Sicherheit von Maschinen

Sicherheit von
Maschinen
Inhalt
Vorbemerkung...................................................4
Warum Sicherheit? ...........................................6
Rechtsstrukturen ............................................10
Risikobeurteilung............................................ 16
Sichere Gestaltung und technische
Schutzmaßnahmen ........................................
Funktionale Sicherheit.................................. 0
Normen zum Steuerungssystem – Berechnungsbeispiele ................................. 8
Software-Assistent SISTEMA ..................... 58
Zertifizierte Sicherheitslösungen............. 60
Service und Schulungen .............................. 64
Informationsquellen ..................................... 66
Anhänge – Architekturen............................. 68
Vorbemerkung
4
Die Gesetzgebung zur Maschinensicherheit ist
ein komplexes Thema. Zum besseren Verständnis
werden Vereinfachungen vorgenommen, welche die
Anforderungen nicht im gesamten Umfang darstellen.
Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern,
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt
keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen.
5
Warum Sicherheit?
6
Abgesehen von der moralischen Verpflichtung, Personen
vor Verletzungen zu schützen, schreiben Gesetze vor,
dass Maschinen sicher sein müssen. Darüber hinaus gibt
es triftige wirtschaftliche Gründe, Unfälle zu vermeiden.
Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der
Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb,
Wartung und ggf. Entsorgung.
Gestaltung/Bau
Installation
Anpassung/Betrieb
Wartung
Neue Maschinen - die Maschinenrichtlinie
Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren. Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft. Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt 282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder, die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG).
Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt. Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die technischen Unterlagen bereitgestellt werden können, die e-Kennzeichnung angebracht ist und eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den Markt gebracht wird.
Bestehende Maschinen – die Arbeitsmittelbenutzungsrichtlinie
Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG
folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht
werden, die der betreffenden Norm entsprechen.
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung
und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen.
Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und
gewartet werden.
Unfallkosten
Einige Kosten sind offensichtlich, wie z.B. das Krankengeld für verletzte Angestellte. Jedoch
entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety
Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine,
der zu Kosten in Höhe von ca. 51.300 € (HSE INDG355) führte. Hierbei sind einige weniger
offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar
auf den doppelten Betrag. Ein von Schneider Electric Ltd analysierter Unfall, eine reversible
Kopfverletzung, kostete den Arbeitgeber ca. 102.600 €. Von diesem Betrag wurden nur
ca. 42.200 € von der Versicherung übernommen. Die indirekten Kosten können erhöhte
Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des
öffentlichen Rufs umfassen.
Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.B.
die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen
dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen
von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu
Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können.
8
Die Richtlinien
gelten für alle
Angestellten,
Selbstständigen und
weiteren Personen,
die Kontrolle über
die Bereitstellung
von Arbeitsmitteln
haben.
Rechtsstrukturen
10
EU-Richtlinie:
Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien)
Norm:
Eine „Norm“ ist eine technische Spezifikation, die von einem anerkannten Normungs­
gremium für die wiederholte oder ständige Anwendung zugelassen wurde und dessen
Einhaltung nicht zwingend erforderlich ist.
Harmonisierte Norm:
Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten veröffentlicht wurde.
Konformitätsvermutung:
Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der
Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder
mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt
mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste
dieser Normen finden Sie unter http://www.newapproach.org/Directives/DirectiveList.asp
Natürlich ist auch
die Einhaltung
aller anderen
Gesundheits- und
Sicherheitsanforde­
rungen notwendig.
Dies gilt ebenfalls
für Produkte, für
die aufgrund der
Anwendung einer
bestimmten Norm
eine Konformitäts­
vermutung ausge­
stellt wurde.
11
A-, B- und C-Normen:
Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt:
A
B1
B2
C
Typ A-Normen
(Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine
Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können;
Typ B-Normen
(Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von
Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene
Maschinen verwendet werden können:
- Typ B1-Normen für bestimmte Sicherheitsaspekte (z.B. Sicherheitsabstände, Oberflächentemperatur, Lärm);
- Typ B2-Normen für Schutzeinrichtungen (z.B. Zweihandsteuerungen, Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen);
Typ C-Normen
(Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine
bestimmte Maschine oder eine Gruppe von Maschinen.
1
Weicht eine Typ C-Norm von einer oder mehreren
Bestimmungen für eine Typ A- oder Typ B-Norm ab,
hat die Typ C-Norm Priorität.
Einige Beispiele dieser Art von Normen:
EN ISO 12100
A
Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung
und -minderung
EN ISO 14121
A
Sicherheit von Maschinen - Risikobeurteilung - Leitsätze
EN 574
B
Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze
EN ISO 13850
B
Not-Halt - Gestaltungsleitsätze
EN IEC 62061
B
Funktionale Sicherheit sicherheitsbezogener elektrischer, elektro­
nischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1
B
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steue­
rungen - Teil 1 Allgemeine Gestaltungsleitsätze
EN 349
B
Mindestabstände, um das Quetschen von Körperteilen zu vermeiden
EN ISO 13857
B
Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen
von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen
EN 60204-1
B
Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen
- Teil 1: Allgemeine Anforderungen
EN 999/ISO 13855
B
Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsge­
schwindigkeiten von Körperteilen
EN 1088/ISO 14119
B
Verriegelungseinrichtungen in Verbindung mit trennenden Schutzein­
richtungen - Leitsätze für Gestaltung und Auswahl
EN 61496-1
B
Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anfor­
derungen und Prüfungen
EN 60947-5-5
B
Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und
Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion
EN 842
B
Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung
und Prüfung
EN 1037
B
Vermeidung von unerwartetem Anlauf
EN 953
B
Allgemeine Anforderungen an Gestaltung und Bau von feststehenden
und beweglichen Schutzeinrichtungen
EN 201
C
Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicher­
heitsanforderungen
EN 692
C
Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693
C
Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289
C
Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen
zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau
EN 422
C
Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen
an Gestaltung und Bau
EN ISO 10218-1
C
Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter
EN 415-4
C
Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und
Depalettierer
EN 619
C
Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an
mechanische Fördereinrichtungen für Stückgut
EN 620
C
Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für
ortsfeste Gurtförderer für Schüttgut
Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009.
1
Herstellerverantwortung
Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen,
müssen den Anforderungen der Maschinenrichtlinie entsprechen.
Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt.
Bitte beachten Sie, dass „in Verkehr bringen” auch bedeutet, dass eine Organisation sich
selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut,
oder Maschinen in den europäischen Wirtschaftsraum importiert.
Betreiberverantwortung
Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem
e-Kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie
verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden.
Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die Anwendung geeignet sein. Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden,
selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von
der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine
Konformitätserklärung und eine e-Kennzeichnung ausgestellt werden müssen.
14
15
15
Risikobeurteilung
16
Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen
die möglichen Risiken betrachtet werden, die durch die Verwendung
entstehen können. Risikobeurteilung und Risikominderung für
Maschinen werden in EN ISO 1411-1 beschrieben.
Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als „der richtige Weg” zum Durch­
führen einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt,
jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein
Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung
eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So
kann z.B. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich
Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können
hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten.
1
Bestimmen der Maschinengrenzen
Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine
Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und
welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vor­
hersehbaren Fehlgebrauch einer Maschine, wie z.B. durch eine nicht spezifikationskonforme Ver­
wendung. Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung?
Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt?
Identifizieren der Gefährdungen
Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie
die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werk­
zeug schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden
Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emis­
sion von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbren­
nungen durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten.
In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebens­
dauer der Maschine einschließlich Bau, Installation und Entsorgung entstehen können.
Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht
um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1.
Wer könnte durch die identifizierten Gefährdungen verletzt
werden und wann?
Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlge­
brauch mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem
Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht
nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen.
18
Durchschlagen, Einstich,
Scheren, Abschneiden
Erfassen, Aufwickeln,
Einziehen, Fangen
Stoß
Elektrischer Schlag
Kontakt mit gefährlichen
Substanzen
Verbrennungen
Quetschen
Hier werden Bei­
spiele typischer Ge­
fährdungen gezeigt,
jedoch handelt es
sich dabei nicht um
eine vollständige
Liste. Eine detail­
liertere Auflistung
finden Sie in EN ISO
1411-1.
Priorisieren der Risiken nach ihrer Schwere
EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch
Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen,
vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein.
Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicher­
weise zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz
wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konse­
quenzen sollten berücksichtigt werden, nicht nur der schlimmste Fall.
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschie­
denen Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen
Risikos gibt. Für eine Maschine gibt es keine allgemeine „Risikoeinstufung” oder „Risikokate­
gorie” – jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur
geschätzt werden kann – Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch
nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung.
