Sicherheitsschaltgeräte und Sicherheits-SPS

Eine Maschine schaltet ab, sobald jemand den Not-Halt drückt. Klingt simpel. Aber was passiert, wenn genau in dem Moment ein Kontakt im Steuerstromkreis verschweißt ist? Dann bleibt der Antrieb stehen – oder eben nicht. Eine normale Steuerung würde diesen Fehler gar nicht bemerken. Für Sicherheitsfunktionen reicht das nicht. Es braucht Geräte, die so gebaut sind, dass auch ein versteckter Fehler die Schutzwirkung nicht aushebelt.

Dafür gibt es zwei Welten: das Sicherheitsschaltgerät – fest verdrahtet, für einzelne, überschaubare Funktionen – und die Sicherheits-SPS – programmierbar, für viele oder komplexe Funktionen. Dieser Beitrag zeigt, wie diese Geräte funktionieren, warum sie anders aufgebaut sind als normale Steuerungstechnik und wie man entscheidet, welches man einsetzt.

Vorwissen

  • Schütze und Relais
  • Not-Halt-Konzepte
  • Funktionale Sicherheit nach ÖNORM EN ISO 13849

Lernziele

Nach diesem Beitrag kannst du:

  • erklären, warum eine Sicherheitsfunktion nicht mit normaler Standard-Steuerungstechnik realisiert werden darf
  • den zweikanaligen Aufbau eines Sicherheitsschaltgeräts und das Prinzip der zwangsgeführten Kontakte beschreiben
  • die Begriffe Ein-/Zweikanaligkeit, Querschluss, Erdschluss und Rückführkreis fachlich einordnen
  • den Aufbau und die Besonderheiten einer Sicherheits-SPS gegenüber einer Standard-SPS benennen
  • für eine konkrete Anwendung begründet entscheiden, ob ein Sicherheitsschaltgerät oder eine Sicherheits-SPS die passende Lösung ist

1. Warum eigene Geräte für die Sicherheit?

In einer Maschinensteuerung laufen zwei Aufgaben nebeneinander, die man sauber auseinanderhalten muss. Die eine ist die Standard-Steuerung: Sie sorgt dafür, dass die Maschine das tut, was sie tun soll – Motor an, Förderband los, Zylinder ausfahren. Die andere ist die Sicherheitsfunktion: Sie sorgt dafür, dass niemand zu Schaden kommt, wenn etwas schiefgeht. Beim Druck auf den Not-Halt zum Beispiel muss der Antrieb sicher in den sicheren Zustand gehen – meist energielos und stillstehend.

Der Unterschied klingt nach Wortklauberei, ist aber fundamental. Eine Standard-Steuerung wird danach beurteilt, ob sie im Normalbetrieb richtig arbeitet. Eine Sicherheitsfunktion wird danach beurteilt, ob sie auch dann noch wirkt, wenn ein Bauteil ausfällt.

Genau hier versagt normale Technik. Stell dir einen einfachen Steuerstromkreis vor: ein Not-Halt-Taster, ein Schütz, der Motor. Drückt man den Taster, fällt das Schütz ab, der Motor steht. Verschweißt aber ein Schützkontakt – ein durchaus üblicher Verschleißfehler –, dann bleibt der Motor unter Spannung, obwohl der Taster gedrückt ist. Das Tückische daran: Niemand merkt es. Beim nächsten normalen Ausschalten fällt es vielleicht auf, vielleicht auch nicht. Der Fehler bleibt unentdeckt, und die Schutzfunktion ist weg, ohne dass es irgendwo aufleuchtet.

Sicherheitsgerichtete Technik dreht dieses Prinzip um. Sie ist so gebaut, dass ein einzelner Fehler

  • entweder die Sicherheitsfunktion gar nicht erst beeinträchtigt (weil ein zweiter, unabhängiger Pfad sie übernimmt),
  • oder zumindest erkannt wird, sodass das Gerät selbst in den sicheren Zustand gehen.

Das ist der Kern: Fehlererkennung und sicherer Zustand. Wie viel Aufwand dafür nötig ist, hängt vom Risiko der Maschine ab. Welcher Grad an Fehlerbeherrschung erforderlich ist, beschreibt die ÖNORM EN ISO 13849 über das Performance Level und die Sicherheitskategorien – das ist ein eigenes, großes Thema und wird in einem separaten Beitrag behandelt. Hier geht es um die Geräte, die diese Anforderungen praktisch umsetzen.

Warum darf eine Sicherheitsfunktion wie der Not-Halt nicht mit einem einfachen Standard-Schütz ohne weitere Maßnahmen realisiert werden?

  • a) Weil ein verschweißter Kontakt unbemerkt bleibt und die Schutzwirkung dann fehlt
  • b) Weil Standard-Schütze die zulässige Schaltspannung nicht erreichen
  • c) Weil Schütze grundsätzlich nicht für Wechselspannung geeignet sind
  • d) Weil ein Schütz keinen Not-Halt-Taster ansteuern kann

Richtig: a)

Das eigentliche Problem ist der unentdeckte Fehler. Ein verschweißter Kontakt hält den Stromkreis geschlossen, obwohl der Not-Halt gedrückt ist – und nichts meldet das. Antwort a trifft den Kern. b, c und d beschreiben keine sicherheitstechnischen Probleme: Schütze schalten problemlos Wechselspannung und können Tastersignale verarbeiten.

