu zweikanaliger Sensorik mit gegenseitiger Überwachung.

• Mechanische Schlaffseilschalter: Federbelasteter Seilfolger-/Tastarm mit Endlagenschalter (z. B. zwangsöffnender Sicherheitsschalter). Vorteil: Robust, definierte Hysterese.

• Dehnungsmessbasierte Zugkraftsensoren: Messbolzen an Umlenkrolle, Dead‑End‑Loadpin oder Zugmessdose am Seiltotpunkt; liefern analoge (4–20 mA) oder digitale Signale.

• Drehzahl- und Momentenkorrelation: Vergleich von Motor-/Trommeldrehzahl und erwarteter Seilbewegung; Abweichungen indizieren Schlaffseil.

• Seildurchhang-/Bahnüberwachung: Näherungssensorik (induktiv/optisch) zur Detektion des Rope‑Sag zwischen Rollen.

Architekturen reichen von einkanaligen Schaltern mit Ruhestromprinzip bis zu zweikanaliger Sensorik mit gegenseitiger Überwachung.

• Performance Level: PL d (Kat. 3) oder SIL 2 (PFH ~ 10⁻⁷…10⁻⁶ 1/h), abhängig von Risikobeurteilung.

• Diagnosebedeckung: DCavg ≥ mittel/hoch durch Quervergleich, Pulstest, Leitungsbruch- und Kurzschlusserkennung.

• MTTFd: hoch für Sensorik/Aktuatoren; CCF‑Bewertung ≥ 65 Punkte (EN ISO 13849‑1, Anhang F).

• Reaktionszeit: < 100 ms bis sicherer Stopp (Stop‑Kategorie 0 oder 1, anwendungsabhängig).

• Prüfintervalle: T1 nach Betriebs- und Ausfallstatistik (z. B. 12–24 Monate).

• Mechanisch: Verklemmen/Verbiegen des Tastarms, Federbruch, Vereisung/Schmutz; Maßnahmen: zwangsöffnende Kontakte, Selbstreinigungshub, Heizung/Schutzhauben.

• Sensorisch: Drift, Sättigung, Nullpunktversatz; Maßnahmen: zyklische Plausibilitätsprüfungen, Redundanz.

• Elektrisch: Leitungsbruch/‑kurzschluss; Maßnahmen: Ruhestromprinzip, 4–20 mA mit Leitungsbrucherkennung, OSSD‑Ausgänge.

• Systemisch: Falsche Parametrierung, EMV‑Störungen; Maßnahmen: sichere Parameterverwaltung, CRC‑gesicherte Kommunikation, Schirmung/Erdung.

• Inbetriebnahme: Festlegung der Straff-/Schlaffschwellen (z. B. 2–5 % der Nennzugkraft), Hysterese, Entprellung/Filterzeiten; Verifikation des Stoppverhaltens unter Last.

• Wiederkehrende Prüfungen: Funktionsprüfung jeder Sicherheitskette, simuliertes Schlaffseil, Messung der Reaktionszeit, Vergleich Soll/Ist der Sensorausgabe.

• Automatische Selbsttests: Startup‑Test, zyklischer Puls auf Eingangskanälen, Quittierung über HMI.

• Einstellpunkte: Grenzwerte, Debounce, zeitliche Unterdrückung bei Start/Stopp, erlaubte Übersteuerung im Servicebetrieb (sicher überwacht).

• Umwelt: Temperaturbereich z. B. −25…+60 °C, IP65/67, Salzsprühnebel, Vibration/Schock nach IEC 60068; optional Heizung in Außenanwendungen.

• EMV/ATEX: Entstörmaßnahmen, galvanische Trennung; in Zone 2/22 eigensichere Betriebsmittel.

• Schnittstellen: Sicherheitsrelais oder sichere Feldbusse (PROFIsafe, CIP Safety, FSoE); analoge 4–20 mA mit Line‑Fault‑Detection; IO‑Link Safety für Parametrierung/Diagnose.

• Integration ins Flotten-/Instandhaltungsmanagement: Ereignis- und Trenddaten (Schlaffseilhäufigkeit, Temperatur, Vibrationslevel), Zustandsindikatoren und Alarme an ERP/CMMS.

• Retrofit: Mechanische Adapter für Schalter/Sensoren, Nachrüstung sicherer E/A, Validierung nach EN ISO 13849‑2 (Berechnungen MTTFd/DC/CCF, Prüfplan), Dokumentation/CE‑Aktualisierung; Minimierung von Stillstand durch vorkonfektionierte Kabelbäume und parametrierbare Funktionsbausteine.

Die Überdrehzahl- bzw. Drehzahlüberwachung begrenzt die kinetische Energie eines Antriebs und verhindert gefährliche Zustände durch zu hohe Geschwindigkeit oder unerlaubte Drehrichtung. Typische Anwendungsfälle sind Werkzeug- und Spindelantriebe, Fördersysteme und Winden, robotische Achsen, Prüfstände sowie fahrerlose Transportsysteme. Sicherheitsfunktionen wie Safely-Limited Speed (SLS), Safe Speed Range (SSR), Safe Operating Stop (SOS) und Safe Speed Monitor (SSM) schützen Personal bei Einrichtbetrieb, manueller Intervention, Schutzzaun-Überbrückung mit Zustimmtaster oder bei Fehlern des Regelkreises. Bei Grenzwertverletzung wird in der Regel STO (Safe Torque Off) oder SS1 ausgelöst.

