Sicherheit von Maschinen
Transcrição
Sicherheit von Maschinen
Sicherheit von Maschinen Inhalt Vorbemerkung...................................................4 Warum Sicherheit? ...........................................6 Rechtsstrukturen ............................................10 Risikobeurteilung............................................ 16 Sichere Gestaltung und technische Schutzmaßnahmen ........................................ Funktionale Sicherheit.................................. 0 Normen zum Steuerungssystem – Berechnungsbeispiele ................................. 8 Software-Assistent SISTEMA ..................... 58 Zertifizierte Sicherheitslösungen............. 60 Service und Schulungen .............................. 64 Informationsquellen ..................................... 66 Anhänge – Architekturen............................. 68 Vorbemerkung 4 Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema. Zum besseren Verständnis werden Vereinfachungen vorgenommen, welche die Anforderungen nicht im gesamten Umfang darstellen. Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern, damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die logischen Schritte und verweist auf relevante Informationsquellen. 5 Warum Sicherheit? 6 Abgesehen von der moralischen Verpflichtung, Personen vor Verletzungen zu schützen, schreiben Gesetze vor, dass Maschinen sicher sein müssen. Darüber hinaus gibt es triftige wirtschaftliche Gründe, Unfälle zu vermeiden. Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb, Wartung und ggf. Entsorgung. Gestaltung/Bau Installation Anpassung/Betrieb Wartung Neue Maschinen - die Maschinenrichtlinie Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren. Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft. Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt 282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder, die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG). Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt. Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die technischen Unterlagen bereitgestellt werden können, die e-Kennzeichnung angebracht ist und eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den Markt gebracht wird. Bestehende Maschinen – die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht werden, die der betreffenden Norm entsprechen. Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen. Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und gewartet werden. Unfallkosten Einige Kosten sind offensichtlich, wie z.B. das Krankengeld für verletzte Angestellte. Jedoch entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine, der zu Kosten in Höhe von ca. 51.300 € (HSE INDG355) führte. Hierbei sind einige weniger offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar auf den doppelten Betrag. Ein von Schneider Electric Ltd analysierter Unfall, eine reversible Kopfverletzung, kostete den Arbeitgeber ca. 102.600 €. Von diesem Betrag wurden nur ca. 42.200 € von der Versicherung übernommen. Die indirekten Kosten können erhöhte Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des öffentlichen Rufs umfassen. Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.B. die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können. 8 Die Richtlinien gelten für alle Angestellten, Selbstständigen und weiteren Personen, die Kontrolle über die Bereitstellung von Arbeitsmitteln haben. Rechtsstrukturen 10 EU-Richtlinie: Rechtsinstrument zur europaweiten Harmonisierung technischer Normen Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien) Norm: Eine „Norm“ ist eine technische Spezifikation, die von einem anerkannten Normungs gremium für die wiederholte oder ständige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist. Harmonisierte Norm: Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten veröffentlicht wurde. Konformitätsvermutung: Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste dieser Normen finden Sie unter http://www.newapproach.org/Directives/DirectiveList.asp Natürlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanforde rungen notwendig. Dies gilt ebenfalls für Produkte, für die aufgrund der Anwendung einer bestimmten Norm eine Konformitäts vermutung ausge stellt wurde. 11 A-, B- und C-Normen: Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt: A B1 B2 C Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können; Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene Maschinen verwendet werden können: - Typ B1-Normen für bestimmte Sicherheitsaspekte (z.B. Sicherheitsabstände, Oberflächentemperatur, Lärm); - Typ B2-Normen für Schutzeinrichtungen (z.B. Zweihandsteuerungen, Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen); Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen. 1 Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen für eine Typ A- oder Typ B-Norm ab, hat die Typ C-Norm Priorität. Einige Beispiele dieser Art von Normen: EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung und -minderung EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsätze EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze EN ISO 13850 B Not-Halt - Gestaltungsleitsätze EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer, elektro nischer und programmierbarer elektronischer Steuerungssysteme EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steue rungen - Teil 1 Allgemeine Gestaltungsleitsätze EN 349 B Mindestabstände, um das Quetschen von Körperteilen zu vermeiden EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen - Teil 1: Allgemeine Anforderungen EN 999/ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsge schwindigkeiten von Körperteilen EN 1088/ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzein richtungen - Leitsätze für Gestaltung und Auswahl EN 61496-1 B Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anfor derungen und Prüfungen EN 60947-5-5 B Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung und Prüfung EN 1037 B Vermeidung von unerwartetem Anlauf EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen EN 201 C Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicher heitsanforderungen EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau EN 422 C Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und Depalettierer EN 619 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Fördereinrichtungen für Stückgut EN 620 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für ortsfeste Gurtförderer für Schüttgut Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009. 1 Herstellerverantwortung Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen, müssen den Anforderungen der Maschinenrichtlinie entsprechen. Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt. Bitte beachten Sie, dass „in Verkehr bringen” auch bedeutet, dass eine Organisation sich selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut, oder Maschinen in den europäischen Wirtschaftsraum importiert. Betreiberverantwortung Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden. Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die Anwendung geeignet sein. Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden, selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine Konformitätserklärung und eine e-Kennzeichnung ausgestellt werden müssen. 14 15 15 Risikobeurteilung 16 Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen die möglichen Risiken betrachtet werden, die durch die Verwendung entstehen können. Risikobeurteilung und Risikominderung für Maschinen werden in EN ISO 1411-1 beschrieben. Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als „der richtige Weg” zum Durch führen einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt, jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So kann z.B. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten. 1 Bestimmen der Maschinengrenzen Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vor hersehbaren Fehlgebrauch einer Maschine, wie z.B. durch eine nicht spezifikationskonforme Ver wendung. Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung? Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt? Identifizieren der Gefährdungen Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werk zeug schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emis sion von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbren nungen durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten. In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebens dauer der Maschine einschließlich Bau, Installation und Entsorgung entstehen können. Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1. Wer könnte durch die identifizierten Gefährdungen verletzt werden und wann? Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlge brauch mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen. 18 Durchschlagen, Einstich, Scheren, Abschneiden Erfassen, Aufwickeln, Einziehen, Fangen Stoß Elektrischer Schlag Kontakt mit gefährlichen Substanzen Verbrennungen Quetschen Hier werden Bei spiele typischer Ge fährdungen gezeigt, jedoch handelt es sich dabei nicht um eine vollständige Liste. Eine detail liertere Auflistung finden Sie in EN ISO 1411-1. Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen, vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein. Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicher weise zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konse quenzen sollten berücksichtigt werden, nicht nur der schlimmste Fall. Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschie denen Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen Risikos gibt. Für eine Maschine gibt es keine allgemeine „Risikoeinstufung” oder „Risikokate gorie” – jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur geschätzt werden kann – Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung. Mit der mög lichen Gefährdung verbundenes Risiko Schwere des möglichen Schadens Wahrscheinlichkeit des Auftretens Häufigkeit und Dauer der Gefährdungsexposition Möglichkeit zur Vermei dung oder Begrenzung der Wahrscheinlichkeit eines Ereignisses, durch das ein Schadens ent steht 1 Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2. Die Definition der Risikominderung ist das Beseitigen von Risiken: „das Ziel der getroffenen Maßnahmen muss die Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich Transport, Aufbau, Abbau, Demontage und Entsorgung.” Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie „angemessen” verwendet, um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht möglich ist. Der Prozess der Risikobeurteilung erfolgt schrittweise – Zunächst müssen Risiken identifiziert, priorisiert und mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern (zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen Schutzmaßnahmen. Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur Risikoeinschätzung und -bewertung beschrieben. In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu können. Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben. 0 Identifizierung der Gefährdungen Risikoeinschätzung Risikobewertung Ist die Maschine sicher? Nein Risikobeurteilung Festlegung der Grenzen der Maschine Risikoanalyse Start Ende Ja Risikominderung Iterativer Prozess zur Risikominderung nach EN ISO 14121 1 Sichere Gestaltung und technische Schutzmaßnahmen Maßnahmen zur inhärent sicheren Gestaltung (gemäß EN ISO 1100-, Kapitel 4) Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Auto matisierung einiger Aufgaben, wie z.B. dem Beladen einer Maschine, möglich. Kann eine Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reini gungszwecken kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige Möglichkeit, ein Risiko auf null zu reduzieren. Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden wer den, dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwin digkeit und Druck kann das Verletzungsrisiko reduziert werden. Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen Quelle: BS PD 5304 Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm. Normen und Gesetzgebung geben eine eindeutige Hierarchie für die Schutzmaß nahmen an. Gefähr dungsvermeidung oder größtmögliche Risikominderung durch inhärent sichere Gestaltungs maßnahmen haben höchste Priorität. Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen (laut EN ISO 1100-, Kapitel 5) Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt. Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung zur Vermeidung von unerwartetem Anlauf, usw. Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen, unbedenklich sind. Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen, oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein. Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen dienen: Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen, Anpassen usw. verwendet. Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des ge trennten Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5°– normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer Nachlaufzeit) 4 Lichtvorhänge zum Erkennen von Personen, die sich der Gefahrenzone nähern: mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm Auflösung) Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpa cken, Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen. Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Ma schine erleichtert. Sicherheitsmatten zum Erkennen von Personen, die sich der Gefahrenzone nähern, sich dort aufhalten oder in die Gefahrenzone eintreten. Sicherheitsmatten werden üblicherweise vor oder um potenziell gefährliche Maschinen oder Roboter verwendet. Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen. Sie dienen hauptsächlich zum Schutz des Personals und ergänzen Sicherheitsprodukte, wie z.B. Lichtvorhänge. Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen Personen, die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung. 5 Sicherheitsschalter mit funktionsüberwachter und elektromagnetischer Zuhaltung während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Ma schinen eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahr bringenden Bewegung ermöglicht werden soll. Sie werden häufig entweder mit Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet, damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist. Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Ver sagen oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutz maßnahmen sollten die Produktionsaufgaben nicht unnötigerweise behindern. Hierzu zählen die folgenden Schritte: - Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu entfernen oder einzustellen; - Verwendung von codierten Geräten oder Systemen, z.B. mechanisch, elek trisch, magnetisch oder optisch; - Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgerät bei geöffneter Schutzeinrichtung; - Fester Stand, um den einwandfreien Betrieb zu gewährleisten Zweihand-Steuerpulte und Fußschalter werden verwendet um sicherzustellen, dass sich das Bedien personal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhält (z.B. Abwärtshub bei Pressen) Sie dienen hauptsächlich zum Schutz des Bedienpersonals. Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche Maßnahmen, wie z.B. durch das Anbringen von Lichtvorhängen, realisiert werden. Zustimmschalter ermöglichen den Zugang unter speziellen Bedingung, die ein geringeres Risiko darstellen zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.B. Tippbetrieb), mit zentraler Position und 2 Stellungen für die AusFunktion (mit und ohne Zwangstrennung). Somit ist sichergestellt, dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt. 6 Überwachung der Sicherheitssignale – Steuerungssysteme Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als „Sicherheitslogiksystem”) überwacht, und dienen zum Ansteuern (und manchmal Überwachen) von Ausgabegeräten, wie z.B. Schützen. Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.B. Anzahl der zu verarbeitenden Sicherheitseingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie z.B. der AS-Interface „Safety at Work” oder SafeEthernet. Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.B. bei großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme geführt. Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung Modulare Sicherheitssteuerung Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinen richtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass „Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen vermieden wird”. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Ver wendung eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel, die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061. Ergänzende Schutzmaßnahmen – Not-Halt Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominde rung angesehen. Sie werden stattdessen als „ergänzende Schutzmaßnahmen” bezeichnet. Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden. EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen: - Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum An triebselement (ungesteuertes Stillsetzen); - Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezu fuhr zu unterbrechen; - Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement. Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet. Not-Halt-Geräte müssen bei Maschinen „direkt wirken”. Das bedeutet, dass durch ihre Ge staltung sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normaler weise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen. Restrisiken Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaß nahmen reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden, um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederho lungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen. Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entspre chen, ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Ge stalter Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanwei sung, usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzklei dung und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch nicht so effektiv wie Gestaltungsmaßnahmen. 8 Funktionale Sicherheit 0 Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktio nalen Sicherheit herausgegeben unter: http://www.iec.ch/zone/fsafety/ In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen. Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2. Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht. Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten „Kategorien“ zum Verhalten im Fehlerfall, die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als ‘Sicherheitskategorien’ beschrieben wurden. Eine Erinnerung an die Leitsätze der EN 54-1 Anwendern der EN 954-1 wird der alte „Risikograph” bekannt sein, der von vielen verwendet wurde, um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie für jedes sicherheitsbezogene Teil zu ermitteln. B 1 2 3 4 S1 P1 F1 P2 S2 P1 F2 P2 Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem* (SRECS) abhängt, umso fehlerresistenter muss es sein (z.B. gegen Kurzschlüsse, verschweißen von Kontakten usw.). Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert: - Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers führen. - Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlich keit ist geringer als in Kategorie B. - Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen) KM1 KM1 KM1 *Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als: - Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1 - Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061 1 - Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.B. durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten. 1 2 KM1 KM2 KM1 KM2 - Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht, selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sicher gestellt und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge 1 2 KM1 KM2 KM1 KM2 KM1 KM2 Funktionale Sicherheit ist „Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme ande rer Technologien und externer Einrichtungen zur Risikominderung abhängt”. Beachten Sie, dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter. * EUC steht für Equipment Under Control (Betriebseinrichtung) **Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch. Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigent lich die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 „besser” sei als Kategorie 2 usw. Nor men zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen Komponenten zu verlassen. Welche Normen werden für die Sicherheitsfunktion angewendet? Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden. Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1 als PL (Performance Level) angegeben. Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, be trachtet. Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten Komponenten berücksichtigt werden. EN IEC 6061 Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforde rungen (Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist. Ein häufig verwendetes Beispiel ist „Maschine anhalten, wenn die Schutzeinrichtung offen ist”. Der Fall muss jedoch genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewe gungen abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie wird das Öffnen der Schutzeinrichtung erkannt? In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermei dung dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation. Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestal tungsmaßnahmen führen; z.B. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausrei chende Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein. Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben? In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt: SicherheitsIntegritätslevel (SIL) 3 2 1 Tabelle 1: Beziehung zwischen SIL und PFHD 4 Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFHD >10-8 bis <10-7 >10-7 bis <10-6 >10-6 bis <10-5 EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd), DiagnoseDeckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a, b, c, d, e) verwen det. Eine vereinfachte Methode zur Einschätzung des PL-Wertes liefert Tabelle 7 der Norm. Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1. Sie werden in Anhang 2 erklärt. Kategorie B Keine DCavg 1 2 2 3 3 4 Keine Gering Mittel Gering Mittel Hoch a b b c b c c d c d d d MTTFd jedes einzelnen Kanals Niedrig a Mittel b Hoch Nicht abgedeckt Nicht abgedeckt Nicht abgedeckt c Nicht abgedeckt Nicht abgedeckt e Tabelle 2: Vereinfachtes Verfahren zum Ermitteln des PL-Wertes, der durch das verwendete SRP/CS erreicht wird a Sicherheits-Integritätslevel „EN IEC 6061” Performance Level „EN ISO 184-1” Aus der oberen Tabelle ist ersichtlich, dass nur eine Architektur der Kategorie 4 zum Erreichen des höchsten PLWertes e führen kann. Geringere PL-Werte lassen sich jedoch in Abhängigkeit von MTTFd und DC der verwendeten Komponenten erzielen. b 1 c 1 d e Kat. B Kat. 1 Kat. Kat. Kat. DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Höhe der Sicherheitskategorie EN ISO 184-1 Kat. DCavg = mittel Kat. 4 DCavg = hoch MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch 5 Index MTTFd Spanne Niedrig Mittel Hoch >3 Jahre bis <10 Jahre >10 Jahre bis <30 Jahre >30 Jahre bis <100 Jahre Tabelle 3: Höhe der MTTFd Zur Einschätzung des MTTFd einer Komponente können die folgenden Daten verwendet werden (nach Priorität): 1. Herstellerdaten (MTTFd, B10 oder B10d) 2. Methoden aus den Anhängen C und D der EN 13849-1 3. Wählen Sie 10 Jahre Der Diagnose-Deckungsgrad gibt an, wie viele gefahrbringende Ausfälle vom Diagnosesystem erkannt werden. Die Sicherheit kann durch die Verwendung von Teilsystemen erhöht werden, die interne Selbstdiagnosen durchführen. Index Diagnose-Deckungsgrad Null Niedrig Mittel Hoch <60 % ≥60 % bis <90 % ≥90 % bis <99 % ≥99 % Tabelle 4: Höhe des Diagnose-Deckungsgrades Zur Ermittlung des DC können die folgenden Daten verwendet werden (nach Priorität): 1. Herstellerdaten (wo verfügbar – z.B. bei Lichtvorhängen, Frequenzumrichtern) 2. Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1. Ausfälle infolge gemeinsamer Ursache (CCF) entstehen, wenn durch externen Einfluss (wie z.B. einen Sachschaden) einige Komponenten unbrauchbar werden, unabhängig von ihrem MTTFd-Wert. Maßnahmen zur Eingrenzung von CCF: - Vielfältigkeit bei der Wahl der Komponenten und ihrer Betriebsarten - Schutz vor Verschmutzung - Trennung - Optimierte Elektromagnetische Verträglichkeit Gemäß einer Checkliste im Anhang F der EN ISO 13849-1 wird geprüft, ob bestimmte Anforderungen erfüllt wurden. Über ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden. 6 Vereinfachte Tabelle: Nr. 1 2 3 4 5 6 Anforderung (gegen Fehler gemeinsamer Ursache CCF) Trennung (zwischen den einzelnen Stromkreisen) Diversität (in Technologie, Design, Prinzip) Entwurf / Applikation / Erfahrung Beurteilung / Analyse Kompetenz / Ausbildung Umwelteinflüsse (Prüfungen, Produktnormen) Punkte 35 15 20 20 5 5 Welche Norm soll angewendet werden? Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor, kann der Entwick ler frei entscheiden, ob er EN IEC 62061, EN ISO 13849-1 oder sogar eine andere Norm anwendet. EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen, durch die eine Konformitätsvermutung zur Erfüllung der wesentlichen Anforderungen der Maschinenricht linie erreicht wird, sofern sie angewendet werden. Jedoch muss beachtet werden, dass die ausgewählte Norm im Ganzen verwendet werden muss. In einem System können nicht Teile von beiden Normen verwendet werden. Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines ge meinsamen Anhangs für die beiden Normen mit dem Ziel, in der Zukunft eine einzige Norm zu entwickeln. EN IEC 62061 ist vielleicht verständlicher in Bezug auf die Themen zur Spezifikation und Führungsverantwortung, EN ISO 13849-1 ermöglicht jedoch einen leichteren Übergang von EN 954-1. Beide Normen sind für die Verwendung von elektromagnetischer und komplexer elektro nischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt. Somit decken beide Normen gemeinsam einen Großteil der Anwendung ab. Die EN ISO 13849-1 deckt zusätzlich auch nichtelektrische Technologien, wie beispiels weise Pneumatik oder Hydraulik ab. Dafür gibt es Einschränkungen bei sehr komplexen Technologien, die besonders in der EN IEC 62061 behandelt werden. Über die jeweilige Verwendbarkeit informieren beide Normen. Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhältlich. Es sollte beachtet wer den, dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt, der von einem System, das diese Komponente in einer speziellen Konfiguration verwendet, erreicht werden kann. Es kann nicht garantiert werden, dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist. Normen zum Steuerungssystem – Berechnungsbeispiele 8 Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg, um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen. Für beide Normen verwenden wir ein Beispiel, bei dem das Öffnen einer Schutzeinrichtung zum Anhalten der beweglichen Teile einer Maschine führen muss, da es sonst zu Verletzungen wie z.B. einem gebrochenen Arm oder abgetrennten Finger kommen kann. Berechnungsbeispiel nach Norm EN IEC 6061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elek trischer, elektronischer und programmierbarer elektronischer Steuerungssysteme Sicherheitsbezogene, elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen. Sie verwenden immer häufiger komplexe elektronische Technologien. Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508. Die Norm stellt Regeln auf für die Integration von Teilsystemen gemäß EN ISO 13849-1. Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (z.B.: hydraulische und pneumatische Komponenten). Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1), um dann die benötigten Sicherheitsanforde rungen festlegen zu können. Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausführen der Sicherheitsfunktionen. Unterfunktionen müssen in Erwägung gezogen und deren Interaktionen analysiert werden, bevor eine Hardwarelösung für die Sicherheitssteuerung, genannt sicherheitsbezogenes, elek trisches Steuerungssystem (SRECS), ausgewählt wird. Ein funktionaler Sicherheitsplan, in dem alle Gestaltungsprojekte festgehalten werden, muss erstellt werden. Er muss Folgendes umfassen: Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen: - Eine Beschreibung der Funktionen und Schnittstellen, Betriebsarten, Prioritäten der Funktionen, Häufigkeit des Betriebs, usw. - Eine Spezifikation der Sicherheitsintegritätsanforderungen an jede Funktion, ausgedrückt in Form eines SIL-Wer tes (Sicherheits-Integritätslevels). - Die unten aufgeführte Tabelle 1 zeigt den Maximalwert für Ausfälle für jeden SIL-Wert. SicherheitsIntegritätslevel SIL Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, PFHD 3 2 1 >10-8 bis <10-7 >10-7 bis <10-6 >10-6 bis <10-5 - Einen strukturierten und dokumentierten Gestaltungsprozess für elektrische Steuerungssysteme (SRECS), - Die Maßnahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen, - Die Konfigurationsverwaltung und -modifikation, unter Berücksichtigung der Organisation und des autorisierten Personals, - Der Verifikations- und Validierungsplan. 40 Der Vorteil dieser Annäherung liegt in einer Berechnungsmethode, die alle Parameter, die die Zuverlässigkeit eines Steuerungssystems betreffen, einschließt. Bei dieser Methode wird jeder Funktion ein SIL zugeordnet. Dabei wer den folgende Parameter berücksichtigt: - Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD), - Die Architektur (A, B, C oder D), d.h.; mit oder ohne Redundanz, mit oder ohne Diagnosefunktion, zum Kontrollieren einiger gefahrbringender Ausfälle, - Ausfälle infolge gemeinsamer Ursache (CCF), einschließlich; Kurzschlüsse zwischen Kanälen, Überspannung, Stromunterbrechung usw. - Die Wahrscheinlichkeit gefahrbringender Übertragungsfehler bei digitaler Kommunikation, - Störfestigkeit gegenüber elektromagnetischen Feldern. Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt: 1. Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritätslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest. Beschreiben Sie jede verwendete Funktion (SRCF), 2. Unterteilen Sie jede Funktion in Funktionsblöcke (FB), 3. Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den Teilsystemen der Architektur zu, 4. Wählen Sie die Komponenten für jedes Teilsystem aus, 5. Gestalten Sie die Diagnosefunktion und stellen Sie sicher, dass das angegebene Sicherheits-Integritätslevel (SIL) erreicht wurde. Nehmen Sie für unser Beispiel eine Funktion, bei der die Energiezufuhr vom Motorantrieb getrennt wird, wenn eine Schutzeinrichtung geöffnet wird. Wenn die Funktion ausfällt, könnte sich der Maschinenbediener einen Arm bre chen oder einen Finger verlieren. 41 Schritt 1 – Bestimmen Sie das Sicherheits-Integritätslevel (SIL) und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird für jede sicherheitsbe zogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt. Mit der identifizierten Gefährdung verbundenes Risiko Schwere des möglichen Schadens & Häufigkeit und Dauer der Gefährdungsexposition F Wahrscheinlichkeit eines gefahrbringenden Ereignisses Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens 4 W P S Wahrschein lichkeit des Eintritts dieses Schadens Schwere S Die Schwere von Verletzungen oder Gesundheitsschädigungen lässt sich durch Unter teilung in reversible Verletzungen, irreversible Verletzungen und Tod einschätzen. Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt. Folgen Schwere (S) Irreversibel: Tod, Verlust eines Auges oder Armes Irreversibel: gebrochene Gliedmaße, Verlust von Fingern Reversibel: Medizinische Behandlung erforderlich Reversibel: Erste Hilfe erforderlich 4 3 2 1 Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F, W, P wird getrennt bewertet. Dabei wird der jeweils vom ungün stigsten Fall ausgegangen. Es wird empfohlen, eine Aufgabenanalyse zu verwenden, um die genaue Einschätzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu können. Häufigkeit und Dauer der Gefährdungsexposition F Die Höhe der Exposition hängt von der Notwendigkeit, den Gefahrenbereich zu betreten (Normalbetrieb, Wartung, ...) und von der Zugangsart (manuelle Beschickung, Anpassung usw.) ab. Daraus lässt sich dann die Häufigkeit und Dauer der Exposition abschätzen. Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt: Häufigkeit des Gefährdungsexposition Dauer > 10 Minuten <1 h >1 h bis <1 Tag >1 Tag bis <2 Wochen >2 Wochen bis <1 Jahr >1 Jahr 5 5 4 3 2 4 Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte müssen berücksichtigt werden: Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb, Wartung, Fehlerdiagnose). Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals, wie z.B. bei Stress, Müdigkeit, Unerfahrenheit, usw. Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W) Sehr hoch Wahrscheinlich Möglich Selten Unwahrscheinlich 5 4 3 2 1 Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P Dieser Parameter bezieht sich auf die Gestaltung der Maschine. Er berücksichtigt die Plötzlichkeit des Auftretens eines gefahrbringenden Ereignisses, die Art der Gefährdung (Schneiden, Temperatur, Elektrizität), die Möglichkeit der physischen Vermeidung der Gefährdung und die Möglichkeit des Erkennens eines gefahrbringenden Ereignisses. Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P) Unmöglich Selten Wahrscheinlich 44 5 3 1 Bestimmung des SIL-Wertes: Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgeführten Tabelle vorgenommen. In unserem Beispiel hat die Schwere (S) den Wert 3, da das Risiko besteht, dass ein Finger abgetrennt wird; dieser Wert wird in der ersten Spalte der Tabelle gezeigt. Alle weiteren Parameter müssen zusammengezählt werden, um dann eine Klasse auszuwählen (vertikale Spalten der unten aufgeführten Tabelle). Hierbei kommt man zu folgendem Ergebnis: F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmöglich Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12 Das sicherheitsbezogene, elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritätslevel von SIL 2 ausführen. Schwere (S) 4 3 2 1 Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 2 (AM) SIL 2 SIL 1 (OM) SIL 3 SIL 2 SIL 1 (AM) SIL 3 SIL 3 SIL 2 SIL 1 Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden, wird das System in Teilsysteme unterteilt. In unserem Beispiel werden 3 Teilsysteme benötigt, um Eingabe-, Verarbeitungs- und Ausgabefunktionen auszuführen. Die folgende Abbildung stellt diesen Schritt dar, unter Verwendung der in der Norm angeführten Terminologie. SRECS Teilsystem Elemente Eingang Teilsysteme Logik (Verar beitung) Ausgang 45 Schritt – Unterteilen Sie jede Funktion in Funktionsblöcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheits bezogenen Funktion. Durch die Unterteilung in Funktionsblöcke wird ein erstes Konzept der SRECS-Architektur erstellt. Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet. SRECS Zielwert SIL = SIL Teilsystem 1 Teilsystem Teilsystem Sensor Schutz einrichtung Funktionsblock FB1 Logik (Verarbei tung) Funktionsblock FB2 Umschalt. der Motorleistung Funktionsblock FB3 Eingang Logik Ausgang Schritt – Listen Sie die Sicherheitsanforderungen für jeden Funk tionsblock auf und ordnen Sie die Funktionsblöcke den Teilsystemen der Architektur zu. Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet. (Die Norm definiert ‘Teilsystem’ so, dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezo genen Steuerungsfunktion führt.) Jedem Teilsystem können mehrere Funktionsblöcke zugeteilt werden. Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunk tionen, um sicherzustellen, dass Ausfälle erkannt und passende Maßnahmen getroffen werden. Diese Diagnosefunktionen werden als separate Funktionen angesehen; sie können im Teilsystem oder von einem anderen Teilsystem ausgeführt werden. Die Teilsysteme müssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion, jeweils mit eigener SIL-Anspruchsgrenze (SILCL). In diesem Fall muss SILCL für jedes Teilsystem 2 sein. Teilsystem 1 Sensor Schutz einr. Verriegel.schalter 1 Teilsystem Element 1.1 Verriegel.schalter 2 Teilsystem Element 1.2 SILCL 46 SRECS Teilsystem Logik (Verarbeit.) Sicherheits controller SILCL Teilsystem Umschaltung der Motorleistung Schütz 1 Teilsystem Element 3.1 Schütz 2 Teilsystem Element 3.2 SILCL Schritt 4 – Wählen Sie die Komponenten für jedes Teilsystem Die unten aufgeführten Produkte wurden ausgewählt. Sensor Schutzeinrichtung Teilsystem 1 (SB1) Logik (Verarbeitung) Teilsystem 2 (SB2) Schalten von Leistung Teilsystem 3 (SB3) Sicherheitsschalter 1 Schütz 1 Sicherheitsschalter 2 (Teilsystemelemente) SB1 SILCL Komponente Schütz 2 Sicherheitsrelais SB SILCL Anzahl der Schaltspiele (B10) Sicherheits-PositionsschalterXCS 10.000.000 XPS AK Sicherheitsmodul PFHD = 7,389 x 10-9 LC1 TeSys Schütz 1 000 000 (Teilsystemelemente) SB SILCL % gefahrbringende Lebensdauer Ausfälle 20 % 10 Jahre 73 % 20 Jahre Die Zuverlässigkeitsdaten werden vom Hersteller geliefert. Die Zykluslänge in diesem Beispiel beträgt 450 Sekunden, daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde, d.h. die Schutzeinrichtung wird 8 mal pro Stunde geöffnet. 4 Schritt 5 – Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert hängt nicht nur von den Komponenten, son dern auch von der verwendeten Architektur, ab. In diesem Beispiel wählen wir Architektur B für die Schützausgänge und Architektur D für den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erläuterung der Architekturen A, B, C und D). Bei dieser Architektur führt das Sicherheitsmodul Selbstdiagnosen durch und überprüft auch die Sicherheitsendlagenschalter. Es gibt drei Teilsysteme, für die die SIL-Anspruchs grenzen (SILCL) festgelegt werden müssen: SB1: zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant); SB2: ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt, einschließlich PFH-WertD, die vom Hersteller zur Verfügung gestellt werden); SB3: zwei Schütze, die nach Architektur B verwendet werden (redundant ohne Rückmeldung) Die Berechnung umfasst die folgenden Parameter: B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind. C: Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde). lD: Rate der gefahrbringenden Ausfälle (l = x Anteil der gefahrbringenden Ausfälle). b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (CCF-Faktor): siehe Anhang F der Norm. T1: Proof-Testintervall oder Lebensdauer, wenn dieser Wert geringer ist (laut Herstelleran gabe). Die Norm sagt aus, dass eine Lebensdauer von 20 verwenden werden sollte, um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden, das verwendet wird, um bei der Berechnung den SIL-Wert zu verbessern. Die Norm erkennt natürlich an, dass elektromechanische Komponenten ausgetauscht werden müssen, wenn die angege bene Anzahl der Schaltspiele erreicht wurde. Als T1-Wert kann daher die vom Herstel ler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C. T2: Diagnose-Testintervall. DC: Diagnose-Deckungsgrad = lDD / lDtotal ist das Verhältnis der Rate der erkannten gefahrbringenden Ausfälle zur Rate der gesamten gefahrbringenden Ausfälle. 48 Sensor Schutzeinrichtung Logik (Verarbeitung) Schalten von Leistung Teilsystem 1 (SB1) Teilsystem 2 (SB2) Teilsystem 3 (SB3) Teilsystemelement 1.1 Teilsystemelement 3.1 l l l l = 0,1 • C/B10 e De e = le • 20% De Teilsystemelement 1.2 l l e = 0,1 • C/B10 D = le • 73% Teilsystemelement 3.2 l l = 0,1 • C/B10 e = le • 20% De D = 0,1 • C/B10 De = le • 73% Sicherheitsrelais Teilsystem SB1 PFHD = ? Teilsystem SB (Architektur D) Teilsystem SB PFHD = ,8x10- PFHD = ? (Architektur B) Rückführungsschleife nicht verwendet Die Ausfallrate, l, eines elektromechanischen Teilsystemelements wird definiert als le = 0,1 x C / B10. Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 % der Komponenten ausgefallen sind. In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde. SB1 2 überwachte SicherheitsPositionsschalter SB3 2 Schütze ohne Diagnosefunktionen DC 99 % Nicht relevant CCF-Faktor b Angenommener schlimmster Fall: 10 % Anfälligkeit für Ausfälle für jedes Element le le = 0,1 C/B10 Anfälligkeit für gefahr-brin gende Ausfälle für jedes Element lDe lDe = le x - Anteil der gefahrbringen den Ausfälle T1 min (Lebensdauer B10d/C) T1 = B10D/C Diagnose-Testintervall T2 Anfälligkeit für gefahr bringende Ausfälle für jedes Teilsystem Formel für Architektur B: Formel für Architektur D lDssB =(1 – b)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )/2 lDssD = (1 – b)2 {[ lDe2 x 2 x DC ] x T2/2 + [ lDe2 x (1 – DC) ] x T1} + b x lDe (10.000.000/20 %)/8 = 87.600 (10.000.000/73 %)/8 = 171.232 Jede Anforderung, d.h. 8 x pro Stunde, = 1/8 = 0,125 Std. Nicht relevant lDssB = (1 – 0,9)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )/2 CCF-Faktor = Anfälligkeit für Ausfälle infolge gemeinsamer Ursache 4 Für die Ausgangsschütze in Teilsystem SS3 muss der PFHd-Wert berechnet werden. Bei Architektur B (Einfehlertoleranz, ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet: lDssB =(1 – b)2 x lDe1 x lDe2 x T 1 + bx (lDe1 + lDe2 )/2 [Gleichung B der Norm] PFHDssB = lDssB x 1h In diesem Beispiel b = 0,1 lDe1 = lDe2 = 0,73 (0,1 x C/1.000.000) = 0,73(0,8/1.000.000) = 5,84 x 10-7 T1 = min( Lebensdauer, B10D/C) = min (175.200*, 171.232) = 171.232 Stunden * Lebensdauer 20 Jahre, mindestens 175.200 Stunden lDssB = (1 – 0,1)2 x 5,84 x 10-7 x 5,84 x 10-7 x 171.232 + 0,1 x ((5,84 x 10-7) + (5,84 x 10-7 ))/2 = 0,81 x 5,84 x 10-7 x 5,84 x 10-7 x 171 232 + 0,1 x 5,84 x 10-7 = 0,81x 3,41056 x 10-13 x 171 232 + 0,1 x 5,84 x 10-7 = (3,453 x 10-8) + (5,84 x 10-8) = 1,06 x 10-7 Da PFHDssB = lDssB x 1h, PFHD für die Schütze in Teilsystem SS3 = 1,06 x 10-7 Für die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden. Für Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt. Bei dieser Architektur führt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF. T2: Diagnose-Testintervall; T1: Proof-Testintervall oder die Lebensdauer, wenn dieser Wert geringer ist. b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache; lD = lDD + lDU; wobei lDD die Rate der erkennbaren, gefahrbringenden Ausfälle ist und lDU die Rate der nicht erkennbaren, gefahrbringenden Ausfälle. lDD = lD x DC lDU = lD x (1 – DC) Für Teilsystemelemente mit gleicher Gestaltung gilt: lDe: Anfälligkeit für gefahrbringende Ausfälle jedes Teilsystemelements; DC: Diagnose-Deckungsgrad eines Teilsystemelements. lDssD = (1 – b)2 {[ lDe2 x 2 x DC ] x T2/2 + [lDe2 x (1 – DC) ] x T1} + b x lDe 50 D.2 der Norm PFHDssD = lDssD x 1h le= 0,1 x C / B10 = 0,1 x 8/10.000.000 = 8 x 10-8 lDe= le x 0,2 = 1,6 x 10-8 DC = 99% b = 10% (im schlimmsten Fall) T1 = min (Lebensdauer, B10D/C) = min[87600*,(10.000.000/20%)] = 87.600 Stunden T2 = 1/C = 1/8 = 0,125 Std. * Lebensdauer 10 Jahre, mindestens 87.600 Stunden Aus D.2: lDssD = (1 – 0,1)2 {[ 1,6 x 10-8 x 1,6 x 10-8 x 2 x 0,99 ] x 0,125 /2 + [1,6 x 10-8 x 1,6 x 10-8 x (1 – 0,99) ] x 87.600} + 0,1 x 1,6 x 10-8 = 0,81 x {[5,0688 x 10-16] x 0,0625 + [2,56 x 10-16 x(0,01)] x 87.600} + 1,6 x 10-9 = 0,81 x {3,168 x 10-17 + [2,56 x 10-18] x 87.600} + 1,6 x 10-9 = 1,82 10-13 = 1,6 x 10-9 Da PFHDssD = lDssD x 1 Std., ist PFHD für die Entlagenschalter in Teilsystem SS1 = 1,63 x 10-9 Wir wissen bereits, dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (reali siert durch das Sicherheitsrelais XPSAK) 7,389 x 10-9 ist (Herstellerdaten). Der Gesamt-PFHD-Wert des sicherheitsbezogenen, elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsblöcke und wird daher wie folgt berechnet: PFHDSRECS = PFHDSS1 + PFHDSS2 + PFHDSS3 = 1,6 10-9 + 7,389 10-9 + 1,06 10-7 = 1,15 x 10-7 Der Wert liegt somit laut unten aufgeführter Tabelle der Norm innerhalb der Grenzwerte für SIL 2. SicherheitsIntegritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, PFHD 3 2 1 >10-8 bis <10-7 >10-7 bis <10-6 >10-6 bis <10-5 Beachten Sie, dass durch Verwendung von Schützen mit Spiegelkontakten Architektur D für die Antriebssteuerungsfunktion gilt (redundant mit Rück meldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt. Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahr scheinlichkeit einer Sicherheitsfunktion erreicht; ganz im Sinne des ALARPPrinzips, das besagt, dass Risiken auf ein Maß reduziert werden müssen, welches den höchsten Grad an Sicherheit garantiert, der vernünftigerweise praktikabel ist. LC1D TeSys Schütze mit Spiegelkontakten 51 Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: General principles for design Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden. SCHRITT 1: Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen. SCHRITT 2: Bestimmen Sie den erforderlichen Performance Level (PLr) für jede Sicherheitsfunktion. SCHRITT 3: Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest, die die Sicherheitsfunktion ausführen. SCHRITT 4: Legen Sie das Performance Level PL für alle sicherheitsbezogenen Teile fest. SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des SRP/CS* der Sicherheitsfunktion mindestens dem PLr-Wert gleicht. SCHRITT 6: Validieren Sie, dass alle Anforderungen erfüllt sind (siehe EN ISO 13849-2). *Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO 13849-1). Für weitere Informationen, siehe Anhang dieser Anleitung. SCHRITT 1: Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion, bei der die Energiezufuhr zum Motorantrieb getrennt wird, wenn die Schutzeinrichtung geöffnet wird. SCHRITT 2: Unter Verwendung des „Risikographen” in Abbildung A.1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel, kann das benötigte Performance Level d bestimmt werden (Hinweis: PL=d wir oft als „äquivalent” zu SIL 2 bezeichnet). 5 H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel, einschließlich Tod) F = Häufigkeit und/oder Dauer der Gefährdungsexposition F1 = selten bis öfter und/oder kurze Gefährdungsexposition F2 = häufig bis dauernd und/oder lange Gefährdungsexposition P = Möglichkeit der Vermeidung der Gefährdung oder Begrenzung des Schadens P1 = möglich unter bestimmten Bedingungen P2 = kaum möglich SCHRITT 3: Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel für EN IEC 62061, d.h. Architektur der Kategorie 3 ohne Rückmeldung Eingang Logik Ausgang Schütz 1 CON1 Sicherheitsschalter 1 SW1 Sicherheitsrelais XPS Schütz 2 CON2 Sicherheitsschalter 2 SW2 SRP/CSa SRP/CSb SRP/CSc SCHRITT 4: Der PL-Wert des SRP/CS wird durch Einschätzung der folgenden Parameter bestimmt: (s. Anhang 2): - Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1). Beachten Sie, dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet, dass Schütze ohne Spiegelkontakte verwendet werden. - Der MTTFd-Wert der einzelnen Komponenten (siehe Anhänge C und D der EN ISO 13849-1) - Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1) - Die Ausfälle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1) Folgende Herstellerdaten liegen für die Komponenten vor: Beispiel-SRP/CS B10 (Arbeitszyklen) Sicherheits-Positionsschalter Sicherheitsrelais XPSAK Schütze 10.000.000 1.000.000 MTTFd (Jahre) DC 154,5 99% 99% 0% Beachten Sie, dass der Hersteller nur B10 oder B10d-Daten für die elektromechanischen Komponenten angeben kann, da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt. Das erklärt, warum ein Hersteller keinen MTTFd-Wert für ein elektromechanisches Gerät bereitstellen kann. 5 Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden: MTTFd = B10d / (0,1 x nop) Dabei ist nop die durchschnittliche Anzahl der Arbeitszyklen pro Jahr. B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind. B10d: Erwartete Zeit, bis zu der 10 % der Komponenten gefahrbringend ausgefallen. Ohne genaues Wissen über die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt, wird ein Prozentsatz von 20 % eines gefahrbringenden Ausfalls für einen Sicherheitsschalter festgelegt und daher B10d = B10/20 %. Beim Schütz beträgt der Prozentsatz 73 % und daher B10d = B10/73 %. Angenommen, die Maschine ist pro Tag 8 Stunden in Betrieb, an 220 Tagen pro Jahr, mit einer Zykluszeit von 120 Sekunden wie zuvor, dann beträgt nop = 52.800 Arbeitszyklen pro Jahr. Übersicht der Werte: Beispiel SRP/CS B10 B10d (Arbeitszyklen) Sicherheits-Positionsschalter Sicherheitsrelais XPSAK Schütze 10.000.000 50.000.000 1.000.000 1.369.863 MTTFd (Jahre) DC 9.469 154,5 259 99 % 99 % 0% Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt. Mit Hilfe der sogenannten Parts-Count-Methode, die in Anhang D der Norm beschrieben wird, kann der MTTFd Wert für jeden Kanal ermittelt werden. SW1 MTTFd = 46 a CON1 MTTFd = 5 a Kanal 1 XPS MTTFd = 154,5 a SW MTTFd = 46 a CON MTTFd = 5 a Kanal In diesem Beispiel ist die Berechnung für die Kanäle 1 und 2 identisch: 1 MTTFd = 1 9469 Jahre + 1 154,5 Jahre + 1 259 Jahre = 1 95,85 Jahre Der MTTFd-Wert für jeden Kanal ist daher 95 Jahre; laut Tabelle 3 der Norm ist dieser Wert „hoch”. 