A B1 B2 C - Schneider Electric
A B1 B2 C - Schneider Electric
A B1 B2 C - Schneider Electric
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Sicherheit von<br />
Maschinen
Inhalt<br />
Vorbemerkung ...................................................4<br />
Warum Sicherheit? ...........................................6<br />
Rechtsstrukturen ............................................10<br />
Risikobeurteilung ............................................ 16<br />
Sichere Gestaltung und technische<br />
Schutzmaßnahmen ........................................<br />
Funktionale Sicherheit .................................. 0<br />
Normen zum Steuerungssystem –<br />
Berechnungsbeispiele ................................. 8<br />
Software-Assistent SISTEMA ..................... 58<br />
Zertifizierte Sicherheitslösungen ............. 60<br />
Service und Schulungen .............................. 64<br />
Informationsquellen ..................................... 66<br />
Anhänge – Architekturen ............................. 68
4<br />
Vorbemerkung
Die Gesetzgebung zur Maschinensicherheit ist<br />
ein komplexes Thema. Zum besseren Verständnis<br />
werden Vereinfachungen vorgenommen, welche die<br />
Anforderungen nicht im gesamten Umfang darstellen.<br />
Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern,<br />
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und<br />
leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt<br />
keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die<br />
relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die<br />
logischen Schritte und verweist auf relevante Informationsquellen.<br />
5
6<br />
Warum Sicherheit?
Abgesehen von der moralischen Verpflichtung, Personen<br />
vor Verletzungen zu schützen, schreiben Gesetze vor,<br />
dass Maschinen sicher sein müssen. Darüber hinaus gibt<br />
es triftige wirtschaftliche Gründe, Unfälle zu vermeiden.<br />
Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der<br />
Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb,<br />
Wartung und ggf. Entsorgung.<br />
Gestaltung/Bau Installation Anpassung/Betrieb Wartung<br />
Neue Maschinen - die Maschinenrichtlinie<br />
Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für<br />
Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren.<br />
Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft.<br />
Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland<br />
im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt<br />
282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder,<br />
die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die<br />
Schweiz im STEG).<br />
Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in<br />
Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz<br />
über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt.<br />
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass<br />
die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die<br />
technischen Unterlagen bereitgestellt werden können, die e-Kennzeichnung angebracht ist und<br />
eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den<br />
Markt gebracht wird.
8<br />
Bestehende Maschinen – die Arbeitsmittelbenutzungsrichtlinie<br />
Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG<br />
folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht<br />
werden, die der betreffenden Norm entsprechen.<br />
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung<br />
und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen.<br />
Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und<br />
gewartet werden.<br />
Unfallkosten<br />
Einige Kosten sind offensichtlich, wie z.B. das Krankengeld für verletzte Angestellte. Jedoch<br />
entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety<br />
Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine,<br />
der zu Kosten in Höhe von ca. 51.300 € (HSE INDG355) führte. Hierbei sind einige weniger<br />
offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar<br />
auf den doppelten Betrag. Ein von <strong>Schneider</strong> <strong>Electric</strong> Ltd analysierter Unfall, eine reversible<br />
Kopfverletzung, kostete den Arbeitgeber ca. 102.600 €. Von diesem Betrag wurden nur<br />
ca. 42.200 € von der Versicherung übernommen. Die indirekten Kosten können erhöhte<br />
Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des<br />
öffentlichen Rufs umfassen.<br />
Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.B.<br />
die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen<br />
dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen<br />
von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu<br />
Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können.<br />
Die Richtlinien<br />
gelten für alle<br />
Angestellten,<br />
Selbstständigen und<br />
weiteren Personen,<br />
die Kontrolle über<br />
die Bereitstellung<br />
von Arbeitsmitteln<br />
haben.