• IEC/EN 61800-5-2 (Sicherheit geregelter Antriebe): Definition und Anforderungen an SLS, SS1/SS2, SOS, SSM.

• ISO 13849-1/-2 und IEC 62061: Auslegung/Validierung der Sicherheitsfunktion (PL/SIL, DC, CCF).

• IEC 61508: Basisnorm für funktionale Sicherheit.

• IEC 60204-1: Sicherheitsfunktionen und Stop-Kategorien der Maschinensteuerung.

• Applikationsspezifisch: ISO 10218 (Roboter), ISO 16090 (Werkzeugmaschinen), ISO 3691-4 (Fahrerlose Fahrzeuge).

• Inkrementalgeber (TTL/HTL, SinCos), Absolutgeber (Hiperface, EnDat, BiSS mit CRC), Resolver.

• Tachogeneratoren (analog), seltener sensorlose Verfahren (Back-EMF); letztere sind für Safety nur mit geeigneter Diagnose zulässig.

• Wesentlich sind:Redundanz/diversitäre Kanäle (z. B. zwei Encoder, Encoder + Motor-EMF).

• Drahtbruch-/Kurzschlussüberwachung, Testpulse, Fehlererkennung (stuck-at, Phasenvertauschung).

• Parametrierung: Übersetzungen, Nenn-/Höchstgeschwindigkeit, lineare Umrechnung (Durchmesser).

• Grenzwerte: ein- oder mehrstufig (Vorwarnung/Abschaltung), Hysterese, Filterzeiten zur Störunterdrückung, Richtungsüberwachung, Beschleunigungsgrenzen.

• Geeignete Architektur (Kat. 3/4 mit hoher DCavg), CCF-Maßnahmen (z. B. getrennte Versorgung/Kabelwege).

• Nachweis PFHd/MTTFd, Reaktionszeit ≤ geforderter Sicherheitsabstand (in Verbindung mit Schutzgerät nach ISO 13855).

• Sichere Abschaltkette (SLS → STO/SS1) mit dokumentierter Fehlerreaktion (fail-safe).

• Sensorik: Pulsverlust, Störimpulse, Skalenfehler, Drift, mechanische Entkopplung (Kupplung/Schlüsselbruch), Richtungsfehler.

• Elektrik/EMV: Drahtbruch, Kurzschluss, Versorgungsausfall, Übersprechen.

• Logik/Parametrierung: falsche Skalierung, falsche Grenzwerte, Overflow/Zeitbasisfehler.

• Diagnosen:

• Kanalvergleich, Plausibilitätsprüfungen (z. B. max. Rampen), Zeitüberwachung (Timeout), CRC/Frame-Checks.

• Online-Selbsttests, zyklische Testpulse, Stillstands- und Nullgeschwindigkeitsprüfung.

• Ereignisspeicher mit Zeitstempel, Grenzwert-Manipulationsschutz (Password, Signatur).

• Typ-/Inbetriebnahmeprüfungen: Parameter-Review (Vier-Augen-Prinzip), Funktionsprüfung aller Grenzwerte, forciertes Überschreiten (simuliert oder mit Prüfstand), Messung der Reaktions- und Stillsetzzeit, Dokumentation.

• Wiederkehrende Proof-Tests: in definierten Intervallen, inklusive Sensor- und Kabeldiagnose.

• Validierung gemäß ISO 13849-2/IEC 62061: Nachweis der Kenngrößen, Architekturanalyse, EMC-/Umwelttests, Rückverfolgbarkeit der Anforderungen.

• Integration über sichere Feldbusse (PROFIsafe, FSoE, CIP Safety) oder im Antrieb integrierte Safety (Drive-based Safety) mit klarer Schnittstelle zur Steuerung.

• Parametrierung über gesicherte Werkzeuge, Rollen/Passwortkonzept, Änderungs- und Versionenkontrolle.

• Betriebsführung: definierte Betriebsarten (Automatik, Einrichten mit SLS/SSM), Schlüssel-/Zustimmkonzept, klare Alarmierung und sichere Reaktion.

• Wartung: regelmäßige Sicht- und Funktionsprüfungen, Ersatzteilstrategie für Geber/Kabel, Kalibrier- und Justagehinweise, Schulung des Personals.

Die Zustandsüberwachung von Seilen und Ketten dient der vorbeugenden Gefahrenabwehr, der Erfüllung gesetzlicher Sorgfaltspflichten sowie der Lebensdauer- und Verfügbarkeitsoptimierung von Hebe-, Förder- und Sicherungssystemen. Zielgrößen sind Betriebssicherheit (Vermeidung schleichender und plötzlicher Versagensmechanismen), Nachweis der normkonformen Nutzung und wirtschaftliche Instandhaltungsentscheidungen auf Basis objektiver Daten.

