Wann ist Fail-Safe wirklich Fail Safe?

Fail Safe Systeme gibt es in vielen Industriebereichen. In der Schachtentrauchung existieren aber keine passenden Normen. Wenn die Energieversorgung ausfällt, muss die Lüftungsklappe aufgehen. Aber es gibt noch andere Fehlerquellen…

Im Maschinen- und Anlagenbau gibt es ein Konstruktionsprinzip für sicherheitsrelevante Anlagen. Sind diese "Fail-Safe" konstruiert, wirken auftretende Fehler (Fail) in die sichere (Safe) Richtung. Bei dem Defekt eines Bauteils oder auch bei menschlichem Versagen wird das System automatisch in einen sichereren Zustand überführt. Voraussetzung für die Anwendung dieses Prinzips ist dabei das Vorhandensein eines sicheren Systemzustands.

Diesen sicheren Systemzustand gibt es auch bei Anlagen zur Rauchableitung aus Aufzugschächten. Er ist dann erreicht, wenn die im Normalbetrieb verschlossene Klappe am Schachtkopf geöffnet ist.

"Fail-Safe" in der Schachtentrauchung

In Ermangelung passender Normen oder allgemein anerkannter Regeln der Technik für Systeme zur Schachtentrauchung bedienen sich Hersteller gerne verwandter Normen aus der RWA-Technik. So ist es beispielsweise üblich, die Verschlussklappen nach EN12101-2 als NRWG (Natürliche Rauch- und Wärmeabzugsgeräte) zu prüfen und in Verkehr zu bringen.

Für die Ansteuerung dieser Klappen gibt es keine anwendbare Norm, nur für die Energieversorgung kann eine Prüfung hilfsweise nach EN 12101-10 erfolgen.

Man findet dort unter 3.1.12 folgende Begriffserklärung: Fail Safe System: "RWA-System, das bei Ausfall der Energieversorgung (Fail) automatisch in den sicheren Zustand (Safe), die Entrauchungsposition, geht. Anmerkung: Die Festlegung dieses Begriffes ist nur in der deutschen Sprachfassung erforderlich."

Gegen welche Fehlerarten muss "Fail-Safe" eine Schachtentrauchung absichern? Außer Frage steht, dass bei Ausfall der Energieversorgung, der sichere Zustand der Anlage (offene Klappe) hergestellt werden muss – wie in der EN 12101-10 beschrieben. Ein System zur Schachtentrauchung ist aber nicht automatisch "Fail-Safe", wenn lediglich diese Eigenschaft erfüllt ist.

Es können weitere Fehler auftreten, die berücksichtigt werden müssen, beispielsweise:
- Fehlende Komponenten (z.B. punktförmige Rauchmelder, die aus ihrer Fassung entfernt werden)
- Leitungsunterbrechung (z.B. Abtrennen / Abscheren einer Leitung)
- Kurzschlüsse in einer Leitung (z.B. Beschädigung einer Leitung durch Eindringen von Fremdkörpern wie Nägel)

Während das Risiko eines Stromausfalls vom Errichter nicht zu beeinflussen ist, hängt die Wahrscheinlichkeit für Beschädigungen an Leitungen und Komponenten davon ab, wer Zugang zum Montageort (Schacht) hat.

Die Gefahr einer solchen Beschädigung steigt, wenn im Aufzugsschacht neben dem Entrauchungssystem-Errichter andere Gewerke, wie z.B. die Aufzugswartungsfirma oder nicht, bzw. schlecht geschulte Subunternehmer tätig sind. Besonderes Augenmerk muss daher auf die fehlersichere Auslegung des Systems im Hinblick auf Leitungsschluss oder -unterbrechung gelegt werden, wenn nicht mehr nur der Errichter allein in seinem Schacht arbeitet.

Aktive oder passive Systeme

Es gibt unterschiedliche Ansätze, ein System zur Schachtentrauchung gegen diese Fehlerquellen abzusichern. Häufig kommt z.B. ein federgespannter Antrieb zum Einsatz, der bei Stromausfall selbsttätig öffnet.

Eine aktive Leitungsüberwachung prüft jede Ader auf Unterbrechung und Kurzschluss und bei Störungen die angeschlossene Klappe öffnen. Passive Systeme setzen auf Relaistechnik und unterbrechen bei Auslösen von Rauchmelder oder Handtaster die Versorgungsspannung des Antriebs.

Hier kann ohne zusätzliche Maßnahmen ein eindringender Fremdkörper die Leitungen so kurzschließen, dass das Auslösen eines Rauch-/Feueralarms durch eines der Elemente dahinter unerkannt und folgenlos bleibt. Es sollten also zusätzliche Maßnahmen getroffen werden, um auch diesen Fall zu verhindern.

Bei der Auslegung eines Systems zur Rauchableitung aus Aufzugschächten ist also die Angabe "Fail-Safe" nur gerechtfertigt, wenn auch Fehler und Schlüsse in Leitungen aktiv erkannt werden oder durch andere geeignete Maßnahmen den sicheren Zustand herbeiführen.

Martin Müller
Der Autor ist Dipl.-Ing. Elektrotechnik und arbeitet bei Bluekit als Leiter des Business Developments.

Weitere Informationen: bluekit.de