54 Aus den Gleichungen in Anhang E der Norm können wir den DCavg der Schaltung berechnen. Der DC-Wert wird für jede Maßnahme einzeln ermittelt und nach folgender Formel errechnet: DCavg = DCavg = DCS1 MTTFd,S1 + DCS2 + … + MTTFd,S2 DCSRP MTTFd,SRP 1 MTTFd,S1 + 1 MTTFd,S2 1 MTTFd,SRP 0,99 9469 1 9469 + + 0,99 9469 1 9469 + + + … + 0,99 154,5 1 154,5 + + 0,99 154,5 1 154,5 + + 0 295 1 295 + 0 259 + 1 295 = 0,624 = > 62,4 % Dieses Ergebnis entspricht einem DCavg von niedrig. Für die Ausfälle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabeverfahren für Schaltungen ab Kategorie 2 vorgesehen. Anhand von durchgeführten Maßnahmen werden die Antworten mit vorgegebenen Punkten bewertet. Ziel ist es, von 100 möglichen Punkten mindestens 65 Punkte zu erreichen. Dann sind die Anforderungen erfüllt. Sollten die 65 Punkte nicht erreicht werden, so ist das Verfahren gescheitert und es müssen zusätzliche Maßnahmen ergriffen werden. Anhand folgender (vereinfachter) Tabelle ergeben sich für das Beispiel folgende Werte: Physikalische Trennung zwischen Signalpfaden z.B. Trennung der Verdrahtung, Luftstrecken Unterschiedliche Technologien, Gestaltung oder physikalische Prinzipien Schutz gegen Überspannung, Überstrom, … „Bewährte Bauteile” Ausfallanalyse, Effektanalyse Geschultes Personal System auf EMV-Immunität geprüft Umweltbedingungen (Temperatur, Feuchte, …) Summe Möglich Beispiel 15 15 20 15 5 5 5 25 10 100 15 5 5 25 10 75 In diesem Beispiel ergeben sich daher 75 Punkte, wodurch die Abschätzung des CCF ein positives Ergebnis bringt. Wichtig ist die Tatsache, dass pro Maßnahme nur die jeweils volle Punktezahl vergeben werden kann – oder überhaupt keine Punkte. 55 SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht. Da wir in unserem Beispiel eine Architektur der Kategorie 3, einen hohen MTTF-Wertd und einen niedrigen durch schnittlichen Diagnose-Deckungsgrad (DCavg) haben, kann der unten aufgeführten Grafik (Bild 5 der Norm) ent nommen werden, dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde. Die Zielsetzung ist damit erfüllt. a b 1 c 1 d e Kat. B DCav = 0 Kat. 1 DCav = 0 Kat. DCav = niedrig Kat. DCav = mittel Kat. DCav = niedrig Kat. DCav = mittel Sicherheits-Integritätslevel „EN IEC 6061” Performance Level „EN ISO 184-1” Wie beim Berechnungsbeispiel nach EN IEC 62061 müssen die Spiegelkontakte der beiden Schütze nur mit dem Rückführkreis des Sicherheitsrelais verbunden werden, damit eine Architektur der Kategorie 4 erreicht wird. Bei der Berechnung ändert sich der MTTFd-Wert des Systems nicht. Durch Verwendung des Rückführkreises wird für die Schütze ein Diagnose-Deckungsgrad von DC = 99 % festgesetzt. Es ergibt sich ein DCavg = 99 %, welches einem Wert von hoch entspricht. Der PL-Wert erhöht sich damit von d auf e. Damit liegt der erreichte PL höher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfüllt. Kat. 4 DCav = hoch Höhe der Sicherheitskategorie EN ISO 184-1 MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch SCHRITT 6: Validierung – Überprüfen Sie die Funktionalität und führen Sie gegebenenfalls Tests durch (EN ISO 13849-2). 56 5 Software-Assistent SISTEMA 58 Software-Assistent SISTEMA Sämtliche Berechnungen gemäß EN ISO 13849-1 können mit dem Taschenrechner oder mit Tabellenkalkulations programmen durchgeführt werden. Dazu sind die Formeln der Normen entsprechend anzuwenden. Eine weitere und elegantere Möglichkeit ist der Software-Assistent SISTEMA des IFA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung – vormals BGIA). Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1. Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlässigkeitswert einschließlich des erreichten Performance Level (PL). Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden. Um mit den Bauteilwerten direkt die Berechnungen durchführen zu können, stellt Schneider Electric für diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfügung. Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden. Somit müssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden, sondern können nach Laden der Bibliothek direkt ausgewählt werden. Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen). Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1 SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten 5 Zertifizierte Sicherheitslösungen 60 Zertifizierte Sicherheitslösungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstützung unserer „Sicherheitslösungen“ Schneider Electric ermöglicht es Ihnen, durch die Verwendung unserer zertifizierten Sicherheitslösungen, Ihre Maschine an die neuen Sicherheitsnormen anzupassen: Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammen arbeitenden Produkten zum Erreichen einer Sicherheitsfunktion, welche ein bewährtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus. Dies führt zu Einsparungen von Zeit und Kosten für die Ausstellung eines Maschinenzertifikats gemäß der neuen Europäische Maschinenrichtlinie, indem es als ergänzende Dokumentation beigefügt wird. Es besteht aus: - einem Lösungsvorschlag, welcher das Sicherheitsniveau (Performance Level – PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level – SIL) angibt - einer Materialliste und der Systembeschreibung - einem Berechnungsbeispiel des PL und SIL für die Sicherheitsfunktion - einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes - einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungs stelle. Ein menügesteuerter Assistent führt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an möglichen Sicherheitslösungen. Diese werden Ihnen kurz vorgestellt. Darüber hinaus können Sie das entsprechende Dokument für jedes Beispiel als PDF erhalten. Bei der Berechnung der Zuverlässigkeitswerte wird von einer angegebenen typischen Betriebsbedingung aus gegangen. Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen, dann müssen die Berechnungen neu durchgeführt werden, da das vorgegebene Ergebnis nicht verwendbar ist. Um Ihnen die Berechnungen so einfach wie möglich zu gestalten, sind alle Beispiele für den Software-Assistenten SISTEMA als Projekt verfügbar. Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen), modifizieren Sie die Betriebsbedingungen für Ihr anzuwendendes Beispiel, und der SoftwareAssistent SISTEMA führt eine Neuberechnung durch. Die Dokumentation ist für den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden. Bei Übersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen. Assistent zur Auswahl der passenden Sicherheitslösung 61 Zertifizierte Sicherheitslösungen von Schneider Electric: Sichere Anlaufsperre (PL c, SIL 1) Stopp -Kategorie 0 (PL d, SIL 2) Stopp -Kategorie 1- Servoregler (PL e, SIL 3) 6 Lichtvorhang (PL c, SIL 1) Stopp -Kategorie 1 - Frequenzumrichter (PL d, SIL 2) Sicherheits-Schaltmatten (PL d, SIL 2) Codierte Magnet-Sicherheitsschalter (PL e, SIL 3) Multifunktional (PL e, SIL 3) Stillstandserkennung (PL e, SIL 3) AS -Interface (PL e, SIL 3) Geprüfte Sicherheit Sicherheitslösungen zum Erreichen des geforderten Sicherheitslevels Zertifizierte Sicherheitslösungen als Projekte in SISTEMA 6 Service und Schulungen 64 Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine: Sicherheit. In den jeweiligen Phasen, wie Planung, Konstruktion, Transport, Betriebsphase oder Demontage, werden unter schiedliche Anforderungen an die Sicherheit gestellt. Diese Anforderungen müssen erkannt und entsprechend berücksichtigt werden. Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjährigen Erfahrungen unserer Mitarbeiter und können sicher sein, dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht. Unser Angebot umfasst: - Risikoanalysen und Risikobewertungen Engineering (Unterstützung bei Planung, Konstruktion, Software und Hardware) Regelmäßige Prüfungen (ggf. Serviceverträge) Pressenabnahmen gemäß BetrSichV §10 und BGR500 Teil 2.3 Reparaturen und Wartungen von Pressensteuerungen Pressenmodernisierungen Nachlaufwegmessungen Reparatur und Wartung von sicherheitsrelevanten Steuerungen Ihre Vorteile durch unsere Serviceleistungen: - Einhaltung des aktuellen Standes der Normen und Richtlinien Entlastung Ihrer Mitarbeiter Schnelle Abwicklung vor Ort Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spätere und damit meist kostenintensive Nachbesserungen - Bei Durchführung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des e-Kennzeichens. - Sie können sicher sein, dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht. Alle Dokumentationen und Schritte, die wir durchführen, werden Ihnen erläutert. Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage, z. B. weitere Risikobewertungen zukünftig auch selbständig durchzuführen. Gerne stellen wir Ihnen unser Angebot ausführlich dar – bitte setzen Sie sich dazu mit uns in Verbindung. Schulungen zur Sicherheitstechnik Unser Wissen für Ihren Erfolg Fachwissen ist in der Sicherheitstechnik ein wesentliches Element für die Konstruktion und das Betreiben von Maschinen. Daher ist es unerlässlich, die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten. Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjährigen Erfahrungen praxisorientierten vermittelt. Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Brückenschlag zur angewandten Praxis. Neben dem bestehenden Schulungsangebot zu den veröffentlichten festen Terminen bieten wir für geschlossene Benutzergruppen auch die Möglichkeit von individuellen Veranstaltungen zu definierten Themen. Haben Sie Interesse? Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an. 65 Informationsquellen 66 Richtlinien und Normen Europäische Maschinenrichtlinie 2006/42/EG EN ISO 12100-1 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 1: Grundsätzliche Terminologie, Methodologie EN ISO 12100-2 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 2: Technische Leitsätze EN ISO 14121-1 Sicherheit von Maschinen – Risikobeurteilung - Teil 1: Leitsätze PD 5304: 2005 Leitfaden zum sicheren Umgang mit Maschinen EN 60204 Sicherheit von Maschinen. Elektrische Ausrüstung von Maschinen. Allgemeine Anforderungen EN 13850 Sicherheit von Maschinen. Not-Halt. Gestaltungsleitsätze EN IEC 62061 Sicherheit von Maschinen, Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze Schneider Electric-Unterlagen Schneider Electric Katalog „Preventa Sicherheitslösungen”, Best.-Nr.: ZXKSI Schneider Electric-Homepage www.oem.schneider-electric.com Deutschland: www.schneider-electric.de Österreich: www.schneider-electric.at Schweiz: www.schneider-electric.ch Informationen zur Maschinensicherheit Nationale Internetseite aufrufen - Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA, die Bauteilbibliothek und die zertifizierten Sicherheitslösungen Schulungsangebot Schneider Electric Nationale Internetseite aufrufen - Produkte und Service - Training 6 Anhänge – Architekturen 68 Anhang 1 Architekturen der EN IEC 6061 Architektur A: Nullfehlertoleranz, ohne Diagnosefunktion Wobei: lDedie Rate der gefahrbringenden Ausfälle eines Elementes ist lDSSA = lDE1 + ... + lDen PFHDSSA = lDSSA • 1h Architektur A Teilsystemelement 1 lDe1 Teilsystemelement 1 lDen Logische Darstellung des Teilsystems Architektur B: Einfehlertoleranz, ohne Diagnosefunktion Wobei: T1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist (Erhältlich entweder vom Anbieter oder durch Berechnung mit der Formel für elektromechanische Produkte: T1 = B10/C) b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (bkann aus der Tabelle F.1 der EN IEC 62061 ermittelt werden) lDSSB = (1 - b)2 • lDe1 • lDe2 • T1 + b• (lDe1 + lDe2)/2 PFHDSSB = lDSSB • 1h Architektur B Teilsystemelement 1 lDe1 Ausfälle infolge gemeinsamer Ursache Teilsystemelement 2 lDe2 Logische Darstellung des Teilsystems 6 Architektur C: Nullfehlertoleranz, mit Diagnosefunktion Wobei: DC ist der Diagnose-Deckungsgrad = SlDD/lD lDD die Rate der erkannten gefahrbringenden Ausfälle ist und lD die Rate der gesamten gefahrbringenden Ausfälle. Der Diagnose-Deckungsgrad (DC) hängt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab. lDSSC = lDe1 • (1 - DC1) + ... + lDen • (1 - DCn) PFHDSSC = lDSSC • 1h Architektur C Teilsystemelement 1 lDe1 Teilsystemelement n lDen Diagnosefunktion(en) Logische Darstellung des Teilsystems Architektur D: Einfehlertoleranz, mit Diagnosefunktion Wobei: T1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist. T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein). b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache. (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden.) DC ist der Diagnose-Deckungsgrad = SlDD/lD (lDD ist die Rate der erkannten gefahrbringenden Ausfälle und lD die Rate der gesamten gefahrbringenden Ausfälle.) Architektur D Teilsystemelement 1 lDe1 Diagnosefunktion(en) Ausfälle infolge gemeinsamer Ursache Teilsystemelement 2 lDe2 Logische Darstellung des Teilsystems 0 Architektur D: Einfehlertoleranz, mit Diagnosefunktion Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1; DC1 = Diagnose-Deckungsgrad des Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 2; DC2 = Diagnose-Deckungsgrad des Teilsystemelements 2 lDSSD = (1-b)2 {[lDe1• lDe2 (DC1 + DC2)]•T2/2 + [lDe1• lDe2•(2-DC1-DC2)]•T1/2}+b• (lDe1+ lDe2)/2 PFHDSSD = lDSSD • 1h Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1 oder 2; DC = Diagnose-Deckungsgrad des Teilsystemelements 1 oder 2 lDSSD = (1-b)2 {[lDe2 • 2 • DC] T2/2 + [lDe2 • (1-DC)] • T1} + b• lDe PFHDSSD = lDSSD • 1h Anhang Kategorien der EN ISO 184-1 Kategorie Beschreibung Beispiel Kategorie B Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen Eingang Kategorie 1 Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen, aber der MTTFd jedes Kanals der Kategorie 1 ist höher als in Kategorie B. Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer. Eingang Kategorie Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Prüfabständen führen; der Verlust der Sicherheitsfunktion wird durch die Prüfung erkannt. Kategorie Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 müssen so gestaltet sein, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Wenn in angemessener Weise durchführbar, soll der einzelne Fehler bei oder vor der nächsten Anforderung an die Sicherheitsfunktion erkannt werden. Kategorie 4 Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 müssen so gestaltet sein, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt und der einzelne Fehler bei oder vor der nächsten Anforderung an die Sicherheitsfunktion erkannt wird, d.h. sofort, beim Einschalten, am Ende eines Arbeitszykluses. Ist dies nicht möglich, darf eine Anhäufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Eingang im im im Logik Logik Logik Prüfeinrich tung Eingang 1 im Eingang 2 Eingang 1 im im im im Ausgang Ausgang Test Ausgang im Ausgang 1 Überwachung m Logik 2 im Ausgang 2 m Logik 1 Kreuzweise Eingang 2 im Ausgang m Logik 1 Kreuzweise im im im Ausgang 1 Überwachung m Logik 2 im Ausgang 2 1 Schneider Electric Austria Ges.m.b.H. Schneider Electric (Schweiz) AG Gothaer Straße 29 D-40880 Ratingen Tel.: +49 (0) 180 5 75 35 75* Fax: +49 (0) 180 5 75 45 75* www.schneider-electric.de Biróstraße 11 A-1239 Wien Tel.: (43) 1 610 54 - 0 Fax: (43) 1 610 54 - 54 www.schneider-electric.at Schermenwaldstrasse 11 CH-3063 Ittigen Tel.: (41) 31 917 33 33 Fax: (41) 31 917 33 66 www.schneider-electric.ch *0,14 €/Min. aus dem Festnetz, Mobilfunk max. 0,42€. E-Mail-Adressen: Schneider Electric Deutschland: [email protected] Schneider Electric Österreich: [email protected] Schneider Electric Schweiz: [email protected] Handbuch Sicherheitstechnik ZXHBSI02, September 2010 Sämtliche Angaben in diesem Handbuch zu unseren Produkten, Normen und Richtlinien dienen lediglich der Produktbeschrei bung und sind rechtlich unverbindlich. Druckfehler, Irrtümer und Änderungen, bei dem Produktfortschritt dienenden Änderungen auch ohne vorherige Ankündigung, bleiben vorbehalten. Soweit Angaben dieses Handbuchs ausdrücklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wer den, dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschließlich der Festlegung der vereinbarten Beschaffenheit des Vertragsgegenstands im Sinne des § 434 BGB und begründen keine darüber hinausgehende Be schaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen. © Alle Rechte bleiben vorbehalten. Layout, Ausstattung, Logos, Texte, Graphiken und Bilder dieses Handbuchs sind urheber rechtlich geschützt. Die Allgemeinen Geschäfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes. 09-10 ZXHBSI02, 09-10. NUR PDF © 2010 Schneider Electric GmbH. All rights reserved. Schneider Electric GmbH