Zentrale Regelwerke umfassen für Drahtseile u. a. ISO 4309 (Pflege, Prüfung und Aussonderung von Kran-Drahtseilen), EN 12385 (Drahtseile – Sicherheit) und EN 13411 (Endverbindungen). Für Lastketten sind vorrangig EN 818 (Rundstahlketten für Hebezwecke, Güteklassen 8/10/12) und EN 1677 (Bauteile für Kettengehänge) relevant; Informations- und Instandhaltungsvorgaben bietet EN 818‑6. Für Krane und Hebezeuge gelten ergänzend z. B. ISO 12482 (Zustandsüberwachung von Kranen), EN 13157/EN 14492 sowie nationale Vorschriften (z. B. BetrSichV, DGUV Vorschriften/Regeln). Für Aufzüge sind EN 81‑20/50 einschlägig. Diese Normen definieren Prüfarten, Prüfumfänge und Aussonderungskriterien (z. B. gebrochene Drähte je Schlaglänge, Durchmesserabnahme, Kink/„Birdcage“, Kettengliedverlängerung, Kerbrisse).

• Sicht- und Funktionsprüfung: Tägliche bzw. nutzungsbezogene Sichtkontrolle auf Korrosion, Drahtbrüche, Litzenauflockerung, Scheuerstellen, Schmierzustand sowie funktionsbezogene Auffälligkeiten (Laufgeräusche, Vibration).

• Maßliche Erfassung: Messung von Seildurchmesser, Schlaglänge, Ovalität und Kettensteigung (Pitch). Go-/No‑Go‑Lehren sowie digitale Messschieber liefern reproduzierbare Werte.

• Magnetinduktive Seilprüfung (MRT): Erfasst metallischen Querschnittsverlust (LMA) und lokale Fehler (LF) wie Drahtbrüche, Korrosion unter Schmierung. Eignet sich für sicherheitsrelevante Seile an Kranen, Seilbahnen, Aufzügen.

• Wirbelstrom-/Magnetpulverprüfung (MT) an Kettenkomponenten: Detektiert oberflächennahe und offene Risse, insbesondere im Biegebereich der Kettenglieder und an Haken/Verbindern.

• Ultraschall/Acoustic Emission: Ergänzend zur Rissdetektion an massiven Kettenbauteilen; AE als Trendindikator unter dynamischer Last.

• Zustands- und Nutzungsdaten: Lastkollektive (Zyklen, Spitzenlasten), Temperatur, Feuchte, Medienexposition; Schwingungs- und Akustikanalyse zur Erkennung von Fehlanpassungen (z. B. gekerbte Scheiben).

• Optische Systeme: Hochauflösende Kameras mit KI-gestützter Detektion von Drahtbrüchen, Oberflächenrissen und Geometrieabweichungen; vorteilhaft bei schwer zugänglichen Bereichen.

• Schmierungsmonitoring: Filmstärken- und Reibwerttrending, um tribologische Schädigungen frühzeitig zu erkennen.

• Sensorik/Prüfmittel: MRT‑Köpfe, Hall‑Sensoren, Wirbelstromsonden, MT‑Ausrüstung, Messlehren, Kraft- und Wegsensoren, RFID/QR‑Kennzeichnung der Stränge und Ketten.

• Datenakquise/IT: Edge‑Datenerfassung, Zeitstempelung, Synchronisation mit Steuerung (z. B. OPC UA), Cyber-Security, Schnittstellen zum CMMS/EAM.

• Mechanische Integration: Prüfabschnitte mit definiertem Führungs- und Schutzkonzept, konstante Magnetisierung, reproduzierbare Auflage; Berücksichtigung von Scheibendurchmessern und Rillengeometrie.

• Betriebsorganisation: Befähigte Personen (Sachkundige) gemäß Regelwerk, freigegebene Prüfanweisungen, lockout/tagout, Sauberkeits- und Schmiermanagement.

• Drahtseile: Einzeldrahtbrüche (häufungsspezifisch je Seiltyp), Seilkernschäden, Korrosionsnarben und Lochfraß, Durchmesserabnahme/Querschnittsverlust, Kinks, „Birdcaging“, Welligkeit, Litzenverschiebungen, Abrasion an Scheiben, Wärmeschädigung (Anlassen/Verfärbung), Schmiersättigungsverlust.

• Ketten: Gliedverlängerung (Pitch‑Zunahme), Querschnittsabtrag an Lagerstellen, Kerben/Kerbrisse, plastische Verformung (aufgebogenes Glied), Materialtrennrisse (MT‑anzeigepflichtig), Korrosion, Wasserstoffversprödung, Überhitzungsspuren.

• Endverbindungen/Bauteile: Hakenmaulöffnung, Verschlussdeformation, Schäkel/Bolzenverschleiß, Unverträglichkeiten mit Scheibenrillen.

Aussonderungskriterien richten sich nach Norm: u. a. Überschreitung zulässiger Drahtbruchzahlen pro Schlaglänge, Durchmesserreduktion, strukturierte Deformationen; bei Ketten z. B. Längenänderung >2–5 % (je Norm und Güteklasse), Querschnittsabtrag >10 %, jegliche Rissanzeige.

• Kalibrierung: Prüfgeräte (MRT, Wirbelstrom, MT, Messlehren) sind mindestens jährlich, nutzungs- und belastungsabhängig ggf. häufiger, rückführbar (z. B. DAkkS) zu kalibrieren. Funktionsprüfungen vor Einsatz; MRT mit Referenzseilen/Defektkörpern verifizieren (LMA/LF‑Empfindlichkeit).

• Prüfintervalle: Vor Benutzung: Sicht-/Funktionsprüfung durch unterwiesene Personen.