Mit der mög­
lichen
Gefährdung
verbundenes
Risiko
Schwere
des
möglichen
Schadens
Wahrscheinlichkeit
des
Auftretens
Häufigkeit und Dauer der
Gefährdungsexposition
Möglichkeit zur Vermei­
dung oder Begrenzung
der Wahrscheinlichkeit
eines Ereignisses, durch
das ein Schadens ent­
steht
1
Risikominderung
Risikominderung ist Bestandteil der EN ISO 12100-2.
Die Definition der Risikominderung ist das Beseitigen von Risiken: „das Ziel der getroffenen Maßnahmen muss die
Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich
Transport, Aufbau, Abbau, Demontage und Entsorgung.”
Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im
wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie „angemessen” verwendet,
um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht
möglich ist.
Der Prozess der Risikobeurteilung erfolgt schrittweise – Zunächst müssen Risiken identifiziert, priorisiert und
mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern
(zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess
wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine
neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen
Schutzmaßnahmen.
Risikobeurteilung
Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele
zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer
Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur
Risikoeinschätzung und -bewertung beschrieben.
In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und
Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der
Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten
Risiken beurteilen zu können.
Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren
Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu
erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben.
0
Identifizierung der
Gefährdungen
Risikoeinschätzung
Risikobewertung
Ist die
Maschine
sicher?
Nein
Risikobeurteilung
Festlegung der
Grenzen der Maschine
Risikoanalyse
Start
Ende
Ja
Risikominderung
Iterativer Prozess zur Risikominderung nach EN ISO 14121
1
Sichere Gestaltung
und technische
Schutzmaßnahmen
Maßnahmen zur inhärent sicheren Gestaltung
(gemäß EN ISO 1100-, Kapitel 4)
Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus
der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Auto­
matisierung einiger Aufgaben, wie z.B. dem Beladen einer Maschine, möglich. Kann eine
Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reini­
gungszwecken kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln
ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige
Möglichkeit, ein Risiko auf null zu reduzieren.
Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass
sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit
Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die
Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und
Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden wer­
den, dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann
vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwin­
digkeit und Druck kann das Verletzungsrisiko reduziert werden.
Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen
Quelle: BS PD 5304
Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch
die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität
vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum
Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm.
Normen und Gesetzgebung geben eine
eindeutige Hierarchie
für die Schutzmaß­
nahmen an. Gefähr­
dungsvermeidung
oder größtmögliche
Risikominderung
durch inhärent
sichere Gestaltungs­
maßnahmen haben
höchste Priorität.
Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen
(laut EN ISO 1100-, Kapitel 5)
Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt. Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung zur Vermeidung von unerwartetem Anlauf, usw. Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen
kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen,
unbedenklich sind.
Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen,
oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein.
Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen
dienen:
Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der
Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen,
Anpassen usw. verwendet.
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des ge­
trennten Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung
oder durch Rotation des Scharniers um 5°– normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer
Nachlaufzeit)
4
Lichtvorhänge zum Erkennen von Personen, die sich der
Gefahrenzone nähern:
mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm
Auflösung)
Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpa­
cken, Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum
Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen.
Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des
Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier
Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung
verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der
Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Ma­
schine erleichtert.
Sicherheitsmatten zum Erkennen von Personen,
die sich der Gefahrenzone nähern, sich dort aufhalten oder in die Gefahrenzone eintreten. Sicherheitsmatten werden üblicherweise vor oder um potenziell gefährliche Maschinen oder Roboter verwendet. Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen. Sie dienen hauptsächlich zum Schutz des Personals und ergänzen Sicherheitsprodukte, wie z.B. Lichtvorhänge. Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen Personen, die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung.
5
Sicherheitsschalter mit funktionsüberwachter und
elektromagnetischer Zuhaltung
während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Ma­
schinen eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen
der Maschine lange dauert und der Zugang erst nach Abschluss der gefahr­
bringenden Bewegung ermöglicht werden soll. Sie werden häufig entweder mit
Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder
mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet,
damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist.
Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Ver­
sagen oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutz­
maßnahmen sollten die Produktionsaufgaben nicht unnötigerweise behindern.
Hierzu zählen die folgenden Schritte:
- Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu entfernen oder einzustellen;
- Verwendung von codierten Geräten oder Systemen, z.B. mechanisch, elek­
trisch, magnetisch oder optisch;
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum
Verriegelungsgerät bei geöffneter Schutzeinrichtung;
- Fester Stand, um den einwandfreien Betrieb zu gewährleisten
Zweihand-Steuerpulte und Fußschalter
werden verwendet um sicherzustellen, dass sich das Bedien­
personal bei gefahrbringenden Bewegungen nicht im
Gefahrenbereich aufhält (z.B. Abwärtshub bei Pressen)
Sie dienen hauptsächlich zum Schutz des Bedienpersonals.
Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche
Maßnahmen, wie z.B. durch das Anbringen von Lichtvorhängen,
realisiert werden.
Zustimmschalter ermöglichen den Zugang
unter speziellen Bedingung, die ein geringeres
Risiko darstellen
zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.B. Tippbetrieb), mit zentraler Position und 2 Stellungen für die AusFunktion (mit und ohne Zwangstrennung). Somit ist sichergestellt,
dass beim Loslassen oder Verkrampfen der Hand eine sichere
Abschaltung erfolgt.
6
Überwachung der Sicherheitssignale – Steuerungssysteme
Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder
Sicherheits-SPS (insgesamt bezeichnet als „Sicherheitslogiksystem”) überwacht, und dienen zum Ansteuern (und
manchmal Überwachen) von Ausgabegeräten, wie z.B. Schützen.
Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.B. Anzahl der zu verarbeitenden Sicherheitseingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch
Dezentralisation mit Hilfe eines Feldbusses wie z.B. der AS-Interface „Safety at Work” oder SafeEthernet.
Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.B. bei
großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer
Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der
Normen in Bezug auf elektrische Steuerungssysteme geführt.
Sicherheitsrelais
Sicherheitscontroller
Kompakte
Sicherheitssteuerung
Modulare
Sicherheitssteuerung
Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinen­
richtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass
„Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen
vermieden wird”. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Ver­
wendung eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel,
die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO
13849-1 und EN IEC 62061.
Ergänzende Schutzmaßnahmen – Not-Halt
Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie
nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominde­
rung angesehen. Sie werden stattdessen als „ergänzende Schutzmaßnahmen” bezeichnet.
Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig
und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden.
EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen:
- Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum An­
triebselement (ungesteuertes Stillsetzen);
- Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum
Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezu­
fuhr zu unterbrechen;
- Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum
Antriebselement.
Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet.
Not-Halt-Geräte müssen bei Maschinen „direkt wirken”. Das bedeutet, dass durch ihre Ge­
staltung sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normaler­
weise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder
das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames
Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte
Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt
öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen.
Restrisiken
Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaß­
nahmen reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden,
um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel
angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes
Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederho­
lungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken
bestehen.
Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entspre­
chen, ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden
kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Ge­
stalter Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanwei­
sung, usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzklei­
dung und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch
nicht so effektiv wie Gestaltungsmaßnahmen.
8
Funktionale Sicherheit
0
Funktionale Sicherheit
Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktio­
nalen Sicherheit herausgegeben unter: http://www.iec.ch/zone/fsafety/
In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen. Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2. Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht.
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten „Kategorien“ zum Verhalten im Fehlerfall, die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als ‘Sicherheitskategorien’ beschrieben wurden. Eine Erinnerung an die Leitsätze der EN 54-1
Anwendern der EN 954-1 wird der alte „Risikograph” bekannt sein, der von vielen verwendet wurde, um die
sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu
gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit
der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis
schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie
für jedes sicherheitsbezogene Teil zu ermitteln.
B
1
2
3
4
S1
P1
F1
P2
S2
P1
F2
P2
Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem*
(SRECS) abhängt, umso fehlerresistenter muss es sein (z.B. gegen Kurzschlüsse, verschweißen von Kontakten
usw.).
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert:
- Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers
führen.
- Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlich­
keit ist geringer als in Kategorie B.
- Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der
Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen)
KM1
KM1
KM1
*Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als:
- Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1
- Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.B.
durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch
einer Ansammlung von Fehlern auftreten.
1
2
KM1
KM2
KM1
KM2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht,
selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sicher­
gestellt und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge
1
2
KM1 KM2
KM1
KM2
KM1
KM2
Funktionale Sicherheit ist „Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die
von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme ande­
rer Technologien und externer Einrichtungen zur Risikominderung abhängt”. Beachten Sie, dass es sich nur um
ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente
oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der
Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und
IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter.
* EUC steht für Equipment Under Control (Betriebseinrichtung)
**Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch. Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen
müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren
Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigent­
lich die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die
Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 „besser” sei als Kategorie 2 usw. Nor­
men zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die
zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen
Komponenten zu verlassen.
Welche Normen werden für die Sicherheitsfunktion angewendet?
Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar
noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden.
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1
als PL (Performance Level) angegeben.
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, be­
trachtet. Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten
Komponenten berücksichtigt werden.