Was versteht man unter dem „sicheren Zustand“ einer Maschine?

  • a) Den Zustand, in dem die Maschine ihre höchste Produktivität erreicht
  • b) Den Zustand, in dem alle Standardfunktionen fehlerfrei ablaufen
  • c) Den Zustand, in dem von der Maschine keine Gefährdung mehr ausgeht – meist energielos und stillstehend
  • d) Den Zustand unmittelbar nach dem Einschalten

Richtig: c)

Der sichere Zustand ist definiert über die Gefährdung: In ihm geht von der Maschine keine Gefahr mehr aus, in der Regel weil sie energielos und stillstehend ist. a und b beschreiben den Normalbetrieb, d ist beliebig. Nur c beschreibt das sicherheitstechnische Ziel.

Welche Aussage zum Unterschied zwischen Standard-Steuerung und Sicherheitsfunktion ist korrekt?

  • a) Beide werden nach demselben Maßstab beurteilt, nämlich der Funktion im Normalbetrieb
  • b) Die Standard-Steuerung ist immer sicherheitsgerichtet ausgeführt
  • c) Eine Sicherheitsfunktion ist nur im Stillstand der Maschine aktiv
  • d) Die Sicherheitsfunktion muss auch bei einem Bauteilausfall noch wirksam bleiben oder den Fehler erkennen

Richtig: d)

Der entscheidende Unterschied liegt im Verhalten im Fehlerfall: Die Sicherheitsfunktion muss den Einzelfehler beherrschen (d). a ist falsch, weil gerade die Maßstäbe unterschiedlich sind. b stimmt nicht – Standard-Steuerungen sind eben nicht sicherheitsgerichtet. c verwechselt sicheren Zustand mit Aktivität: Die Funktion überwacht laufend, nicht nur im Stillstand.

2. Das Sicherheitsschaltgerät

Das Sicherheitsschaltgerät – oft auch Sicherheitsrelais genannt – ist die klassische Antwort auf eine einzelne, klar umrissene Sicherheitsfunktion. Ein Gerät überwacht zum Beispiel einen Not-Halt-Kreis oder eine Schutztür und gibt erst dann den Antrieb frei, wenn alles in Ordnung ist. Damit dieses „in Ordnung“ zuverlässig ist, steckt im Inneren mehr als nur ein Relais.

Zweikanaliger Aufbau

Der Kern ist die Zweikanaligkeit: Die Sicherheitsfunktion wird nicht über einen, sondern über zwei voneinander unabhängige Signalpfade geführt – zwei Kanäle, die parallel dasselbe überwachen. Man spricht von Redundanz. Fällt ein Kanal aus, übernimmt der zweite. Das Gerät vergleicht zusätzlich ständig, ob beide Kanäle das Gleiche melden. Weichen sie voneinander ab, erkennt das Schaltgerät den Fehler und geht in den sicheren Zustand, statt freizugeben.

Ein einkanaliger Aufbau hätte diese Eigenschaft nicht: Ein Fehler im einzigen Pfad bliebe unbemerkt, genau wie beim Schütz aus Kapitel 1. Erst die zweikanalige Ausführung mit Quervergleich macht einen Einzelfehler aufdeckbar.

In der Praxis bedeutet das beim Not-Halt: Der Taster hat zwei getrennte Öffnerkontakte, jeder geht auf einen eigenen Kanal des Schaltgeräts. Bei der Schutztür übernehmen das zwei getrennte Positionsschalter.

Zwangsgeführte Kontakte

Damit das Gerät seinen eigenen Zustand überhaupt überwachen kann, braucht es zwangsgeführte Kontakte (auch zwangsgeführte Relais). Bei einem normalen Relais können Schließer und Öffner unabhängig voneinander hängenbleiben – verschweißt ein Schließer, sagt der zugehörige Öffner nichts darüber aus. Bei zwangsgeführten Kontakten sind Öffner und Schließer mechanisch starr gekoppelt: Sie können niemals gleichzeitig geschlossen sein. Verschweißt ein Schließer, bleibt der zugehörige Öffner garantiert offen. Über diesen Öffner erkennt das Schaltgerät: „Hier klebt etwas“ – und verweigert die nächste Freigabe.

Die zwangsgeführten Kontakte sind damit das eigentliche Herz der Selbstüberwachung. Ohne sie wüsste das Gerät nichts über seinen inneren Zustand.

Eingänge, Freigabepfade und Rückführkreis

Ein Sicherheitsschaltgerät hat drei Arten von Anschlüssen, die man unterscheiden sollte:

Die Eingänge nehmen das überwachte Signal auf – die beiden Kanäle vom Not-Halt-Taster oder von der Schutztür.

Die Freigabepfade sind die sicheren Ausgänge. Über sie gibt das Gerät den Antrieb frei, indem es die Spuleneingänge der Leistungsschütze ansteuert. Erst wenn beide Kanäle sauber sind, schließen die Freigabepfade.