• Wiederkehrend: Inspektion durch befähigte Personen mindestens jährlich; bei hoher Beanspruchung/korrosiven Medien verkürzt (z. B. halbjährlich/vierteljährlich).

• Anlasstbezogen: Nach Überlast, Kollision, außergewöhnlichen Umwelteinflüssen, Umbauten.

• Zustandsbasiert: Intervallanpassung über Nutzungsdaten (Zykluszähler, ISO 12482‑Monitoring) und Trendanalysen.

• Asset‑Stammdaten: Eindeutige Kennzeichnung (ID/RFID), Seil-/Ket­tentyp, Charge, Güteklasse, Einbau- und Längenmaße, Endverbindungen, Herstellerunterlagen.

• Prüf- und Lebenslaufakte: Prüfprotokolle (Befund, Messwerte, Fotos, NDT‑Rohdaten), Kalibrierscheine, Freigaben/Sperrungen, Abweichungen mit Maßnahmenverfolgung (8D/RCFA bei Schäden).

• Zustands- und Nutzungsdaten: Trendkurven (LMA, Drahtbruchrate, Pitch‑Zunahme), Lastkollektive, Umweltdaten; Schwellenwerte und Alarmierung im CMMS.

• Ersatzstrategie: Präventiv: Aussonderung bei Erreichen normativer Kriterien oder prognostiziertem Restlebensdauerende (Remaining Useful Life).

• Vorratshaltung: Sicherheitsbestände und Lieferzeiten (kritische Längen/Güteklassen), qualifizierte Lieferanten, Wareneingangsprüfung.

• Obsoleszenzmanagement: Kompatibilität von Endverbindungen/Rillengeometrien, gegebenenfalls Umrüstungspakete planen.

Auditfeste Dokumentation, Nachvollziehbarkeit von Entscheidungen (risk-based), Verknüpfung mit Gefährdungsbeurteilungen und Freigabeprozessen. Diese strukturierte Zustandsüberwachung verknüpft normative Konformität mit datenbasierter Instandhaltung und ermöglicht eine sichere, wirtschaftliche und nachhaltige Nutzung von Seilen und Ketten im Anlagenbetrieb.

Die Temperatur- und Medienüberwachung dient der Vermeidung thermischer und tribologischer Grenzzustände, der Absicherung gegen Funktionsausfälle (z. B. thermisches Durchgehen, Fressen, Bremsfading) sowie der Lebensdauer- und Effizienzoptimierung von Motor, Getriebe und Bremssystem. Relevante Normen und Rahmenwerke sind u. a. IEC 61508 (Funktionale Sicherheit), ISO 26262 (Straßenfahrzeuge – FS), ISO 13849 (Maschinensicherheit), IEC 60034-11 (thermischer Schutz elektrischer Maschinen), ISO 4406 (Ölreinheitsklassen), IEC 60068/ISO 16750 (Umweltprüfungen), CISPR 25/ISO 11452 (EMV im Fahrzeug) sowie Schutzarten nach ISO 20653/IP67/IP69K. Für Bremsen sind zusätzlich fahrzeugspezifische Regelwerke (z. B. ECE/UN-Regelungen) zu berücksichtigen.

• Temperatur: Widerstandsthermometer (Pt100/Pt1000) für hohe Genauigkeit und Stabilität; NTC/PTC für kostensensitive Anwendungen mit kurzer Ansprechzeit; Thermoelemente (Typ K/J) für große Temperaturbereiche; IR-Pyrometer für berührungslose Bremsscheibenmessung; faseroptische Sensoren für EMV-kritische Umgebungen; integrierte Halbleiter‑Junction-Sensoren in Leistungsmodule/Inverter.

• Medien (Motor/Getriebe): Druck-, Füllstand- und Durchflusssensoren (Kühlmittel/Öl); Ölzustandssensoren (Permittivität/Leitfähigkeit als Oxidations- und Kraftstoffverdünnungsindikator), Viskositätssensoren (Schwing-/Resonanzprinzip), Wasser-in-Öl-Sensoren, Partikelzähler (ISO 4406).

• Bremsen: Bremsflüssigkeitsstand/-qualität (Siedepunkt-/Wassergehaltssensoren), Temperatur an Sattel/Belag/Scheibe (IR, eingegossene Thermoelemente), Verschleißsensoren für Beläge (kontinuierlich/Schaltkontakt).

Sicherheitsziele leiten sich aus thermischen Grenztemperaturen sowie Mindestanforderungen an Schmierung und Bremsverfügbarkeit ab. Typische Ziele: rechtzeitiges Drehmoment-Derating, Notlauf oder Abschaltung vor Erreichen kritischer Zustände; für Bremsen sichere Degradationsmodi. Abhängig vom System: ASIL-B–D (ISO 26262) bzw. PL d/e (ISO 13849). Wichtige FS-Kennwerte sind FTTI (Fault Tolerant Time Interval), Diagnosedeckung (DC) und PFH.

• Kanalredundanz und Diversität (z. B. Pt100 + NTC; Temperatur + modellbasierter Beobachter).

• Plausibilitätsprüfungen (Trend, Gradient, Quervergleich mit Last-/Drehzahl-/Umgebungsmodellen).