EN IEC 6061
Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforde­
rungen (Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue
Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der
eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist.
Ein häufig verwendetes Beispiel ist „Maschine anhalten, wenn die Schutzeinrichtung offen ist”. Der Fall muss jedoch
genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel
durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit
Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewe­
gungen abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie
wird das Öffnen der Schutzeinrichtung erkannt?
In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler
berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermei­
dung dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die
meisten Fehler systematisch und entstehen durch falsche Spezifikation.
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestal­
tungsmaßnahmen führen; z.B. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung
von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausrei­
chende Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein.
Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion
ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben?
In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines
gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die
Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und
steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt:
SicherheitsIntegritätslevel (SIL)
3
2
1
Tabelle 1: Beziehung zwischen SIL und PFHD
4
Wahrscheinlichkeit eines gefahrbringenden
Ausfalls pro Stunde PFHD
>10-8 bis <10-7
>10-7 bis <10-6
>10-6 bis <10-5
EN ISO 184-1
In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd), DiagnoseDeckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a, b, c, d, e) verwen­
det. Eine vereinfachte Methode zur Einschätzung des PL-Wertes liefert Tabelle 7 der Norm. Die Kategorien sind
vergleichbar mit den Kategorien in EN 954-1. Sie werden in Anhang 2 erklärt.
Kategorie
B
Keine
DCavg
1
2
2
3
3
4
Keine
Gering
Mittel
Gering
Mittel
Hoch
a
b
b
c
b
c
c
d
c
d
d
d
MTTFd jedes einzelnen Kanals
Niedrig
a
Mittel
b
Hoch
Nicht
abgedeckt
Nicht
abgedeckt
Nicht
abgedeckt
c
Nicht
abgedeckt
Nicht
abgedeckt
e
Tabelle 2: Vereinfachtes Verfahren zum Ermitteln des PL-Wertes, der durch das verwendete SRP/CS erreicht wird
a
Sicherheits-Integritätslevel „EN IEC 6061”
Performance Level „EN ISO 184-1”
Aus der oberen Tabelle ist ersichtlich, dass nur eine Architektur der Kategorie 4 zum Erreichen des höchsten PLWertes e führen kann. Geringere PL-Werte lassen sich jedoch in Abhängigkeit von MTTFd und DC der verwendeten
Komponenten erzielen.
b
1
c
1
d
e
Kat. B
Kat. 1
Kat. Kat. Kat. DCavg =
DCavg =
DCavg =
DCavg =
DCavg =
0
0
niedrig
mittel
niedrig
Höhe der Sicherheitskategorie EN ISO 184-1
Kat. DCavg =
mittel
Kat. 4
DCavg =
hoch
MTTFd jedes einzelnen Kanals = niedrig
MTTFd jedes einzelnen Kanals = mittel
MTTFd jedes einzelnen Kanals = hoch
5
Index
MTTFd Spanne
Niedrig
Mittel
Hoch
>3 Jahre bis <10 Jahre
>10 Jahre bis <30 Jahre
>30 Jahre bis <100 Jahre
Tabelle 3: Höhe der MTTFd
Zur Einschätzung des MTTFd einer Komponente können die folgenden Daten verwendet
werden (nach Priorität):
1. Herstellerdaten (MTTFd, B10 oder B10d)
2. Methoden aus den Anhängen C und D der EN 13849-1
3. Wählen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an, wie viele gefahrbringende Ausfälle vom Diagnosesystem erkannt werden. Die Sicherheit kann durch die Verwendung von Teilsystemen erhöht werden, die interne Selbstdiagnosen durchführen.
Index
Diagnose-Deckungsgrad
Null
Niedrig
Mittel
Hoch
<60 %
≥60 % bis <90 %
≥90 % bis <99 %
≥99 %
Tabelle 4: Höhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC können die folgenden Daten verwendet werden (nach Priorität):
1. Herstellerdaten (wo verfügbar – z.B. bei Lichtvorhängen, Frequenzumrichtern)
2. Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften
anhand Anhang E der EN ISO 13849-1.
Ausfälle infolge gemeinsamer Ursache (CCF) entstehen, wenn durch externen Einfluss
(wie z.B. einen Sachschaden) einige Komponenten unbrauchbar werden, unabhängig von
ihrem MTTFd-Wert. Maßnahmen zur Eingrenzung von CCF:
- Vielfältigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Verträglichkeit
Gemäß einer Checkliste im Anhang F der EN ISO 13849-1 wird geprüft, ob bestimmte
Anforderungen erfüllt wurden. Über ein Punktevergabesystem wird jede Antwort bewertet
und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden.
6
Vereinfachte Tabelle:
Nr.
1
2
3
4
5
6
Anforderung (gegen Fehler gemeinsamer
Ursache CCF)
Trennung (zwischen den einzelnen Stromkreisen)
Diversität (in Technologie, Design, Prinzip)
Entwurf / Applikation / Erfahrung
Beurteilung / Analyse
Kompetenz / Ausbildung
Umwelteinflüsse (Prüfungen, Produktnormen) Punkte
35
15
20
20
5
5
Welche Norm soll angewendet werden?
Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor, kann der Entwick­
ler frei entscheiden, ob er EN IEC 62061, EN ISO 13849-1 oder sogar eine andere Norm
anwendet.
EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen, durch die eine
Konformitätsvermutung zur Erfüllung der wesentlichen Anforderungen der Maschinenricht­
linie erreicht wird, sofern sie angewendet werden. Jedoch muss beachtet werden, dass
die ausgewählte Norm im Ganzen verwendet werden muss. In einem System können nicht
Teile von beiden Normen verwendet werden.
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines ge­
meinsamen Anhangs für die beiden Normen mit dem Ziel, in der Zukunft eine einzige Norm
zu entwickeln.
EN IEC 62061 ist vielleicht verständlicher in Bezug auf die Themen zur Spezifikation und
Führungsverantwortung, EN ISO 13849-1 ermöglicht jedoch einen leichteren Übergang
von EN 954-1.
Beide Normen sind für die Verwendung von elektromagnetischer und komplexer elektro­
nischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen
bestimmt. Somit decken beide Normen gemeinsam einen Großteil der Anwendung ab.
Die EN ISO 13849-1 deckt zusätzlich auch nichtelektrische Technologien, wie beispiels­
weise Pneumatik oder Hydraulik ab. Dafür gibt es Einschränkungen bei sehr komplexen
Technologien, die besonders in der EN IEC 62061 behandelt werden. Über die jeweilige
Verwendbarkeit informieren beide Normen.
Zertifizierung
Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhältlich. Es sollte beachtet wer­
den, dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt, der von
einem System, das diese Komponente in einer speziellen Konfiguration verwendet, erreicht
werden kann. Es kann nicht garantiert werden, dass das Gesamtsystem einen speziellen
SIL- oder PL-Wert aufweist.
Normen zum
Steuerungssystem –
Berechnungsbeispiele
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der
beste Weg, um die Anwendung von EN IEC 6061 und EN ISO 184-1
zu verdeutlichen.
Für beide Normen verwenden wir ein Beispiel, bei dem das Öffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine führen muss, da es sonst zu Verletzungen wie z.B. einem gebrochenen Arm oder
abgetrennten Finger kommen kann.
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elek­
trischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene, elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung
der gesamten Sicherheit von Maschinen. Sie verwenden immer häufiger komplexe elektronische Technologien.
Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508.
Die Norm stellt Regeln auf für die Integration von Teilsystemen gemäß EN ISO 13849-1. Sie befasst sich nicht mit
den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (z.B.: hydraulische und
pneumatische Komponenten).
Funktionaler Ansatz zur Sicherheit
Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1), um dann die benötigten Sicherheitsanforde­
rungen festlegen zu können. Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur
zum Ausführen der Sicherheitsfunktionen. Unterfunktionen müssen in Erwägung gezogen und deren Interaktionen
analysiert werden, bevor eine Hardwarelösung für die Sicherheitssteuerung, genannt sicherheitsbezogenes, elek­
trisches Steuerungssystem (SRECS), ausgewählt wird.
Ein funktionaler Sicherheitsplan, in dem alle Gestaltungsprojekte festgehalten werden, muss erstellt
werden. Er muss Folgendes umfassen:
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen:
- Eine Beschreibung der Funktionen und Schnittstellen, Betriebsarten, Prioritäten der Funktionen, Häufigkeit des
Betriebs, usw.
- Eine Spezifikation der Sicherheitsintegritätsanforderungen an jede Funktion, ausgedrückt in Form eines SIL-Wer­
tes (Sicherheits-Integritätslevels).
- Die unten aufgeführte Tabelle 1 zeigt den Maximalwert für Ausfälle für jeden SIL-Wert.