Der Rückführkreis – auch EDM für External Device Monitoring, also Überwachung externer Geräte – schließt den Kreis zurück. Die nachgeschalteten Leistungsschütze haben ihrerseits zwangsgeführte Kontakte. Deren Öffner werden in den Rückführkreis des Schaltgeräts gelegt. So prüft das Gerät vor jeder Freigabe, ob die externen Schütze wirklich abgefallen sind. Klebt ein Schütz, ist sein zwangsgeführter Öffner offen, der Rückführkreis ist unterbrochen, und das Schaltgerät gibt nicht frei. Die Selbstüberwachung reicht damit über das Gerät hinaus bis in die Leistungsschütze.

Quer- und Erdschluss

Ein eigenständiges Fehlerbild verdient Beachtung: der Querschluss. Damit ist eine ungewollte elektrische Verbindung zwischen den beiden Kanälen gemeint – etwa eine durchgescheuerte Leitung, bei der sich zwei Adern berühren. Das ist heimtückisch, weil ein Querschluss die Zweikanaligkeit aushebeln kann: Plötzlich führen beide Kanäle dasselbe Signal, obwohl sie unabhängig sein sollten. Ein einfacher Quervergleich würde das nicht bemerken, weil beide Kanäle ja „gleich“ melden.

Höherwertige Sicherheitsschaltgeräte lösen das, indem sie auf den beiden Kanälen unterschiedlich getaktete Signale ausgeben statt eines konstanten Pegels. Jeder Kanal trägt eine eigene Taktung, einen eigenen „Fingerabdruck“. Kommt es zum Querschluss, landet plötzlich das Taktmuster des einen Kanals auf dem anderen – das Gerät erkennt die Vermischung und schaltet ab. Der Erdschluss, also eine ungewollte Verbindung eines Kanals gegen Erde, wird auf ähnliche Weise erkannt.

Start: manuell, automatisch, überwacht

Bleibt die Frage, wann ein Gerät nach einem ausgelösten Not-Halt wieder freigibt. Hier unterscheidet man:

Beim automatischen Start gibt das Gerät selbsttätig wieder frei, sobald die Bedingung erfüllt ist – also etwa die Schutztür wieder geschlossen wird. Das ist nur dort zulässig, wo das selbsttätige Wiederanlaufen keine Gefahr bringt.

Beim manuellen Start muss eine Person nach dem Schließen der Tür zusätzlich einen Start-Taster betätigen. Damit liegt die Entscheidung zum Wiederanlauf bewusst beim Menschen.

Der überwachte Start geht noch einen Schritt weiter: Das Gerät prüft den Start-Taster selbst auf korrekte Betätigung – er muss gedrückt und wieder losgelassen werden. So lässt sich ein verklemmter oder überbrückter Start-Taster aufdecken, der sonst einen unbeabsichtigten Anlauf verursachen könnte.

Zweikanaliger Not-Halt am SicherheitsschaltgerätNot-Halt-Taster K1 K2 Zwangsöffnung Kanal 1 Kanal 2 Sicherheits- schaltgerät Quervergleich der Kanäle Selbstüberwachung E1 E2 Rückführkreis (EDM) Freigabe Q1 Q2 Leistungs- schütze M zwangsgeführte Öffner der Schütze Q1/Q2
Zweikanaliger Not-Halt am Sicherheitsschaltgerät

Wozu dienen zwangsgeführte Kontakte in einem Sicherheitsschaltgerät?

  • a) Sie erhöhen den maximal schaltbaren Strom des Geräts
  • b) Sie ersetzen die Notwendigkeit einer zweikanaligen Verdrahtung
  • c) Sie sorgen dafür, dass das Gerät schneller schaltet
  • d) Sie koppeln Öffner und Schließer mechanisch, sodass ein verschweißter Kontakt über den zugehörigen Öffner erkennbar wird

Richtig: d)

Die starre mechanische Kopplung garantiert, dass Öffner und Schließer nie gleichzeitig geschlossen sind. Verschweißt ein Schließer, bleibt der Öffner offen und meldet den Fehler – das ist die Basis der Selbstüberwachung (d). a und c beschreiben Eigenschaften, die mit Zwangsführung nichts zu tun haben. b ist falsch: Zwangsführung und Zweikanaligkeit ergänzen sich, das eine ersetzt das andere nicht.

Warum kann ein einfacher Quervergleich zweier Kanäle einen Querschluss zwischen den Kanälen übersehen?

  • a) Weil der Quervergleich nur im stromlosen Zustand arbeitet
  • b) Weil bei einem Querschluss beide Kanäle dasselbe Signal führen und der Vergleich keine Abweichung findet
  • c) Weil der Querschluss die Versorgungsspannung des Geräts abschaltet
  • d) Weil der Quervergleich grundsätzlich nur einen Kanal auswertet

Richtig: b)

Beim Querschluss verbinden sich die Kanäle, beide melden plötzlich denselben Pegel. Der Vergleich sieht „beide gleich“ und damit scheinbar alles in Ordnung – der Fehler bleibt unentdeckt (b). Genau deshalb arbeiten höherwertige Geräte mit unterschiedlich getakteten Signalen. a und c sind erfunden, d widerspricht dem Prinzip des Vergleichs.