• Kommunikationssicherheit (CRC, Sequenzzähler, End-to-End-Absicherung).

• Sichere Zustände und definierte Übergänge (Derating, Momentenbegrenzung, Anhalte-Strategie).

• 1oo2 für sichere Abschaltung, 2oo3 für Verfügbarkeit bei hoher DC.

• Räumliche Trennung und unterschiedliche Messprinzipien.

• Diagnoseimpulse (z. B. Heizpuls für Pt100 zur Selbstprüfung), Leitungsüberwachung (ratiometrische Anregung, End-of-Line-Widerstände).

• EoL-Abgleich (Offset/Steigung), HIL/SIL-Tests mit Fehlerinjektion, BIST-Nachweise.

• Umweltprüfungen nach IEC 60068/ISO 16750 (Temperaturschock, Vibration, Feuchte, Salzsprühnebel).

• Rückführbare Kalibrierung (ISO 17025), periodische Rekalibrierintervalle basierend auf Driftmodellen.

Einsatzbereiche: −40 bis >150 °C (lokal bis 250 °C an Bremse), starke Vibration/Schock, Öl‑/Kühlmittel‑/Bremsflüssigkeitskontakt (DOT 4/5.1), Kraftstoffverdünnung, Partikel und Abrieb, Bremsstaub, Salz/Feuchte, Kondensation. Anforderungen an Gehäuse/Steckverbinder: IP67/IP69K, chemische Beständigkeit, Diffusions- und Permeationsschutz, Druckdichtheit. EMV-Design (Schirmung, Filter, Massekonzept) gemäß CISPR 25/ISO 11452; thermomechanische Entkopplung und Heatspreader zur Vermeidung von Messfehlern durch Eigenerwärmung.

• Schwellen-/Trendüberwachung mit adaptiven Grenzwerten.

• Modell- und Digital-Twin-gestützte Residuenbildung, PHM/RUL-Schätzung.

• Datenfusion mit Schwingung/Acoustics für Getriebe und Lager.

• Ereignis- und Lebensdauerdatenhaltung (UDS/OBD, OPC UA/MQTT) für Flottenanalytik.

• Ergebnisse fließen in Regelung (Derating), Wartungsplanung (zustandsbasiert) und Sicherheitsüberwachung ein und erhöhen Verfügbarkeit bei gleichzeitigem Schutz kritischer Komponenten.

• S – Schwere der Verletzung: S1 (leichte Verletzung) vs. S2 (schwere, irreversible Verletzung bis Tod).

• F – Häufigkeit/Exposition: F1 (selten bis weniger häufige Exposition) vs. F2 (häufig bis dauerhafte Exposition).

• P – Möglichkeit der Vermeidung oder Begrenzung: P1 (möglich unter bestimmten Bedingungen) vs. P2 (kaum möglich).

Aus der S/F/P-Bewertung ergibt sich über den Risiko-Graph der erforderliche PLr (a–e). Analog lassen sich in prozess- oder generischen Anwendungen (IEC 61508, IEC 62061) über Risikographen, LOPA oder Risikomatrizen SIL-Ziele (1–3/4) bestimmen. Zentral ist die vollständige Gefährdungsidentifikation (HAZID) über alle Betriebsphasen (Inbetriebnahme, Normalbetrieb, Wartung, Störung), die Definition klarer Sicherheitsfunktionen (SF) mit ihren Auslösebedingungen und Reaktionszeiten sowie die Festlegung der tolerierbaren Rest-Risiken.

• Szenarienbasiertes Vorgehen (What-if/HAZOP) zur Ableitung worst-case-relevanter Parameter.

• Quantitative Begründung der Expositionsdauer und der Möglichkeit der Vermeidung (z. B. Ergonomie, Sicht, Geschwindigkeiten).

• Rückkopplung der Analyseergebnisse in die Anforderungs- und Architekturgestaltung.

• ISO 13849-1/-2: Für Maschinen und hybride mechatronische Systeme; liefert PL (a–e) auf Basis von Kategorie, Diagnosedeckungsgrad (DCavg) und MTTFd. Der PLr wird aus S/F/P abgeleitet.

• IEC 62061: Ebenfalls für Maschinen; SIL-basierter Ansatz mit PFHd.

• IEC 61508: Generische Basisnorm (SIL), differenziert Low- und High-Demand (PFDavg bzw. PFH).

• Domänenspezifische Derivate (z. B. ISO 26262, IEC 61511, IEC 62304) für Automotive, Prozess und Medizin.

• PL (ISO 13849) via PFHd-Bereichen: PL a: ≥1e-5 bis <1e-4/h

• PL b: ≥3e-6 bis <1e-5/h

• PL c: ≥1e-6 bis <3e-6/h

• PL d: ≥1e-7 bis <1e-6/h

• PL e: ≥1e-8 bis <1e-7/h

• SIL1: ≥1e-6 bis <1e-5/h

• SIL2: ≥1e-7 bis <1e-6/h

• SIL3: ≥1e-8 bis <1e-7/h

• SIL4: ≥1e-9 bis <1e-8/h

• Kategorie B/1: Grundprinzipien (B) und bewährte Bauteile (1); keine oder geringe Diagnostik; für niedrige PL.

• Kategorie 2: Ein-Kanal-Struktur mit periodischer Prüfung; Fehler können zwischen Tests unentdeckt bleiben.