SicherheitsIntegritätslevel SIL
Wahrscheinlichkeit eines gefahrbringenden Ausfalls
pro Stunde, PFHD
3
2
1
>10-8 bis <10-7
>10-7 bis <10-6
>10-6 bis <10-5
- Einen strukturierten und dokumentierten Gestaltungsprozess für elektrische Steuerungssysteme (SRECS),
- Die Maßnahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen,
- Die Konfigurationsverwaltung und -modifikation, unter Berücksichtigung der Organisation und des autorisierten
Personals,
- Der Verifikations- und Validierungsplan.
40
Der Vorteil dieser Annäherung liegt in einer Berechnungsmethode, die alle Parameter, die die Zuverlässigkeit eines
Steuerungssystems betreffen, einschließt. Bei dieser Methode wird jeder Funktion ein SIL zugeordnet. Dabei wer­
den folgende Parameter berücksichtigt:
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD),
- Die Architektur (A, B, C oder D), d.h.;
mit oder ohne Redundanz,
mit oder ohne Diagnosefunktion, zum Kontrollieren einiger gefahrbringender Ausfälle,
- Ausfälle infolge gemeinsamer Ursache (CCF), einschließlich;
Kurzschlüsse zwischen Kanälen,
Überspannung,
Stromunterbrechung usw.
- Die Wahrscheinlichkeit gefahrbringender Übertragungsfehler bei digitaler Kommunikation,
- Störfestigkeit gegenüber elektromagnetischen Feldern.
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt:
1. Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritätslevel (SIL) und legen Sie die
Grundstruktur des elektrischen Steuerungssystems (SRECS) fest. Beschreiben Sie jede verwendete Funktion
(SRCF),
2. Unterteilen Sie jede Funktion in Funktionsblöcke (FB),
3. Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den
Teilsystemen der Architektur zu,
4. Wählen Sie die Komponenten für jedes Teilsystem aus,
5. Gestalten Sie die Diagnosefunktion und stellen Sie sicher, dass das angegebene Sicherheits-Integritätslevel (SIL)
erreicht wurde.
Nehmen Sie für unser Beispiel eine Funktion, bei der die Energiezufuhr vom Motorantrieb getrennt wird, wenn eine
Schutzeinrichtung geöffnet wird. Wenn die Funktion ausfällt, könnte sich der Maschinenbediener einen Arm bre­
chen oder einen Finger verlieren.
41
Schritt 1 – Bestimmen Sie das Sicherheits-Integritätslevel (SIL)
und legen Sie die Struktur des SRECS fest
Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird für jede sicherheitsbe­
zogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt
in Parameter unterteilt.
Mit der
identifizierten
Gefährdung
verbundenes
Risiko
Schwere des
möglichen
Schadens
&
Häufigkeit und Dauer
der Gefährdungsexposition
F
Wahrscheinlichkeit
eines gefahrbringenden Ereignisses
Wahrscheinlichkeit
der Vermeidung oder
Begrenzung des
Schadens
4
W
P
S
Wahrschein­
lichkeit des
Eintritts
dieses
Schadens
Schwere S
Die Schwere von Verletzungen oder Gesundheitsschädigungen lässt sich durch Unter­
teilung in reversible Verletzungen, irreversible Verletzungen und Tod einschätzen.
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt.
Folgen
Schwere (S)
Irreversibel: Tod, Verlust eines Auges oder Armes
Irreversibel: gebrochene Gliedmaße, Verlust von Fingern
Reversibel: Medizinische Behandlung erforderlich
Reversibel: Erste Hilfe erforderlich
4
3
2
1
Wahrscheinlichkeit des Eintritts eines Schadens
Jeder der drei Parameter F, W, P wird getrennt bewertet. Dabei wird der jeweils vom ungün­
stigsten Fall ausgegangen. Es wird empfohlen, eine Aufgabenanalyse zu verwenden, um die
genaue Einschätzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu können.
Häufigkeit und Dauer der Gefährdungsexposition F
Die Höhe der Exposition hängt von der Notwendigkeit, den Gefahrenbereich zu betreten
(Normalbetrieb, Wartung, ...) und von der Zugangsart (manuelle Beschickung, Anpassung
usw.) ab. Daraus lässt sich dann die Häufigkeit und Dauer der Exposition abschätzen.
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt:
Häufigkeit des Gefährdungsexposition
Dauer
> 10 Minuten
<1 h
>1 h bis <1 Tag
>1 Tag bis <2 Wochen
>2 Wochen bis <1 Jahr
>1 Jahr
5
5
4
3
2
4
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W
Zwei grundlegende Konzepte müssen berücksichtigt werden:
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen
und ihren diversen Betriebsarten (Normalbetrieb, Wartung, Fehlerdiagnose). Hierbei muss
besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten
des Bedienpersonals, wie z.B. bei Stress, Müdigkeit, Unerfahrenheit, usw.
Wahrscheinlichkeit des Eintritts
Wahrscheinlichkeit
(W)
Sehr hoch
Wahrscheinlich
Möglich
Selten
Unwahrscheinlich
5
4
3
2
1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des
Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine. Er berücksichtigt die
Plötzlichkeit des Auftretens eines gefahrbringenden Ereignisses, die Art der Gefährdung
(Schneiden, Temperatur, Elektrizität), die Möglichkeit der physischen Vermeidung der
Gefährdung und die Möglichkeit des Erkennens eines gefahrbringenden Ereignisses.
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens
(P)
Unmöglich
Selten
Wahrscheinlich
44
5
3
1
Bestimmung des SIL-Wertes:
Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgeführten Tabelle vorgenommen.
In unserem Beispiel hat die Schwere (S) den Wert 3, da das Risiko besteht, dass ein Finger
abgetrennt wird; dieser Wert wird in der ersten Spalte der Tabelle gezeigt. Alle weiteren
Parameter müssen zusammengezählt werden, um dann eine Klasse auszuwählen (vertikale
Spalten der unten aufgeführten Tabelle). Hierbei kommt man zu folgendem Ergebnis:
F = 5 Zugang mehrmals am Tag
W = 4 gefahrbringendes Ereignis wahrscheinlich
P = 3 Wahrscheinlichkeit der Vermeidung fast unmöglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene, elektrische Steuerungssystem (SRECS) der Maschine muss
diese Funktion mit einem Integritätslevel von SIL 2 ausführen.
Schwere (S)
4
3
2
1
Klasse (K)
3-4
5-7
8-10
11-13
14-15
SIL 2
SIL 2
(AM)
SIL 2
SIL 1
(OM)
SIL 3
SIL 2
SIL 1
(AM)
SIL 3
SIL 3
SIL 2
SIL 1
Grundstruktur des SRECS
Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden, wird das System
in Teilsysteme unterteilt. In unserem Beispiel werden 3 Teilsysteme benötigt, um Eingabe-,
Verarbeitungs- und Ausgabefunktionen auszuführen. Die folgende Abbildung stellt diesen
Schritt dar, unter Verwendung der in der Norm angeführten Terminologie.
SRECS
Teilsystem
Elemente
Eingang
Teilsysteme
Logik
(Verar­
beitung)
Ausgang
45
Schritt – Unterteilen Sie jede Funktion in Funktionsblöcke (FB)
Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheits­
bezogenen Funktion. Durch die Unterteilung in Funktionsblöcke wird ein erstes Konzept der SRECS-Architektur
erstellt. Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der
Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet.
SRECS
Zielwert SIL = SIL
Teilsystem 1
Teilsystem Teilsystem Sensor Schutz­
einrichtung
Funktionsblock
FB1
Logik (Verarbei­
tung)
Funktionsblock
FB2
Umschalt. der
Motorleistung
Funktionsblock
FB3
Eingang
Logik
Ausgang
Schritt – Listen Sie die Sicherheitsanforderungen für jeden Funk­
tionsblock auf und ordnen Sie die Funktionsblöcke den
Teilsystemen der Architektur zu.
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet. (Die Norm
definiert ‘Teilsystem’ so, dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezo­
genen Steuerungsfunktion führt.) Jedem Teilsystem können mehrere Funktionsblöcke zugeteilt
werden. Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunk­
tionen, um sicherzustellen, dass Ausfälle erkannt und passende Maßnahmen getroffen werden.
Diese Diagnosefunktionen werden als separate Funktionen angesehen; sie können im Teilsystem
oder von einem anderen Teilsystem ausgeführt werden. Die Teilsysteme müssen mindestens den
gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion, jeweils mit
eigener SIL-Anspruchsgrenze (SILCL). In diesem Fall muss SILCL für jedes Teilsystem 2 sein.
Teilsystem 1
Sensor Schutz­
einr.
Verriegel.schalter 1
Teilsystem
Element 1.1
Verriegel.schalter 2
Teilsystem
Element 1.2
SILCL 46
SRECS
Teilsystem Logik (Verarbeit.)