Welche Funktion hat der Rückführkreis (EDM) eines Sicherheitsschaltgeräts?

  • a) Er versorgt den Not-Halt-Taster mit Spannung
  • b) Er überwacht über die zwangsgeführten Öffner, ob die nachgeschalteten Leistungsschütze tatsächlich abgefallen sind
  • c) Er erhöht die Anzahl der verfügbaren Freigabepfade
  • d) Er taktet die Kanalsignale zur Querschlusserkennung

Richtig: b)

Der Rückführkreis schließt die Überwachung bis in die externen Schütze: Vor jeder Freigabe prüft das Gerät über deren zwangsgeführte Öffner, ob sie wirklich abgefallen sind (b). Klebt ein Schütz, bleibt der Kreis offen, keine Freigabe. a, c und d beschreiben andere Funktionen – die Taktung etwa gehört zur Quer-/Erdschlusserkennung, nicht zum EDM.

Worin liegt der sicherheitstechnische Vorteil des überwachten Starts gegenüber dem einfachen manuellen Start?

  • a) Der überwachte Start kommt ohne Start-Taster aus
  • b) Der überwachte Start gibt automatisch frei, sobald die Schutztür schließt
  • c) Der überwachte Start prüft den Start-Taster auf Drücken und Loslassen und deckt so einen verklemmten oder überbrückten Taster auf
  • d) Der überwachte Start ist nur bei einkanaligen Geräten möglich

Richtig: c)

Der überwachte Start verlangt eine vollständige Betätigung des Tasters – drücken und loslassen. Ein klemmender oder gebrückter Taster, der dauerhaft „gedrückt“ meldet, wird damit erkannt und kann keinen unbeabsichtigten Anlauf auslösen (c). a ist falsch, gerade der Taster wird ja geprüft. b beschreibt den automatischen Start. d ist erfunden.

3. Die Sicherheits-SPS

Sobald eine Anlage nicht eine, sondern viele Sicherheitsfunktionen hat – mehrere Not-Halte, etliche Schutztüren, Lichtgitter, Zustimmtaster, dazu unterschiedliche Abschaltgruppen –, wird die fest verdrahtete Lösung mit einzelnen Sicherheitsschaltgeräten unübersichtlich und teuer. Hier kommt die Sicherheits-SPS ins Spiel, oft als F-SPS bezeichnet (das F steht für fehlersicher) oder als sichere Steuerung.

Sie arbeitet im Grundprinzip wie eine normale SPS: zyklischer Programmablauf, Eingänge lesen, Programm verarbeiten, Ausgänge schreiben. Das Grundprinzip einer SPS wird in einem eigenen Beitrag erklärt und hier vorausgesetzt. Der Unterschied liegt darin, was zusätzlich passiert, damit die Steuerung sicherheitsgerichtet wird.

Sichere Ein- und Ausgänge

Eine F-SPS hat spezielle sichere Eingänge und sichere Ausgänge (F-Module). Sie übernehmen genau die Aufgaben, die beim Sicherheitsschaltgerät die Hardware erledigt: Die sicheren Eingänge geben getaktete Prüfsignale aus, um Quer- und Erdschlüsse in der Sensorverdrahtung zu erkennen. Die sicheren Ausgänge schalten zweikanalig und überwachen sich selbst auf verschweißte oder durchlegierte Bauteile. Das Prinzip ist also dasselbe wie beim Schaltgerät – nur in der Steuerung integriert und für viele Kanäle gleichzeitig.

Interne Redundanz und Selbsttest

Im Inneren ist die F-SPS redundant aufgebaut. Vereinfacht gesagt rechnen zwei Prozessoreinheiten dasselbe Programm und vergleichen ständig ihre Ergebnisse. Weichen sie ab, geht die Steuerung in den sicheren Zustand. Dazu laufen permanente Selbsttests von Speicher, Recheneinheit und Ein-/Ausgangsschaltung. Diese ganze Diagnose läuft im Hintergrund, ohne dass man sie programmieren muss.

Zertifizierte Funktionsbausteine

Sicherheitsfunktionen werden in der F-SPS nicht aus beliebigem Code zusammengesetzt, sondern aus zertifizierten Funktionsbausteinen – fertige, geprüfte Bausteine etwa für Not-Halt, Schutztürüberwachung, Zustimmtaster oder Muting. Man parametriert sie und verschaltet sie, schreibt aber nicht die sicherheitskritische Logik von Grund auf neu. Das reduziert Fehlerquellen und erleichtert die Abnahme.

Standard und Sicherheit auf einer Hardware

Ein großer praktischer Vorteil: Auf moderner F-Hardware laufen das normale Steuerungsprogramm und das Sicherheitsprogramm nebeneinander, aber strikt getrennt. Das Standardprogramm kann das Sicherheitsprogramm nicht beeinflussen – die Trennung ist von der Steuerung erzwungen. So spart man eine separate Steuerung, ohne die Sicherheit zu vermischen.