10<br />
Rechtsstrukturen
EU-Richtlinie:<br />
Rechtsinstrument zur europaweiten Harmonisierung technischer Normen<br />
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen<br />
Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien)<br />
Norm:<br />
Eine „Norm“ ist eine technische Spezifikation, die von einem anerkannten Normungsgremium<br />
für die wiederholte oder ständige Anwendung zugelassen wurde und dessen<br />
Einhaltung nicht zwingend erforderlich ist.<br />
Harmonisierte Norm:<br />
Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten<br />
veröffentlicht wurde.<br />
Konformitätsvermutung:<br />
Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der<br />
Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder<br />
mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt<br />
mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste<br />
dieser Normen finden Sie unter http://www.newapproach.org/Directives/DirectiveList.asp<br />
Natürlich ist auch<br />
die Einhaltung<br />
aller anderen<br />
Gesundheits- und<br />
Sicherheitsanforderungen<br />
notwendig.<br />
Dies gilt ebenfalls<br />
für Produkte, für<br />
die aufgrund der<br />
Anwendung einer<br />
bestimmten Norm<br />
eine Konformitätsvermutungausgestellt<br />
wurde.<br />
11
1<br />
A-, B- und C-Normen:<br />
Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt:<br />
Typ A-Normen<br />
A <strong>B1</strong> <strong>B2</strong> C<br />
(Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine<br />
Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können;<br />
Typ B-Normen<br />
(Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von<br />
Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene<br />
Maschinen verwendet werden können:<br />
- Typ <strong>B1</strong>-Normen für bestimmte Sicherheitsaspekte (z.B. Sicherheitsabstände,<br />
Oberflächentemperatur, Lärm);<br />
- Typ <strong>B2</strong>-Normen für Schutzeinrichtungen (z.B. Zweihandsteuerungen,<br />
Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen);<br />
Typ C-Normen<br />
(Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine<br />
bestimmte Maschine oder eine Gruppe von Maschinen.
Weicht eine Typ C-Norm von einer oder mehreren<br />
Bestimmungen für eine Typ A- oder Typ B-Norm ab,<br />
hat die Typ C-Norm Priorität.<br />
Einige Beispiele dieser Art von Normen:<br />
EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung<br />
und -minderung<br />
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsätze<br />
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze<br />
EN ISO 13850 B Not-Halt - Gestaltungsleitsätze<br />
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer<br />
und programmierbarer elektronischer Steuerungssysteme<br />
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen<br />
- Teil 1 Allgemeine Gestaltungsleitsätze<br />
EN 349 B Mindestabstände, um das Quetschen von Körperteilen zu vermeiden<br />
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen<br />
von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen<br />
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen<br />
- Teil 1: Allgemeine Anforderungen<br />
EN 999/ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsgeschwindigkeiten<br />
von Körperteilen<br />
EN 1088/ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen<br />
- Leitsätze für Gestaltung und Auswahl<br />
EN 61496-1 B Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anforderungen<br />
und Prüfungen<br />
EN 60947-5-5 B Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und<br />
Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion<br />
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung<br />
und Prüfung<br />
EN 1037 B Vermeidung von unerwartetem Anlauf<br />
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden<br />
und beweglichen Schutzeinrichtungen<br />
EN 201 C Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicherheitsanforderungen<br />
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen<br />
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen<br />
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen<br />
zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau<br />
EN 422 C Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen<br />
an Gestaltung und Bau<br />
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter<br />
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und<br />
Depalettierer<br />
EN 619 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an<br />
mechanische Fördereinrichtungen für Stückgut<br />
EN 620 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für<br />
ortsfeste Gurtförderer für Schüttgut<br />
Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009.<br />
1
14<br />
Herstellerverantwortung<br />
Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen,<br />
müssen den Anforderungen der Maschinenrichtlinie entsprechen.<br />
Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als<br />
obligatorisch festgelegt.<br />
Bitte beachten Sie, dass „in Verkehr bringen” auch bedeutet, dass eine Organisation sich<br />
selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut,<br />
oder Maschinen in den europäischen Wirtschaftsraum importiert.<br />
Betreiberverantwortung<br />
Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem<br />
e-Kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie<br />
verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden.<br />
Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb<br />
genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch<br />
den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die<br />
Anwendung geeignet sein.<br />
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden,<br />
selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von<br />
der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine<br />
Konformitätserklärung und eine e-Kennzeichnung ausgestellt werden müssen.