Sicherheits­
controller
SILCL Teilsystem Umschaltung der
Motorleistung
Schütz 1
Teilsystem
Element 3.1
Schütz 2
Teilsystem
Element 3.2
SILCL Schritt 4 – Wählen Sie die Komponenten für jedes Teilsystem
Die unten aufgeführten Produkte wurden ausgewählt.
Sensor
Schutzeinrichtung
Teilsystem 1 (SB1)
Logik
(Verarbeitung)
Teilsystem 2 (SB2)
Schalten
von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Schütz 1
Sicherheitsschalter 2
(Teilsystemelemente)
SB1
SILCL Komponente
Schütz 2
Sicherheitsrelais
SB
SILCL Anzahl der
Schaltspiele (B10)
Sicherheits-PositionsschalterXCS 10.000.000
XPS AK Sicherheitsmodul
PFHD = 7,389 x 10-9
LC1 TeSys Schütz
1 000 000
(Teilsystemelemente)
SB
SILCL % gefahrbringende Lebensdauer
Ausfälle
20 %
10 Jahre
73 %
20 Jahre
Die Zuverlässigkeitsdaten werden vom Hersteller geliefert.
Die Zykluslänge in diesem Beispiel beträgt 450 Sekunden, daraus ergibt sich ein Arbeitszyklus
C von 8 pro Stunde, d.h. die Schutzeinrichtung wird 8 mal pro Stunde geöffnet.
4
Schritt 5 – Gestalten Sie die Diagnosefunktion
Der durch die Teilsysteme erreichte SIL-Wert hängt nicht nur von den Komponenten, son­
dern auch von der verwendeten Architektur, ab. In diesem Beispiel wählen wir Architektur
B für die Schützausgänge und Architektur D für den Endlagenschalter (siehe Anhang 1
dieser Anleitung zur Erläuterung der Architekturen A, B, C und D).
Bei dieser Architektur führt das Sicherheitsmodul Selbstdiagnosen durch und überprüft
auch die Sicherheitsendlagenschalter. Es gibt drei Teilsysteme, für die die SIL-Anspruchs­
grenzen (SILCL) festgelegt werden müssen:
SB1: zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant);
SB2: ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt, einschließlich PFH-WertD,
die vom Hersteller zur Verfügung gestellt werden);
SB3: zwei Schütze, die nach Architektur B verwendet werden (redundant ohne Rückmeldung)
Die Berechnung umfasst die folgenden Parameter:
B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.
C: Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde).
lD: Rate der gefahrbringenden Ausfälle (l = x Anteil der gefahrbringenden Ausfälle).
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (CCF-Faktor): siehe Anhang F der
Norm.
T1: Proof-Testintervall oder Lebensdauer, wenn dieser Wert geringer ist (laut Herstelleran­
gabe). Die Norm sagt aus, dass eine Lebensdauer von 20 verwenden werden sollte,
um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden, das verwendet wird, um
bei der Berechnung den SIL-Wert zu verbessern. Die Norm erkennt natürlich an, dass
elektromechanische Komponenten ausgetauscht werden müssen, wenn die angege­
bene Anzahl der Schaltspiele erreicht wurde. Als T1-Wert kann daher die vom Herstel­
ler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen
Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C.
T2: Diagnose-Testintervall.
DC: Diagnose-Deckungsgrad = lDD / lDtotal ist das Verhältnis der Rate der erkannten gefahrbringenden Ausfälle zur Rate der gesamten gefahrbringenden Ausfälle.
48
Sensor
Schutzeinrichtung
Logik
(Verarbeitung)
Schalten
von Leistung
Teilsystem 1 (SB1)
Teilsystem 2 (SB2)
Teilsystem 3 (SB3)
Teilsystemelement 1.1
Teilsystemelement 3.1
l
l
l
l
= 0,1 • C/B10
e
De
e
= le • 20%
De
Teilsystemelement 1.2
l
l
e
= 0,1 • C/B10
D
= le • 73%
Teilsystemelement 3.2
l
l
= 0,1 • C/B10
e
= le • 20%
De
D
= 0,1 • C/B10
De
= le • 73%
Sicherheitsrelais
Teilsystem SB1
PFHD = ?
Teilsystem SB
(Architektur D)
Teilsystem SB
PFHD = ,8x10-
PFHD = ?
(Architektur B)
Rückführungsschleife
nicht verwendet
Die Ausfallrate, l, eines elektromechanischen Teilsystemelements wird definiert als le = 0,1 x C / B10. Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 % der Komponenten ausgefallen sind. In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde.
SB1 2 überwachte
SicherheitsPositionsschalter
SB3 2 Schütze ohne
Diagnosefunktionen
DC
99 %
Nicht relevant
CCF-Faktor b
Angenommener schlimmster Fall: 10 %
Anfälligkeit für Ausfälle für
jedes Element le
le = 0,1 C/B10
Anfälligkeit für gefahr-brin­
gende Ausfälle für jedes
Element lDe
lDe = le x - Anteil der
gefahrbringen­
den Ausfälle
T1 min (Lebensdauer
B10d/C)
T1 = B10D/C
Diagnose-Testintervall T2
Anfälligkeit für gefahr­
bringende Ausfälle für
jedes Teilsystem
Formel für
Architektur B:
Formel für
Architektur D
lDssB =(1 – b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )/2
lDssD = (1 – b)2 {[ lDe2 x 2
x DC ] x T2/2 + [ lDe2 x (1
– DC) ] x T1} + b x lDe
(10.000.000/20 %)/8
= 87.600
(10.000.000/73 %)/8
= 171.232
Jede Anforderung, d.h.
8 x pro Stunde,
= 1/8 = 0,125 Std.
Nicht relevant
lDssB = (1 – 0,9)2 x lDe1
x lDe2 x T 1 + b x (lDe1 +
lDe2 )/2
CCF-Faktor = Anfälligkeit für Ausfälle infolge gemeinsamer Ursache
4
Für die Ausgangsschütze in Teilsystem SS3 muss der PFHd-Wert berechnet werden.
Bei Architektur B (Einfehlertoleranz, ohne Diagnose) wird die Wahrscheinlichkeit eines
gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet:
lDssB =(1 – b)2 x lDe1 x lDe2 x T 1 + bx (lDe1 + lDe2 )/2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 0,1
lDe1 = lDe2 = 0,73 (0,1 x C/1.000.000) = 0,73(0,8/1.000.000) = 5,84 x 10-7
T1 = min( Lebensdauer, B10D/C) = min (175.200*, 171.232) = 171.232 Stunden
* Lebensdauer 20 Jahre, mindestens 175.200 Stunden
lDssB = (1 – 0,1)2 x 5,84 x 10-7 x 5,84 x 10-7 x 171.232 + 0,1 x ((5,84 x 10-7) + (5,84 x 10-7 ))/2
= 0,81 x 5,84 x 10-7 x 5,84 x 10-7 x 171 232 + 0,1 x 5,84 x 10-7
= 0,81x 3,41056 x 10-13 x 171 232 + 0,1 x 5,84 x 10-7
= (3,453 x 10-8) + (5,84 x 10-8) = 1,06 x 10-7
Da PFHDssB = lDssB x 1h, PFHD für die Schütze in Teilsystem SS3 = 1,06 x 10-7
Für die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden. Für Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt.
Bei dieser Architektur führt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF. T2: Diagnose-Testintervall;
T1: Proof-Testintervall oder die Lebensdauer, wenn dieser Wert geringer ist.
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache; lD = lDD + lDU; wobei lDD die Rate
der erkennbaren, gefahrbringenden Ausfälle ist und lDU die Rate der nicht erkennbaren,
gefahrbringenden Ausfälle.
lDD = lD x DC
lDU = lD x (1 – DC)
Für Teilsystemelemente mit gleicher Gestaltung gilt:
lDe: Anfälligkeit für gefahrbringende Ausfälle jedes Teilsystemelements;
DC: Diagnose-Deckungsgrad eines Teilsystemelements.
lDssD = (1 – b)2 {[ lDe2 x 2 x DC ] x T2/2 + [lDe2 x (1 – DC) ] x T1} + b x lDe
50
D.2 der Norm
PFHDssD = lDssD x 1h
le= 0,1 x C / B10 = 0,1 x 8/10.000.000 = 8 x 10-8
lDe= le x 0,2 = 1,6 x 10-8
DC = 99% b = 10% (im schlimmsten Fall)
T1 = min (Lebensdauer, B10D/C) = min[87600*,(10.000.000/20%)] = 87.600 Stunden
T2 = 1/C = 1/8 = 0,125 Std.