Vernetzung

Sicherheitssignale lassen sich über spezielle Bussysteme übertragen, etwa über sichere Protokolle, die auf den üblichen Feldbussen aufsetzen. Das Protokoll fügt den Datenpaketen zusätzliche Prüfmechanismen hinzu, sodass auch Übertragungsfehler erkannt werden. Damit lassen sich sichere Sensoren und Aktoren über große Anlagen verteilen, ohne jede Leitung einzeln zum zentralen Gerät zu ziehen. Die Details der einzelnen Bussysteme würden hier zu weit führen – wichtig ist das Prinzip: auch der Kommunikationsweg wird in die Fehlerbeherrschung einbezogen.

Was bedeutet das „F“ in der Bezeichnung F-SPS?

  • a) Feldbus
  • b) fehlersicher
  • c) Funktionsbaustein
  • d) Frequenz

Richtig: b)

Das F steht für fehlersicher und kennzeichnet die sicherheitsgerichtete Ausführung der Steuerung (b). Feldbus, Funktionsbaustein und Frequenz beginnen zwar zufällig mit F, sind aber nicht gemeint.

Wie wird in einer F-SPS sichergestellt, dass ein interner Rechenfehler nicht zum Verlust der Sicherheitsfunktion führt?

  • a) Durch ein besonders schnelles Standardprogramm
  • b) Durch eine höhere Taktfrequenz des einzelnen Prozessors
  • c) Durch redundante Recheneinheiten, die ihre Ergebnisse vergleichen und bei Abweichung in den sicheren Zustand gehen
  • d) Durch Abschalten aller Selbsttests im Normalbetrieb

Richtig: c)

Die interne Redundanz ist der Kern: Zwei Einheiten rechnen dasselbe und vergleichen laufend. Eine Abweichung führt direkt in den sicheren Zustand (c). a und b setzen auf Geschwindigkeit, die nichts über Fehlerbeherrschung aussagt. d ist das Gegenteil des Richtigen – Selbsttests laufen gerade permanent.

Warum werden Sicherheitsfunktionen in der F-SPS bevorzugt aus zertifizierten Funktionsbausteinen aufgebaut?

  • a) Weil geprüfte Bausteine Fehlerquellen reduzieren und die Abnahme erleichtern
  • b) Weil frei geschriebene Bausteine schneller ausgeführt werden
  • c) Weil zertifizierte Bausteine keinen Speicher belegen
  • d) Weil sie das Standardprogramm ersetzen

Richtig: a)

Fertige, geprüfte Bausteine vermeiden, dass jeder die sicherheitskritische Logik neu und womöglich fehlerhaft schreibt – das senkt das Fehlerrisiko und vereinfacht die Abnahme (a). b und c sind technisch nicht stichhaltig. d verwechselt Sicherheits- mit Standardprogramm.

Was ist mit der strikten Trennung von Standard- und Sicherheitsprogramm auf einer F-SPS gemeint?

  • a) Beide Programme dürfen nur auf getrennter Hardware laufen
  • b) Das Sicherheitsprogramm darf das Standardprogramm jederzeit überschreiben
  • c) Beide Programme teilen sich denselben Speicherbereich ohne Schutz
  • d) Das Standardprogramm kann das Sicherheitsprogramm nicht beeinflussen, die Trennung ist von der Steuerung erzwungen

Richtig: d)

Der Sinn der Trennung ist, dass ein Fehler im Standardprogramm die Sicherheitsfunktion nicht aushebeln kann – die Steuerung erzwindt diese Trennung, obwohl beide auf einer Hardware laufen (d). a widerspricht genau dem Vorteil der gemeinsamen Hardware. b und c würden die Sicherheit untergraben.

4. Auswahl: Sicherheitsschaltgerät oder Sicherheits-SPS?

Welche der beiden Lösungen passt? Die ehrliche Antwort lautet: Es hängt vom Umfang und vom Charakter der Anlage ab. Ein paar Kriterien führen schnell zur richtigen Entscheidung.

Anzahl der Sicherheitsfunktionen. Das ist das stärkste Kriterium. Eine einzelne Funktion – ein Not-Halt, eine Schutztür – ist mit einem Sicherheitsschaltgerät schnell, günstig und übersichtlich erledigt. Steigt die Zahl auf eine Handvoll und mehr, wird die Verdrahtung mehrerer Einzelgeräte aufwendig, und die F-SPS spielt ihre Stärke aus.

Änderungshäufigkeit. Wird die Anlage oft umgebaut oder erweitert, ist die programmierbare F-SPS klar im Vorteil: Eine Änderung ist Software, keine Neuverdrahtung. Bei einer stabilen Einzelfunktion, die sich nie ändert, ist das fest verdrahtete Schaltgerät robust und einfach.

Vernetzung. Müssen Sicherheitssignale über eine große oder verteilte Anlage transportiert werden, womöglich über einen Bus, führt praktisch kein Weg an der F-SPS mit sicherem Busprotokoll vorbei.

Diagnose. Die F-SPS liefert detaillierte Diagnose – welche Funktion warum ausgelöst hat, ist am HMI ablesbar. Das verkürzt die Fehlersuche erheblich. Das einzelne Schaltgerät zeigt meist nur über LEDs einen groben Status.