16<br />
Risikobeurteilung
Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen<br />
die möglichen Risiken betrachtet werden, die durch die Verwendung<br />
entstehen können. Risikobeurteilung und Risikominderung für<br />
Maschinen werden in EN ISO 141 1-1 beschrieben.<br />
Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als „der richtige Weg” zum Durchführen<br />
einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt,<br />
jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein<br />
Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung<br />
eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So<br />
kann z.B. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich<br />
Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können<br />
hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten.<br />
1
18<br />
Bestimmen der Maschinengrenzen<br />
Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine<br />
Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und<br />
welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vorhersehbaren<br />
Fehlgebrauch einer Maschine, wie z.B. durch eine nicht spezifikationskonforme Verwendung.<br />
Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung?<br />
Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt?<br />
Identifizieren der Gefährdungen<br />
Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie<br />
die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werkzeug<br />
schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden<br />
Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emission<br />
von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbrennungen<br />
durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten.<br />
In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebensdauer<br />
der Maschine einschließlich Bau, Installation und Entsorgung entstehen können.<br />
Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht<br />
um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1.<br />
Wer könnte durch die identifizierten Gefährdungen verletzt<br />
werden und wann?<br />
Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlgebrauch<br />
mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem<br />
Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht<br />
nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen.<br />
Durchschlagen, Einstich,<br />
Scheren, Abschneiden<br />
Erfassen, Aufwickeln,<br />
Einziehen, Fangen<br />
Elektrischer Schlag Kontakt mit gefährlichen<br />
Substanzen<br />
Stoß Quetschen<br />
Verbrennungen<br />
Hier werden Beispiele<br />
typischer Gefährdungen<br />
gezeigt,<br />
jedoch handelt es<br />
sich dabei nicht um<br />
eine vollständige<br />
Liste. Eine detailliertere<br />
Auflistung<br />
finden Sie in EN ISO<br />
141 1-1.
Priorisieren der Risiken nach ihrer Schwere<br />
EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch<br />
Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen,<br />
vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein.<br />
Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicherweise<br />
zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz<br />
wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konsequenzen<br />
sollten berücksichtigt werden, nicht nur der schlimmste Fall.<br />
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschiedenen<br />
Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen<br />
Risikos gibt. Für eine Maschine gibt es keine allgemeine „Risikoeinstufung” oder „Risikokategorie”<br />
– jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur<br />
geschätzt werden kann – Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch<br />
nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung.<br />
Mit der möglichen<br />
Gefährdung<br />
verbundenes<br />
Risiko<br />
Schwere<br />
des<br />
möglichen<br />
Schadens<br />
Wahrschein-<br />
lichkeit<br />
des<br />
Auftretens<br />
Häufigkeit und Dauer der<br />
Gefährdungsexposition<br />
Möglichkeit zur Vermeidung<br />
oder Begrenzung<br />
der Wahrscheinlichkeit<br />
eines Ereignisses, durch<br />
das ein Schadens entsteht<br />
1
0<br />
Risikominderung<br />
Risikominderung ist Bestandteil der EN ISO 12100-2.<br />
Die Definition der Risikominderung ist das Beseitigen von Risiken: „das Ziel der getroffenen Maßnahmen muss die<br />
Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich<br />
Transport, Aufbau, Abbau, Demontage und Entsorgung.”<br />
Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im<br />
wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie „angemessen” verwendet,<br />
um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht<br />
möglich ist.<br />
Der Prozess der Risikobeurteilung erfolgt schrittweise – Zunächst müssen Risiken identifiziert, priorisiert und<br />
mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern<br />
(zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess<br />
wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine<br />
neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen<br />
Schutzmaßnahmen.<br />
Risikobeurteilung<br />
Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele<br />
zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer<br />
Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur<br />
Risikoeinschätzung und -bewertung beschrieben.<br />
In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und<br />
Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der<br />
Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten<br />
Risiken beurteilen zu können.<br />
Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren<br />
Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu<br />
erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben.
Start<br />
Festlegung der<br />
Grenzen der Maschine<br />
Identifizierung der<br />
Gefährdungen<br />
Risikoeinschätzung<br />
Risikobewertung<br />
Nein<br />
Ist die<br />
Maschine<br />
sicher?<br />
Risikominderung<br />
Iterativer Prozess zur Risikominderung nach EN ISO 14121<br />
Ja<br />
Risikoanalyse<br />
Ende<br />
Risikobeurteilung<br />
1
Sichere Gestaltung<br />
und technische<br />
Schutzmaßnahmen
Maßnahmen zur inhärent sicheren Gestaltung<br />
(gemäß EN ISO 1 100- , Kapitel 4)<br />
Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus<br />
der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Automatisierung<br />
einiger Aufgaben, wie z.B. dem Beladen einer Maschine, möglich. Kann eine<br />
Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reinigungszwecken<br />
kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln<br />
ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige<br />
Möglichkeit, ein Risiko auf null zu reduzieren.<br />
Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass<br />
sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit<br />
Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die<br />
Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und<br />
Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden werden,<br />
dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann<br />
vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwindigkeit<br />
und Druck kann das Verletzungsrisiko reduziert werden.<br />
Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen<br />
Quelle: BS PD 5304<br />
Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch<br />
die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität<br />
vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum<br />
Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm.<br />
Normen und Gesetz-<br />
gebung geben eine<br />
eindeutige Hierarchie<br />
für die Schutzmaßnahmen<br />
an. Gefährdungsvermeidung<br />
oder größtmögliche<br />
Risikominderung<br />
durch inhärent<br />
sichere Gestaltungsmaßnahmen<br />
haben<br />
höchste Priorität.