* Lebensdauer 10 Jahre, mindestens 87.600 Stunden
Aus D.2:
lDssD = (1 – 0,1)2 {[ 1,6 x 10-8 x 1,6 x 10-8 x 2 x 0,99 ] x 0,125 /2 + [1,6 x 10-8 x 1,6 x 10-8 x
(1 – 0,99) ] x 87.600} + 0,1 x 1,6 x 10-8
= 0,81 x {[5,0688 x 10-16] x 0,0625 + [2,56 x 10-16 x(0,01)] x 87.600} + 1,6 x 10-9
= 0,81 x {3,168 x 10-17 + [2,56 x 10-18] x 87.600} + 1,6 x 10-9
= 1,82 10-13
= 1,6 x 10-9
Da PFHDssD = lDssD x 1 Std., ist PFHD für die Entlagenschalter in Teilsystem SS1 = 1,63 x 10-9
Wir wissen bereits, dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (reali­
siert durch das Sicherheitsrelais XPSAK) 7,389 x 10-9 ist (Herstellerdaten).
Der Gesamt-PFHD-Wert des sicherheitsbezogenen, elektrischen Steuerungssystems (SRECS)
ist die Summe der PFHD-Werte aller Funktionsblöcke und wird daher wie folgt berechnet:
PFHDSRECS = PFHDSS1 + PFHDSS2 + PFHDSS3 = 1,6 10-9 + 7,389 10-9 + 1,06 10-7
= 1,15 x 10-7 Der Wert liegt somit laut unten aufgeführter Tabelle der Norm innerhalb der Grenzwerte für SIL 2.
SicherheitsIntegritätslevel
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, PFHD
3
2
1
>10-8 bis <10-7
>10-7 bis <10-6
>10-6 bis <10-5
Beachten Sie, dass durch Verwendung von Schützen mit Spiegelkontakten
Architektur D für die Antriebssteuerungsfunktion gilt (redundant mit Rück­
meldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt.
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahr­
scheinlichkeit einer Sicherheitsfunktion erreicht; ganz im Sinne des ALARPPrinzips, das besagt, dass Risiken auf ein Maß reduziert werden müssen, welches
den höchsten Grad an Sicherheit garantiert, der vernünftigerweise praktikabel ist.
LC1D TeSys Schütze mit
Spiegelkontakten
51
Berechnungsbeispiel nach Norm
EN ISO 184-1
Sicherheit von Maschinen - Sicherheitsbezogene Teile von
Steuerungen - Teil 1: General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden.
SCHRITT 1: Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen.
SCHRITT 2: Bestimmen Sie den erforderlichen Performance Level (PLr) für jede Sicherheitsfunktion.
SCHRITT 3: Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest, die die
Sicherheitsfunktion ausführen.
SCHRITT 4: Legen Sie das Performance Level PL für alle sicherheitsbezogenen Teile fest.
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des SRP/CS* der Sicherheitsfunktion mindestens dem PLr-Wert gleicht.
SCHRITT 6: Validieren Sie, dass alle Anforderungen erfüllt sind (siehe EN ISO 13849-2).
*Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1).
Für weitere Informationen, siehe Anhang dieser Anleitung.
SCHRITT 1: Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion, bei der die
Energiezufuhr zum Motorantrieb getrennt wird, wenn die Schutzeinrichtung
geöffnet wird.
SCHRITT 2: Unter Verwendung des „Risikographen” in Abbildung A.1 der EN ISO 13849-1
und der gleichen Parameter wie im vorherigen Beispiel, kann das benötigte
Performance Level d bestimmt werden
(Hinweis: PL=d wir oft als „äquivalent” zu SIL 2 bezeichnet).
5
H
=
Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L
=
Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S
=
Schwere der Verletzung
S1 = leichte Verletzung (normalerweise reversibel)
S2 = schwere Verletzung (normalerweise irreversibel, einschließlich Tod)
F
=
Häufigkeit und/oder Dauer der Gefährdungsexposition
F1 = selten bis öfter und/oder kurze Gefährdungsexposition
F2 = häufig bis dauernd und/oder lange Gefährdungsexposition
P
=
Möglichkeit der Vermeidung der Gefährdung oder Begrenzung des Schadens
P1 = möglich unter bestimmten Bedingungen
P2 = kaum möglich
SCHRITT 3: Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel für EN IEC 62061,
d.h. Architektur der Kategorie 3 ohne Rückmeldung
Eingang
Logik
Ausgang
Schütz 1
CON1
Sicherheitsschalter 1
SW1
Sicherheitsrelais
XPS
Schütz 2
CON2
Sicherheitsschalter 2
SW2
SRP/CSa
SRP/CSb
SRP/CSc
SCHRITT 4: Der PL-Wert des SRP/CS wird durch Einschätzung der folgenden Parameter bestimmt: (s. Anhang 2):
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1). Beachten Sie, dass in diesem Beispiel die
Verwendung einer Architektur der Kategorie 3 bedeutet, dass Schütze ohne Spiegelkontakte verwendet werden.
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhänge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfälle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen für die Komponenten vor:
Beispiel-SRP/CS
B10 (Arbeitszyklen)
Sicherheits-Positionsschalter
Sicherheitsrelais XPSAK
Schütze
10.000.000
1.000.000
MTTFd (Jahre)
DC
154,5
99%
99%
0%
Beachten Sie, dass der Hersteller nur B10 oder B10d-Daten für die elektromechanischen Komponenten angeben
kann, da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt.
Das erklärt, warum ein Hersteller keinen MTTFd-Wert für ein elektromechanisches Gerät bereitstellen kann.
5
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden:
MTTFd = B10d / (0,1 x nop)
Dabei ist nop die durchschnittliche Anzahl der Arbeitszyklen pro Jahr.
B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.
B10d: Erwartete Zeit, bis zu der 10 % der Komponenten gefahrbringend ausgefallen. Ohne genaues Wissen über
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt, wird ein
Prozentsatz von 20 % eines gefahrbringenden Ausfalls für einen Sicherheitsschalter festgelegt und daher
B10d = B10/20 %. Beim Schütz beträgt der Prozentsatz 73 % und daher B10d = B10/73 %.
Angenommen, die Maschine ist pro Tag 8 Stunden in Betrieb, an 220 Tagen pro Jahr, mit einer Zykluszeit von
120 Sekunden wie zuvor, dann beträgt nop = 52.800 Arbeitszyklen pro Jahr.
Übersicht der Werte:
Beispiel
SRP/CS
B10
B10d
(Arbeitszyklen)
Sicherheits-Positionsschalter
Sicherheitsrelais XPSAK
Schütze
10.000.000
50.000.000
1.000.000
1.369.863
MTTFd (Jahre)
DC
9.469
154,5
259
99 %
99 %
0%
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den
B10-Daten ermittelt.
Mit Hilfe der sogenannten Parts-Count-Methode, die in Anhang D der Norm beschrieben wird, kann der MTTFd­
Wert für jeden Kanal ermittelt werden.
SW1
MTTFd = 46 a
CON1
MTTFd = 5 a
Kanal 1
XPS
MTTFd =
154,5 a
SW
MTTFd = 46 a
CON
MTTFd = 5 a
Kanal In diesem Beispiel ist die Berechnung für die Kanäle 1 und 2 identisch:
1
MTTFd
=
1
9469 Jahre
+
1
154,5 Jahre
+
1
259 Jahre
=
1
95,85 Jahre
Der MTTFd-Wert für jeden Kanal ist daher 95 Jahre; laut Tabelle 3 der Norm ist dieser Wert „hoch”.
54
Aus den Gleichungen in Anhang E der Norm können wir den DCavg der Schaltung berechnen.
Der DC-Wert wird für jede Maßnahme einzeln ermittelt und nach folgender Formel errechnet:
DCavg =
DCavg =
DCS1
MTTFd,S1
+
DCS2
+ … +
MTTFd,S2
DCSRP
MTTFd,SRP
1
MTTFd,S1
+
1
MTTFd,S2
1
MTTFd,SRP
0,99
9469
1
9469
+
+
0,99
9469
1
9469
+
+
+ … +
0,99
154,5
1
154,5
+
+
0,99
154,5
1
154,5
+
+
0
295
1
295
+
0
259
+
1
295
= 0,624 = > 62,4 %
Dieses Ergebnis entspricht einem DCavg von niedrig.
Für die Ausfälle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabeverfahren für Schaltungen ab Kategorie 2 vorgesehen. Anhand von durchgeführten Maßnahmen werden die
Antworten mit vorgegebenen Punkten bewertet. Ziel ist es, von 100 möglichen Punkten mindestens 65 Punkte zu
erreichen. Dann sind die Anforderungen erfüllt.
Sollten die 65 Punkte nicht erreicht werden, so ist das Verfahren gescheitert und es müssen zusätzliche
Maßnahmen ergriffen werden.