Kosten. Hier kippt es mit der Größe. Ein einzelnes Sicherheitsschaltgerät ist billig. Eine F-SPS hat hohe Grundkosten, skaliert dann aber gut: Ab einer gewissen Anzahl Funktionen wird sie pro Funktion günstiger als ein Stapel Einzelgeräte.

Als Faustregel: Bis etwa eine bis drei einfache, stabile Sicherheitsfunktionen sind Sicherheitsschaltgeräte meist die beste Wahl. Bei vielen Funktionen, häufigen Änderungen, Vernetzung oder hohem Diagnosebedarf ist die F-SPS sinnvoll. Mischformen sind üblich – etwa eine F-SPS für die Hauptanlage und ein autarkes Schaltgerät für einen abgesetzten Anlagenteil.

Die konkrete Verschaltung der einzelnen Schutzeinrichtungen – Schutztüren und Lichtgitter, Zustimmtaster und Zweihandsteuerung – ist jeweils ein Thema für sich und wird in eigenen Beiträgen behandelt. Hier geht es nur um die Logikkomponente dahinter.

Kriterium Sicherheitsschaltgerät Sicherheits-SPS (F-SPS)
Anzahl Funktionen wenige (1–3) viele
Realisierung fest verdrahtet programmiert
Änderungen Neuverdrahtung nötig Softwareänderung
Vernetzung kaum über sichere Busprotokolle
Diagnose grob (LEDs) detailliert (HMI)
Grundkosten niedrig hoch
Kosten je Funktion bei großem Umfang hoch niedrig

Lesehilfe zur Ausgabe: Ergebnis 1 bedeutet Empfehlung Sicherheits-SPS, weil Umfang, Änderungsbedarf, Vernetzung oder Diagnose dafür sprechen. Ergebnis 0 bedeutet Empfehlung Sicherheitsschaltgerät, weil wenige, stabile Funktionen ohne Vernetzungs- oder Diagnosebedarf fest verdrahtet einfacher und günstiger sind.

Eine kleine Maschine hat genau einen Not-Halt und eine Schutztür, wird nie umgebaut und braucht keine Busanbindung. Welche Lösung ist hier am sinnvollsten?

  • a) Eine vollausgebaute F-SPS mit sicherem Busprotokoll
  • b) Zwei getrennte F-SPS für maximale Redundanz
  • c) Ein oder zwei Sicherheitsschaltgeräte
  • d) Eine Standard-SPS ohne sichere Module

Richtig: c)

Wenige, stabile Funktionen ohne Vernetzung sind der klassische Fall für das Sicherheitsschaltgerät – einfach und günstig (c). a und b sind überdimensioniert und teuer. d scheidet aus, weil eine Standard-SPS keine Sicherheitsfunktion garantieren kann.

Welcher Faktor spricht am deutlichsten für den Einsatz einer Sicherheits-SPS statt mehrerer Einzelgeräte?

  • a) Eine große Zahl von Sicherheitsfunktionen mit Bedarf an Vernetzung und Diagnose
  • b) Eine einzelne, nie veränderte Sicherheitsfunktion
  • c) Möglichst niedrige Grundkosten bei nur einer Funktion
  • d) Der Wunsch, gänzlich auf zwangsgeführte Kontakte zu verzichten

Richtig: a)

Die F-SPS spielt ihre Stärke bei vielen Funktionen, Vernetzung und Diagnosebedarf aus (a). b und c sprechen gerade für das Einzelgerät. d ist ein Missverständnis – auch die F-SPS arbeitet sicher, nur eben mit anderen, integrierten Mitteln statt einzelner zwangsgeführter Relais.

Warum sind Mischlösungen aus F-SPS und einzelnen Sicherheitsschaltgeräten in der Praxis verbreitet?

  • a) Weil F-SPS und Schaltgeräte nie zusammen funktionieren dürfen
  • b) Weil die F-SPS keine Not-Halte verarbeiten kann
  • c) Weil Schaltgeräte nur als Ersatz bei Ausfall der F-SPS dienen
  • d) Weil ein abgesetzter oder einfacher Anlagenteil oft günstiger autark mit einem Schaltgerät gelöst wird, während die Hauptanlage die F-SPS nutzt

Richtig: d)

Es ist oft wirtschaftlich, einen kleinen oder abgesetzten Teil autark mit einem Schaltgerät zu lösen und die komplexe Hauptanlage über die F-SPS zu fahren (d). a ist falsch, beide lassen sich kombinieren. b stimmt nicht, die F-SPS verarbeitet Not-Halte problemlos. c beschreibt keine übliche Praxis.

Abschlusstest

Aufgabe 1: Was ist das grundlegende Problem, wenn eine Sicherheitsfunktion mit einem einzelnen Standard-Schütz ohne Überwachung realisiert wird?