• Kategorie 3: Zwei-Kanal-Struktur; einzelne Fehler führen nicht zum Verlust der Sicherheitsfunktion; mittlere Diagnostik.

• Kategorie 4: Zwei-Kanal-Struktur mit hoher Diagnostik; einzelne Fehler werden erkannt, Anhäufung verhindert.

• 1oo1 (one out of one): einfach, keine Fehlertoleranz.

• 1oo2D: zweikanalig mit Diagnostik, hohe Verfügbarkeit und Sicherheit; häufiges Muster für PL d/e bzw. SIL2/3.

• 2oo3: Dreikanalig, toleriert einen Fehler, hohe Verfügbarkeit; in hochkritischen Anwendungen.

• Fehlerdiversität (unterschiedliche Technologien), physische und funktionale Entkopplung, Schutz vor gemeinsamer Ursache (CCF; Nachweis ≥65 Punkte gem. ISO 13849 Anhang F).

• Sicheres Ausfallverhalten (fail-safe), deterministische Reaktionszeiten, sichere Energieabschaltung (z. B. STO, SS1 nach IEC 61800-5-2).

• DCavg (Diagnosedeckung): Anteil gefährlicher Fehler, die erkannt werden.

• none <60%, low 60–90%, medium 90–99%, high ≥99%.

• Maßnahmen: Quervergleich beider Kanäle, Stimulus-/Response-Tests, zyklische Selbsttests, End-to-End-Checksums (CRC), Watchdogs, Plausibilitätsprüfungen.

• Bereiche (ISO 13849): low 3–<10 a; medium 10–<30 a; high 30–100 a.

• Ableitung z. B. aus B10d: MTTFd ≈ B10d/(0,1·nop) bei elektromechanischen Komponenten (nop: Zyklen/Jahr).

Verhältnis sicherer + erkennbarer gefährlicher Fehler zu allen Fehlern; beeinflusst die zulässige Hardware Fault Tolerance (HFT) und damit die erreichbare SIL.

Fehlschlagmodus-, Effekt- und Diagnostik-Analyse zur Quantifizierung von λDU (Rate gefährlicher, unerkennter Ausfälle), DC und PFH/PFDavg auf Geräte- und Subsystemebene.

• Nachweis, dass die implementierte Sicherheitsfunktion die spezifizierten Anforderungen erfüllt (funktional und probabilistisch).

• Proof-Test-Intervalle (T1) zur Begrenzung unerkennter Fehler; Berücksichtigung der Prüfabdeckung.

• Berücksichtigung gemeinsamer Ursache (β-Faktor), Umweltbedingungen, Lebensdauer und Wartung.

• Unabhängige Verifikation/Validierung (V&V), Traceability von Anforderungen bis Test, realitätsnahe Tests inkl. Fehlereinspeisung.

• Sensorsubsystem: Zweikanalige Erfassung (z. B. redundante Encoder, Lichtgitter) mit unterschiedlicher Technologie (diversitär).

• Testpulse, gegenseitige Überwachung, galvanische Trennung, EMV-robuste Leitungsführung.

• Sicherheits-SPS oder zertifiziertes Sicherheits-SoC, Architektur 1oo2D, interne Selbsttests (BIST), Watchdogs.

• Sichere Kommunikationsprotokolle (PROFIsafe, CIP Safety, FSoE) mit Sequenz-, Alive- und CRC-Mechanismen (End-to-End).

• Zweikanalige Abschaltglieder (z. B. duale Schütze) mit Rückführkreisüberwachung; sichere Antriebsfunktionen (STO/SS1).

• Entfallene Energiepfade definieren (sichere Entlüftung bei Pneumatik).

• CCF-Schutz (räumliche Trennung, unterschiedliche Lieferanten/Technologien, Umwelt- und Spannungsüberwachung).

• Diagnoseaggregation und sicherer Fehlerzustand mit deterministischer Reaktionszeit.

• Wartungskonzepte und periodische Prüfungen mit dokumentierter Prüfabdeckung.

Diese Architektur erlaubt – bei hoher DCavg, MTTFd im Bereich „high“ und ausreichendem CCF-Nachweis – typischerweise PL d/e bzw. SIL2/3, abhängig von den konkreten Ausfallraten und Testintervallen.Komponenten, Sensorik und Auswahlkriterien

• Näherungssensoren: Induktiv (metallische Ziele), kapazitiv (nichtmetallische Medien), magnetisch/Hall (Magnetfelder); typisch für Endlagen, Zählaufgaben.

• Optische Sensoren: Einweg, Reflexions- und Reflexlichtschranken; Laser-Distanz, Lidar; beachten: Oberflächenfarbe, Glanz, Transparenz, Einfallswinkel.

• Ultraschall- und Radarsensoren: Distanz/Füllstand bei staubigen, nebligen oder transparenten Medien; Blindzone und Temperaturdrift berücksichtigen.

• Kraft-, Druck-, Dehnmessung: DMS, piezoresistiv, piezoelektrisch; Spezifikationen zu Linearität, Hysterese, Kriechen.

• Temperatur: Thermoelemente, RTD (Pt100/1000), NTC; Kalibrierbarkeit und Austauschbarkeit (IEC 60751) beachten.