Anhand folgender (vereinfachter) Tabelle ergeben sich für das Beispiel folgende Werte:
Physikalische Trennung zwischen Signalpfaden z.B. Trennung der
Verdrahtung, Luftstrecken
Unterschiedliche Technologien, Gestaltung oder physikalische Prinzipien
Schutz gegen Überspannung, Überstrom, …
„Bewährte Bauteile”
Ausfallanalyse, Effektanalyse
Geschultes Personal
System auf EMV-Immunität geprüft
Umweltbedingungen (Temperatur, Feuchte, …)
Summe
Möglich
Beispiel
15
15
20
15
5
5
5
25
10
100
15
5
5
25
10
75
In diesem Beispiel ergeben sich daher 75 Punkte, wodurch die Abschätzung des CCF ein positives Ergebnis bringt.
Wichtig ist die Tatsache, dass pro Maßnahme nur die jeweils volle Punktezahl vergeben werden kann – oder
überhaupt keine Punkte.
55
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht.
Da wir in unserem Beispiel eine Architektur der Kategorie 3, einen hohen MTTF-Wertd und einen niedrigen durch­
schnittlichen Diagnose-Deckungsgrad (DCavg) haben, kann der unten aufgeführten Grafik (Bild 5 der Norm) ent­
nommen werden, dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde. Die Zielsetzung ist
damit erfüllt.
a
b
1
c
1
d
e
Kat. B
DCav =
0
Kat. 1
DCav =
0
Kat. DCav =
niedrig
Kat. DCav =
mittel
Kat. DCav =
niedrig
Kat. DCav =
mittel
Sicherheits-Integritätslevel „EN IEC 6061”
Performance Level „EN ISO 184-1”
Wie beim Berechnungsbeispiel nach EN IEC 62061 müssen die Spiegelkontakte der beiden Schütze nur mit dem
Rückführkreis des Sicherheitsrelais verbunden werden, damit eine Architektur der Kategorie 4 erreicht wird. Bei der
Berechnung ändert sich der MTTFd-Wert des Systems nicht. Durch Verwendung des Rückführkreises wird für die
Schütze ein Diagnose-Deckungsgrad von DC = 99 % festgesetzt. Es ergibt sich ein DCavg = 99 %, welches einem
Wert von hoch entspricht. Der PL-Wert erhöht sich damit von d auf e. Damit liegt der erreichte PL höher als der
geforderte PLr und die Zielsetzung ist damit ebenfalls erfüllt.
Kat. 4
DCav =
hoch
Höhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig
MTTFd jedes einzelnen Kanals = mittel
MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6: Validierung – Überprüfen Sie die Funktionalität und führen Sie gegebenenfalls Tests durch
(EN ISO 13849-2).
56
5
Software-Assistent
SISTEMA
58
Software-Assistent SISTEMA
Sämtliche Berechnungen gemäß EN ISO 13849-1 können mit dem Taschenrechner oder mit Tabellenkalkulations­
programmen durchgeführt werden. Dazu sind die Formeln der Normen entsprechend anzuwenden.
Eine weitere und elegantere Möglichkeit ist der Software-Assistent SISTEMA des IFA (Institut für Arbeitsschutz
der Deutschen Gesetzlichen Unfallversicherung – vormals BGIA). Dieser Assistent bietet Hilfestellung bei der
Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1. Das Windows-Tool bildet die Struktur
der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet
Zuverlässigkeitswert einschließlich des erreichten Performance Level (PL).
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden. Um mit den
Bauteilwerten direkt die Berechnungen durchführen zu können, stellt Schneider Electric für diesen Assistenten
eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfügung. Diese Bibliothek kann ebenfalls kostenlos
aus dem Internet geladen werden. Somit müssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben
werden, sondern können nach Laden der Bibliothek direkt ausgewählt werden.
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer
Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen).
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
5
Zertifizierte
Sicherheitslösungen
60
Zertifizierte Sicherheitslösungen
Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstützung
unserer „Sicherheitslösungen“
Schneider Electric ermöglicht es Ihnen, durch die Verwendung unserer zertifizierten Sicherheitslösungen, Ihre Maschine an die neuen Sicherheitsnormen anzupassen:
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammen­
arbeitenden Produkten zum Erreichen einer Sicherheitsfunktion, welche ein bewährtes Prinzipschema umfasst und
die entsprechende Berechnung des Sicherheitsniveaus. Dies führt zu Einsparungen von Zeit und Kosten für die
Ausstellung eines Maschinenzertifikats gemäß der neuen Europäische Maschinenrichtlinie, indem es als ergänzende
Dokumentation beigefügt wird.
Es besteht aus:
- einem Lösungsvorschlag, welcher das Sicherheitsniveau (Performance Level – PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level – SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL für die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungs­
stelle.
Ein menügesteuerter Assistent führt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an möglichen Sicherheitslösungen. Diese werden Ihnen kurz vorgestellt. Darüber hinaus können Sie das entsprechende Dokument für jedes Beispiel als PDF erhalten.
Bei der Berechnung der Zuverlässigkeitswerte wird von einer angegebenen typischen Betriebsbedingung aus­
gegangen. Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen, dann müssen die Berechnungen
neu durchgeführt werden, da das vorgegebene Ergebnis nicht verwendbar ist. Um Ihnen die Berechnungen so
einfach wie möglich zu gestalten, sind alle Beispiele für den Software-Assistenten SISTEMA als Projekt verfügbar.
Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel
Informationsquellen), modifizieren Sie die Betriebsbedingungen für Ihr anzuwendendes Beispiel, und der SoftwareAssistent SISTEMA führt eine Neuberechnung durch.
Die Dokumentation ist für den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden.
Bei Übersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen.
Assistent zur Auswahl der passenden Sicherheitslösung
61
Zertifizierte Sicherheitslösungen von Schneider Electric:
Sichere Anlaufsperre (PL c, SIL 1)
Stopp -Kategorie 0 (PL d, SIL 2)
Stopp -Kategorie 1- Servoregler (PL e, SIL 3)
6
Lichtvorhang (PL c, SIL 1)
Stopp -Kategorie 1 - Frequenzumrichter (PL d, SIL 2)
Sicherheits-Schaltmatten (PL d, SIL 2)
Codierte Magnet-Sicherheitsschalter (PL e, SIL 3)
Multifunktional (PL e, SIL 3)
Stillstandserkennung (PL e, SIL 3)
AS -Interface (PL e, SIL 3)
Geprüfte
Sicherheit
Sicherheitslösungen zum
Erreichen des geforderten
Sicherheitslevels
Zertifizierte Sicherheitslösungen als Projekte in SISTEMA
6
Service und Schulungen
64
Service Sicherheitstechnik
Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine: Sicherheit.
In den jeweiligen Phasen, wie Planung, Konstruktion, Transport, Betriebsphase oder Demontage, werden unter­
schiedliche Anforderungen an die Sicherheit gestellt. Diese Anforderungen müssen erkannt und entsprechend
berücksichtigt werden.
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjährigen Erfahrungen unserer
Mitarbeiter und können sicher sein, dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht.
Unser Angebot umfasst:
-
Risikoanalysen und Risikobewertungen
Engineering (Unterstützung bei Planung, Konstruktion, Software und Hardware) Regelmäßige Prüfungen (ggf. Serviceverträge) Pressenabnahmen gemäß BetrSichV §10 und BGR500 Teil 2.3 Reparaturen und Wartungen von Pressensteuerungen Pressenmodernisierungen
Nachlaufwegmessungen Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen:
-
Einhaltung des aktuellen Standes der Normen und Richtlinien
Entlastung Ihrer Mitarbeiter
Schnelle Abwicklung vor Ort
Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spätere und damit meist
kostenintensive Nachbesserungen
- Bei Durchführung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens.
- Sie können sicher sein, dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht.
Alle Dokumentationen und Schritte, die wir durchführen, werden Ihnen erläutert. Bei einer aktiven Begleitung
unserer Arbeit versetzen wir Sie in die Lage, z. B. weitere Risikobewertungen zukünftig auch selbständig
durchzuführen.
Gerne stellen wir Ihnen unser Angebot ausführlich dar – bitte setzen Sie sich dazu mit uns in Verbindung.
Schulungen zur Sicherheitstechnik
Unser Wissen für Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element für die Konstruktion und das Betreiben von
Maschinen.
Daher ist es unerlässlich, die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten.
Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik
durch Mitarbeiter mit langjährigen Erfahrungen praxisorientierten vermittelt. Damit erfolgt neben der Vermittlung der
theoretischen Kenntnissen direkt ein Brückenschlag zur angewandten Praxis.
Neben dem bestehenden Schulungsangebot zu den veröffentlichten festen Terminen bieten wir für geschlossene
Benutzergruppen auch die Möglichkeit von individuellen Veranstaltungen zu definierten Themen.
Haben Sie Interesse? Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an.