  • a) Ein verschweißter Kontakt bleibt unentdeckt und die Schutzwirkung geht verloren
  • b) Das Schütz schaltet zu langsam
  • c) Das Schütz benötigt zu viel Steuerspannung
  • d) Der Not-Halt-Taster wird überlastet

Richtig: a)

Der unentdeckte Einzelfehler ist der Kern: Ein verschweißter Kontakt hebt die Schutzwirkung auf, ohne dass es bemerkt wird (a). Die anderen Optionen beschreiben keine sicherheitsrelevanten Mechanismen.

Aufgabe 2: Welche Eigenschaft macht zwangsgeführte Kontakte für die Selbstüberwachung unverzichtbar?

  • a) Sie schalten höhere Ströme
  • b) Sie arbeiten völlig verschleißfrei
  • c) Sie benötigen keine Hilfsspannung
  • d) Öffner und Schließer sind mechanisch starr gekoppelt und nie gleichzeitig geschlossen

Richtig: d)

Die starre Kopplung sorgt dafür, dass ein verschweißter Schließer über den dann offenen Öffner erkennbar wird (d). a, b und c sind keine Eigenschaften der Zwangsführung.

Aufgabe 3: Wie hebelt ein Querschluss zwischen zwei Kanälen die Sicherheitswirkung aus, und wie wird er erkannt?

  • a) Er trennt beide Kanäle; Erkennung über Spannungsmessung
  • b) Er verbindet beide Kanäle zu einem Signal; Erkennung über unterschiedlich getaktete Kanalsignale
  • c) Er erhöht den Widerstand; Erkennung über Temperaturmessung
  • d) Er stört nur die Versorgung; Erkennung über eine Sicherung

Richtig: b)

Ein Querschluss macht aus zwei unabhängigen Kanälen scheinbar einen – ein einfacher Vergleich findet keine Abweichung. Getaktete Kanalsignale decken die Vermischung auf (b).

Aufgabe 4: Welche Aufgabe hat der Rückführkreis (EDM) eines Sicherheitsschaltgeräts?

  • a) Er erkennt Querschlüsse in der Tasterverdrahtung
  • b) Er versorgt das Schaltgerät mit Spannung
  • c) Er überwacht über die zwangsgeführten Öffner, ob die Leistungsschütze abgefallen sind
  • d) Er schaltet zwischen manuellem und automatischem Start um

Richtig: c)

Der EDM bezieht die externen Leistungsschütze in die Überwachung ein. Klebt eines, bleibt der Kreis offen und es gibt keine Freigabe (c).

Aufgabe 5: Worin unterscheidet sich der überwachte Start vom einfachen manuellen Start?

  • a) Er prüft den Start-Taster auf Drücken und Loslassen und erkennt so einen verklemmten Taster
  • b) Er kommt ohne Start-Taster aus
  • c) Er gibt automatisch bei geschlossener Tür frei
  • d) Er ist nur bei einkanaligen Geräten möglich

Richtig: a)

Der überwachte Start verlangt eine vollständige Tasterbetätigung und deckt damit einen klemmenden oder überbrückten Taster auf (a).

Aufgabe 6: Eine Anlage hat zwölf Schutztüren, mehrere Not-Halte und soll künftig mehrfach erweitert werden. Welche Lösung ist sinnvoll?

  • a) Zwölf einzelne Sicherheitsschaltgeräte
  • b) Eine Standard-SPS mit normalen Eingängen
  • c) Ein einziges Sicherheitsschaltgerät für alle Türen
  • d) Eine Sicherheits-SPS

Richtig: d)

Viele Funktionen plus häufige Erweiterung sind der klassische F-SPS-Fall – Änderungen sind dann Software statt Neuverdrahtung (d). a ist unübersichtlich und teuer, b unsicher, c technisch nicht möglich.

Aufgabe 7: Was bedeutet die strikte Trennung von Standard- und Sicherheitsprogramm auf einer F-SPS?

  • a) Sie laufen zwingend auf zwei getrennten Geräten
  • b) Das Standardprogramm kann das Sicherheitsprogramm nicht beeinflussen, obwohl beide auf einer Hardware laufen
  • c) Das Sicherheitsprogramm darf das Standardprogramm überschreiben
  • d) Beide teilen sich ungeschützt denselben Speicher

Richtig: b)

Die erzwungene Trennung stellt sicher, dass ein Fehler im Standardprogramm die Sicherheitsfunktion nicht aushebeln kann – und das auf gemeinsamer Hardware (b).

Aufgabe 8: Wie sorgt eine F-SPS intern dafür, dass ein Rechenfehler die Sicherheit nicht gefährdet?

  • a) Durch einen besonders schnellen Einzelprozessor
  • b) Durch Abschalten der Selbsttests im Betrieb
  • c) Durch redundante Recheneinheiten mit ständigem Ergebnisvergleich und Übergang in den sicheren Zustand bei Abweichung
  • d) Durch ein größeres Standardprogramm

Richtig: c)

Interne Redundanz mit Vergleich ist der Kern: Weichen die Einheiten ab, geht die Steuerung in den sicheren Zustand (c).

Aufgabe 9: Wozu dienen zertifizierte Funktionsbausteine in der F-SPS?