• Durchfluss/Füllstand: Magnetisch-induktiv, Coriolis, Turbine, Differenzdruck, Schwimmer, geführte Mikrowelle; Medienverträglichkeit und Einbauberuhigung.

• Identifikation/Tracking: RFID, Codescanner, Vision-Systeme; Beleuchtung, Tiefenschärfe, Bildrate.

• Aktuatoren: Elektrische Antriebe (Servo/Schrittmotoren), Relais/SSR, Heizer; pneumatische/hydraulische Zylinder und Proportionalventile. Beachten: Reaktionszeit, Stellkraft, Energieeffizienz, Geräusch, Wartung.

• IP-Schutzarten: IP65 (Strahlwasser), IP67 (zeitweiliges Untertauchen), IP69K (Hochdruck-/Dampfstrahlreinigung); für Stoß/Schlag IK-Klassen (z. B. IK08).

• Temperatur/Feuchte: Betriebs- und Lagertemperatur, Kondensation; Derating bei hohen Temperaturen; ggf. Heizung/Belüftung.

• Chemikalien/Medien: Beständigkeit von Gehäusen, Dichtungen und Kabeln gegen Öle, Reinigungsmittel, UV, Salzsprühnebel.

• Mechanik: Vibration/Schock nach IEC 60068; Montageorientierung und Entkopplung (Schwingmetalle).

• Außenbereich: UV-stabile Materialien, Überspannungsschutz (Blitz/Surge IEC 61000-4-5), Schutz gegen Insekten/Staub.

• Hygienic Design: Glatte, totraumarme Gehäuse, EHEDG-konforme Komponenten, IP69K; Dichtungswerkstoffe (EPDM/FKM) mit FDA-Zulassung.

• Sicherheit: SIL nach IEC 61508/61511, PL nach EN ISO 13849-1 (MTTFd, DC, CCF); ATEX/IECEx für Ex-Zonen (II 2G/2D etc.); funktionale Sicherheitsdaten (SFF, PFH) prüfen.

• Konformität: CE (u. a. EMV, Niederspannung), UKCA; UL/CSA/NRTL für Nordamerika; NEMA-Typen (z. B. 4X) als Pendant zu IP.

• EMV: Störaussendung/-festigkeit gemäß EN 61000-6-2/-6-4; ESD (IEC 61000-4-2), Burst (‑4-4), Surge (‑4-5), leitungs-/feldgebundene Störungen (‑4-6/‑4-3).

• Material/Umwelt: RoHS, REACH; in Food/Pharma ggf. FDA/EU 1935/2004; Druckgeräte/Measuring Instruments Directive je nach Anwendung.

• Elektrische Schnittstellen: 24 V DC Standard; IO-Link für Parametrierung/Diagnose; Feldbus/Industrial Ethernet (Profinet, EtherCAT, EtherNet/IP, CANopen).

• Anschlüsse: M8/M12, Push-Pull; Dichtheit nur bei korrektem Drehmoment/abgedichtetem Gegenstecker; Kabelbiegeradius und Zugentlastung beachten.

• EMV-gerecht verdrahten: Getrennte Führung von Leistungs- und Signalleitungen, Schirmung beidseitig mit EMV-Federn, sternförmige Erdung; Ferrite bei HF-Störungen.

• Schutzbeschaltungen: Freilaufdioden bei induktiven Lasten, RC-Snubber für Relaiskontakte, Varistoren/TVS-Dioden; SSR-Leckstrom berücksichtigen.

• Mechanik/Montage: Feste, verwindungsarme Befestigung; Ausrichtung gemäß Datenblatt (z. B. Ultraschall); Sichtfenster sauber, Entwässerungsbohrungen vorsehen.

• Software/Parametrierung: Hysterese, Filter, Totband zur Stabilisierung; Takt-/Abtastrate auf Prozessdynamik abstimmen; Versionsmanagement für Parameter.

• Wartung/Kalibrierung: Zugänglichkeit, Austauschbarkeit (Stecksysteme), Proof-Test-Intervalle bei SIL; Reinigbarkeit ohne Demontage in Hygienebereichen.

Systematische Fehler resultieren aus Unzulänglichkeiten im Entwicklungsprozess: unklare Anforderungen, fehlerhafte Architekturentscheidungen, unzureichende Verifikation oder Implementierungsfehler. Sie sind prinzipiell reproduzierbar und nicht durch statistische Mittel beherrschbar; ihre Vermeidung erfordert Prozessdisziplin und Evidenz. Zentrale Maßnahmen sind: präzise, testbare Anforderungen mit bidirektionaler Traceability; unabhängige Reviews von Spezifikationen, Architektur und Code; formale Methoden und Modellprüfung zur Verifikation sicherheitskritischer Anteile; statische Analyse, verbindliche Programmierleitfäden und Metriken (z. B. MISRA-konforme Regeln, MCDC-Abdeckung für sicherheitsrelevante Logik); systematische Testpyramide von Unit- bis Systemtests mit Fehlerinjektion und Stresstests; Konfigurations- und Änderungsmanagement mit strengem Baseline- und Freigabeprozess; organisatorische Unabhängigkeit von Entwicklung, Verifikation und Sicherheit; sicherheitsorientierte Gefahren- und Risikoanalysen (z. B. HAZOP, FMEA) als verbindliche Eingaben für Architekturentscheidungen. Ein „Safety Case“ aggregiert die Evidenzen und stellt die Argumentation der Risikominderung nachvollziehbar dar.