65
Informationsquellen
66
Richtlinien und Normen
Europäische Maschinenrichtlinie 2006/42/EG
EN ISO 12100-1 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 1: Grundsätzliche
Terminologie, Methodologie
EN ISO 12100-2 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 2: Technische
Leitsätze
EN ISO 14121-1 Sicherheit von Maschinen – Risikobeurteilung - Teil 1: Leitsätze
PD 5304: 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen. Elektrische Ausrüstung von Maschinen. Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen. Not-Halt. Gestaltungsleitsätze
EN IEC 62061 Sicherheit von Maschinen, Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer
und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer
Systeme
EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen –
Teil 1: Allgemeine Gestaltungsleitsätze
Schneider Electric-Unterlagen
Schneider Electric Katalog „Preventa Sicherheitslösungen”, Best.-Nr.: ZXKSI
Schneider Electric-Homepage
www.oem.schneider-electric.com
Deutschland: www.schneider-electric.de
Österreich: www.schneider-electric.at
Schweiz: www.schneider-electric.ch
Informationen zur Maschinensicherheit
Nationale Internetseite aufrufen
- Ihr Business
- Maschinenhersteller (OEMs)
- Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA, die Bauteilbibliothek und die zertifizierten Sicherheitslösungen
Schulungsangebot Schneider Electric
Nationale Internetseite aufrufen
- Produkte und Service
- Training
6
Anhänge –
Architekturen
68
Anhang 1
Architekturen der EN IEC 6061
Architektur A: Nullfehlertoleranz, ohne Diagnosefunktion
Wobei: lDedie Rate der gefahrbringenden Ausfälle eines Elementes ist
lDSSA = lDE1 + ... + lDen
PFHDSSA = lDSSA • 1h
Architektur A
Teilsystemelement 1
lDe1
Teilsystemelement 1
lDen
Logische Darstellung des Teilsystems
Architektur B: Einfehlertoleranz, ohne Diagnosefunktion
Wobei: T1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist
(Erhältlich entweder vom Anbieter oder durch Berechnung mit der Formel für
elektromechanische Produkte: T1 = B10/C)
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache
(bkann aus der Tabelle F.1 der EN IEC 62061 ermittelt werden)
lDSSB = (1 - b)2 • lDe1 • lDe2 • T1 + b• (lDe1 + lDe2)/2
PFHDSSB = lDSSB • 1h
Architektur B
Teilsystemelement 1
lDe1
Ausfälle infolge gemeinsamer
Ursache
Teilsystemelement 2
lDe2
Logische Darstellung des Teilsystems
6
Architektur C: Nullfehlertoleranz, mit Diagnosefunktion
Wobei: DC ist der Diagnose-Deckungsgrad = SlDD/lD
lDD die Rate der erkannten gefahrbringenden Ausfälle ist und lD die Rate der gesamten
gefahrbringenden Ausfälle.
Der Diagnose-Deckungsgrad (DC) hängt von der Wirksamkeit der im Teilsystem verwendeten
Diagnosefunktion ab.
lDSSC = lDe1 • (1 - DC1) + ... + lDen • (1 - DCn)
PFHDSSC = lDSSC • 1h
Architektur C
Teilsystemelement 1
lDe1
Teilsystemelement n
lDen
Diagnosefunktion(en)
Logische Darstellung des Teilsystems
Architektur D: Einfehlertoleranz, mit Diagnosefunktion
Wobei: T1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist.
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den
Anforderungen der Sicherheitsfunktion sein).
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache.
(Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden.)
DC ist der Diagnose-Deckungsgrad = SlDD/lD
(lDD ist die Rate der erkannten gefahrbringenden Ausfälle und lD die Rate der gesamten
gefahrbringenden Ausfälle.)
Architektur D
Teilsystemelement 1
lDe1
Diagnosefunktion(en)
Ausfälle infolge gemeinsamer
Ursache
Teilsystemelement 2
lDe2
Logische Darstellung des Teilsystems
0
Architektur D: Einfehlertoleranz, mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung
lDe1 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1; DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1
lDe2 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 2; DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
lDSSD = (1-b)2 {[lDe1• lDe2 (DC1 + DC2)]•T2/2 + [lDe1• lDe2•(2-DC1-DC2)]•T1/2}+b• (lDe1+ lDe2)/2
PFHDSSD = lDSSD • 1h
Bei Teilsystemelementen mit gleicher Gestaltung
lDe = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1 oder 2; DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
lDSSD = (1-b)2 {[lDe2 • 2 • DC] T2/2 + [lDe2 • (1-DC)] • T1} + b• lDe
PFHDSSD = lDSSD • 1h
Anhang Kategorien der EN ISO 184-1
Kategorie
Beschreibung Beispiel
Kategorie
B
Das Auftreten eines Fehlers kann zum Verlust der
Sicherheitsfunktion führen
Eingang
Kategorie
1
Das Auftreten eines Fehlers kann zum Verlust der
Sicherheitsfunktion führen, aber der MTTFd jedes
Kanals der Kategorie 1 ist höher als in Kategorie B. Die
Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist
somit geringer.
Eingang
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust
der Sicherheitsfunktion zwischen den Prüfabständen führen;
der Verlust der Sicherheitsfunktion wird durch die Prüfung
erkannt.
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen
der Kategorie 3 müssen so gestaltet sein, dass ein
einzelner Fehler in einem dieser Teile nicht zum Verlust der
Sicherheitsfunktion führt. Wenn in angemessener Weise
durchführbar, soll der einzelne Fehler bei oder vor der
nächsten Anforderung an die Sicherheitsfunktion erkannt
werden.
Kategorie
4
Sicherheitsbezogene Teile von Steuerungssystemen
der Kategorie 4 müssen so gestaltet sein, dass ein
einzelner Fehler in einem dieser Teile nicht zum Verlust der
Sicherheitsfunktion führt und der einzelne Fehler bei oder
vor der nächsten Anforderung an die Sicherheitsfunktion
erkannt wird, d.h. sofort, beim Einschalten, am Ende
eines Arbeitszykluses. Ist dies nicht möglich, darf eine
Anhäufung von unerkannten Fehlern nicht zum Verlust der
Sicherheitsfunktion führen.
Eingang
im
im
im
Logik
Logik
Logik
Prüfeinrich­
tung
Eingang 1
im
Eingang 2
Eingang 1
im
im
im
im
Ausgang
Ausgang
Test
Ausgang
im
Ausgang 1
Überwachung
m
Logik 2
im
Ausgang 2
m
Logik 1
Kreuzweise
Eingang 2
im
Ausgang
m
Logik 1
Kreuzweise
im
im
im
Ausgang 1
Überwachung
m
Logik 2
im
Ausgang 2
1
Schneider Electric
Austria Ges.m.b.H.
Schneider Electric
(Schweiz) AG
Gothaer Straße 29
D-40880 Ratingen
Tel.: +49 (0) 180 5 75 35 75*
Fax: +49 (0) 180 5 75 45 75*
www.schneider-electric.de
Biróstraße 11
A-1239 Wien
Tel.: (43) 1 610 54 - 0
Fax: (43) 1 610 54 - 54
www.schneider-electric.at
Schermenwaldstrasse 11
CH-3063 Ittigen
Tel.: (41) 31 917 33 33
Fax: (41) 31 917 33 66
www.schneider-electric.ch
*0,14 €/Min. aus dem Festnetz,
Mobilfunk max. 0,42€.
E-Mail-Adressen:
Schneider Electric Deutschland: [email protected]
Schneider Electric Österreich: [email protected]
Schneider Electric Schweiz:
[email protected]
Handbuch Sicherheitstechnik ZXHBSI02, September 2010
Sämtliche Angaben in diesem Handbuch zu unseren Produkten,
Normen und Richtlinien dienen lediglich der Produktbeschrei­
bung und sind rechtlich unverbindlich. Druckfehler, Irrtümer und
Änderungen, bei dem Produktfortschritt dienenden Änderungen
auch ohne vorherige Ankündigung, bleiben vorbehalten.
Soweit Angaben dieses Handbuchs ausdrücklicher Bestandteil
eines mit der Schneider Electric abgeschlossenen Vertrags wer­
den, dienen die vertraglich in Bezug genommenen Angaben
dieses Handbuchs ausschließlich der Festlegung der vereinbarten Beschaffenheit des Vertragsgegenstands im Sinne des
§ 434 BGB und begründen keine darüber hinausgehende Be­
schaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen.
© Alle Rechte bleiben vorbehalten. Layout, Ausstattung, Logos,
Texte, Graphiken und Bilder dieses Handbuchs sind urheber­
rechtlich geschützt.
Die Allgemeinen Geschäfts- und Lieferbedingungen finden Sie
auf der Homepage des jeweiligen Landes.
09-10
ZXHBSI02, 09-10. NUR PDF © 2010 Schneider Electric GmbH. All rights reserved.
Schneider Electric
GmbH