  • a) Sie ersetzen die sicheren Ein- und Ausgänge
  • b) Sie liefern geprüfte Logik für Sicherheitsfunktionen und senken so das Fehlerrisiko
  • c) Sie erhöhen die Taktfrequenz der Steuerung
  • d) Sie sind nur für das Standardprogramm vorgesehen

Richtig: b)

Fertige, geprüfte Bausteine ersparen das fehleranfällige Neuschreiben sicherheitskritischer Logik und erleichtern die Abnahme (b).

Aufgabe 10: Welche Aussage zur sicheren Vernetzung in einer F-SPS-Anlage trifft zu?

  • a) Sicherheitssignale dürfen niemals über einen Bus übertragen werden
  • b) Ein normaler Feldbus ohne Zusatzmaßnahmen ist für Sicherheitssignale ausreichend
  • c) Vernetzung schaltet die interne Selbstüberwachung ab
  • d) Sichere Busprotokolle fügen den Datenpaketen zusätzliche Prüfmechanismen hinzu, um Übertragungsfehler zu erkennen

Richtig: d)

Sichere Protokolle setzen auf den üblichen Bussen auf und ergänzen Prüfmechanismen, damit auch der Übertragungsweg in die Fehlerbeherrschung einbezogen wird (d). a ist zu absolut, b unsicher, c erfunden.

Aufgabe 11: Welches Kriterium ist bei der Wahl zwischen Schaltgerät und F-SPS am stärksten ausschlaggebend?

  • a) Die Farbe der Verdrahtung
  • b) Die Anzahl der zu realisierenden Sicherheitsfunktionen
  • c) Der Hersteller des Not-Halt-Tasters
  • d) Die Länge der Steuerleitungen

Richtig: b)

Die Anzahl der Sicherheitsfunktionen ist der stärkste Hebel: wenige sprechen fürs Schaltgerät, viele für die F-SPS (b). Die übrigen Punkte sind für die Grundsatzentscheidung unwesentlich.

Aufgabe 12: Warum reicht ein einfacher Quervergleich beider Kanäle allein nicht aus, um alle relevanten Verdrahtungsfehler zu erkennen?

  • a) Weil der Vergleich zu langsam ist
  • b) Weil der Vergleich nur bei Gleichspannung funktioniert
  • c) Weil un Querschluss beide Kanäle gleich erscheinen lässt und so unentdeckt bleibt
  • d) Weil der Vergleich die zwangsgeführten Kontakte ersetzt

Richtig: c)

Der Querschluss erzeugt scheinbare Übereinstimmung – genau das, was der Vergleich als „in Ordnung“ wertet. Erst getaktete Signale decken ihn auf (c).

Glossar

Sicherheitsschaltgerät (Sicherheitsrelais)
Fest verdrahtetes Gerät, das eine einzelne Sicherheitsfunktion zweikanalig überwacht und den Antrieb erst nach erfolgreicher Selbstprüfung freigibt.
Sicherheits-SPS (F-SPS)
Programmierbare, fehlersichere Steuerung, die viele Sicherheitsfunktionen bündelt, intern redundant arbeitet und sich selbst überwacht.
Sheitsfunktion
Maßnahme der Steuerung, die im Anforderungsfall eine Gefährdung verhindert, etwa das sichere Abschalten eines Antriebs beim Not-Halt.
Sicherer Zustand
Zustand, in dem von der Maschine keine Gefährdung mehr ausgeht, in der Regel energielos und stillstehend.
Zweikanaligkeit
Ausführung einer Sicherheitsfunktion über zwei unabhängige Signalpfade, sodass ein Einzelfehler durch Vergleich der Kanäle erkannt wird.
Redundanz
Mehrfache Auslegung einer Funktion, sodass beim Ausfall eines Teils ein anderer übernimmt.
Zwangsgeführte Kontakte
Relaiskontakte, bei denen Öffner und Schließer mechanisch starr gekoppelt und nie gleichzeitig geschlossen sind; Grundlage der Selbstüberwachung.
Querschluss
Ungewollte elektrische Verbindung zwischen zwei eigentlich unabhängigen Kanälen, die die Zweikanaligkeit aushebeln kann.
Erdschluss
Ungewollte Verbindung eines Leiters oder Kanals gegen Erde.
Rückführkreis (EDM)
Kreis, über den ein Sicherheitsschaltgerät anhand der zwangsgeführten Öffner der nachgeschalteten Leistungsschütze prüft, ob diese wirklich abgefallen sind.
Freigabepfad
Sicherer Ausgang eines Sicherheitsschaltgeräts, über den nach erfolgreicher Prüfung der Antrieb freigegeben wird.
Überwachter Start
Startfunktion, die den Start-Taster auf Drücken und Loslassen prüft und so einen verklemmten oder überbrückten Taster aufdeckt.
Sichere Ein-/Ausgänge (F-Module)
Baugruppen einer F-SPS, die getaktete Prüfsignale ausgeben und sich selbst überwachen, um Verdrahtungs- und Bauteilfehler zu erkennen.
Zertifizierter Funktionsbaustein
Geprüfter, fertiger Softwarebaustein für eine Sicherheitsfunktion, der parametriert statt neu programmiert wird.

Scroll to Top