Zufällige Ausfälle sind auf stochastische Phänomene wie Materialermüdung, Halbleiter-Defekte oder Kosmikstrahlung zurückzuführen. Sie werden über Ausfallraten modelliert und über architektonische Mittel beherrscht. Wichtige Mechanismen sind: Derating, Schutz gegen Überspannung/Überstrom, thermisches Design; Fehlererkennungsmechanismen (ECC/Parity für Speicher, End-to-End-CRC, Analogüberwachung, Plausibilitäts- und Bereichsprüfungen); Überwachungsinstanzen (Watchdog, Takt-/Spannungsmonitoring); Redundanz- und Abstimmungsprinzipien (1oo2, 2oo3, TMR) mit nachgewiesener Diagnosedeckung; FMEDA zur Quantifizierung der sicheren, gefährlichen und diagnostizierbaren Ausfälle sowie der Reaktionszeiten. Verschleißphasen (Early Life, Wear-out) werden über Bauteilqualifikation, Screening (z. B. Burn-in) und vorbeugende Wartung adressiert.

Umwelteinflüsse wie Temperatur, Feuchte, Vibration, EMV-Störungen, leitungsgebundene Störgrößen oder ionisierende Strahlung können sowohl unabhängige als auch gleichgerichtete Fehlfunktionen hervorrufen. Common-Cause-Failures gefährden Redundanzkonzepte, wenn mehrere Kanäle durch eine gemeinsame Ursache gleichzeitig versagen. Präventionsstrategien umfassen: physische und funktionale Entkopplung redundanter Pfade (räumliche Trennung, galvanische Isolation, getrennte Energieversorgung); Diversität in Technik und Implementierung (verschiedene Mikrocontroller, unterschiedliche Softwareversionen/Compiler, heterogene Sensorik); systematische EMV-Robustheit (Abschirmung, Filter, Schutzbeschaltungen, sauberes Leiterplattendesign, Erdungskonzepte); Umweltqualifikation und -tests (z. B. Temperaturzyklen, Schock/Vibration, HALT/HASS) im erwarteten Betriebsprofil; Kontaminations- und Feuchteschutz (Gehäuse, Beschichtungen); probabilistische Bewertung von CCF (z. B. Beta-Faktor-Modelle) und Minimierung gemeinsamer Einflussfaktoren in Betrieb, Wartung und Softwarekonfiguration.

Selbsttests erhöhen die Diagnosedeckung und reduzieren die Expositionszeit gefährlicher Ausfälle. Typische Klassen sind: Power-On Self Tests (POST) für Speicher (March-Tests), Rechenwerk (LBIST), Peripherie und Kommunikationspfade; periodische Built-In-Tests (PBIT) zur Überwachung während des Betriebs ohne unzulässige Funktionsbeeinträchtigung; kontinuierliche Überwachung (CBIT) durch Watchdogs, Heartbeats, Plausibilitäts- und Kreuzvergleiche redundanter Sensoren/Aktuatoren; End-to-End-Schutz mit Sequenzzählern und CRC entlang der Signal- und Datenverarbeitungskette; Online-Kalibrier- und Loop-Back-Tests. Diagnosekonzepte müssen Reaktionszeiten, Abdeckung und Fehlalarmraten balancieren und deterministisch in die Fehlerbehandlung überführt werden.

Sicherheitskonzepte definieren einen domänenspezifischen sicheren Zustand und die maximal zulässige Fehlerreaktionszeit. Beispiele sind energieentkoppelte Zustände (de-energize-to-trip), Safe-Torque-Off an Antrieben, Druckentlastung in Fluidik, sicheres Anhalten mit Haltebremse. Zwischenlösungen in Form degradierter, aber sicherer Betriebsarten (fail-operational for limited time) sind möglich, wenn die Residualrisiken beherrscht werden. Eine deterministische Zustandsmaschine regelt: Fehlererkennung, Übergang in den Notfallmodus, Einleitung des sicheren Restzustands, Rückkehr in den Normalbetrieb nach verifizierter Behebung. Vorrang haben Mensch- und Anlagenschutz vor Verfügbarkeit; Konflikte werden explizit bewertet und dokumentiert.

Die systematische Erfassung von Fehlern ist Voraussetzung für Nachweisführung, kontinuierliche Verbesserung und Flottenlernen. Notwendig sind: ereignisgetreues Logging mit Zeitstempeln, Kontext (Betriebszustand, Umweltparameter), Fehlercodes und -klassen; Unveränderbarkeit und Datenschutz (z. B. kryptographische Signaturen, Zugriffskontrollen); strukturierte Prozesse (FRACAS, Root-Cause-Analysis, 8D, CAPA) mit klaren Verantwortlichkeiten und Wirksamkeitsprüfung; Rückfluss in Anforderungen, Architektur und Tests sowie kontrollierte Auslieferung von Abhilfen (Patches, Retrofit). Feldrückmeldungen werden statistisch ausgewertet (Häufigkeiten, Trendanalysen, Near-Miss) und gegen Sicherheitskennzahlen gespiegelt, um Prioritäten in Wartung, Redesign und Diagnoseabdeckung datenbasiert zu setzen.