4<br />
Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen<br />
(laut EN ISO 1 100- , Kapitel 5)<br />
Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt.<br />
Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung<br />
zur Vermeidung von unerwartetem Anlauf, usw.<br />
Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen<br />
kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen,<br />
unbedenklich sind.<br />
Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen,<br />
oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein.<br />
Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen<br />
dienen:<br />
Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der<br />
Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen,<br />
Anpassen usw. verwendet.<br />
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des getrennten<br />
Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung<br />
oder durch Rotation des Scharniers um 5°– normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer<br />
Nachlaufzeit)
Lichtvorhänge zum Erkennen von Personen, die sich der<br />
Gefahrenzone nähern:<br />
mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm<br />
Auflösung)<br />
Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpacken,<br />
Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum<br />
Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen.<br />
Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des<br />
Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier<br />
Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung<br />
verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der<br />
Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Maschine<br />
erleichtert.<br />
Sicherheitsmatten zum Erkennen von Personen,<br />
die sich der Gefahrenzone nähern, sich dort aufhalten oder in die<br />
Gefahrenzone eintreten.<br />
Sicherheitsmatten werden üblicherweise vor oder um potenziell<br />
gefährliche Maschinen oder Roboter verwendet. Sie bieten dem<br />
Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen.<br />
Sie dienen hauptsächlich zum Schutz des Personals und ergänzen<br />
Sicherheitsprodukte, wie z.B. Lichtvorhänge. Sie bieten einen<br />
freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen<br />
Personen, die auf die Matten treten und bewirken das Stoppen<br />
der gefahrbringenden Bewegung.<br />
5
6<br />
Sicherheitsschalter mit funktionsüberwachter und<br />
elektromagnetischer Zuhaltung<br />
während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Maschinen<br />
eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen<br />
der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrbringenden<br />
Bewegung ermöglicht werden soll. Sie werden häufig entweder mit<br />
Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder<br />
mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet,<br />
damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist.<br />
Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Versagen<br />
oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutzmaßnahmen<br />
sollten die Produktionsaufgaben nicht unnötigerweise behindern.<br />
Hierzu zählen die folgenden Schritte:<br />
- Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu<br />
entfernen oder einzustellen;<br />
- Verwendung von codierten Geräten oder Systemen, z.B. mechanisch, elektrisch,<br />
magnetisch oder optisch;<br />
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum<br />
Verriegelungsgerät bei geöffneter Schutzeinrichtung;<br />
- Fester Stand, um den einwandfreien Betrieb zu gewährleisten<br />
Zweihand-Steuerpulte und Fußschalter<br />
werden verwendet um sicherzustellen, dass sich das Bedienpersonal<br />
bei gefahrbringenden Bewegungen nicht im<br />
Gefahrenbereich aufhält (z.B. Abwärtshub bei Pressen)<br />
Sie dienen hauptsächlich zum Schutz des Bedienpersonals.<br />
Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche<br />
Maßnahmen, wie z.B. durch das Anbringen von Lichtvorhängen,<br />
realisiert werden.<br />
Zustimmschalter ermöglichen den Zugang<br />
unter speziellen Bedingung, die ein geringeres<br />
Risiko darstellen<br />
zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.B. Tippbetrieb),<br />
mit zentraler Position und 2 Stellungen für die Aus-<br />
Funktion (mit und ohne Zwangstrennung). Somit ist sichergestellt,<br />
dass beim Loslassen oder Verkrampfen der Hand eine sichere<br />
Abschaltung erfolgt.
Überwachung der Sicherheitssignale – Steuerungssysteme<br />
Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder<br />
Sicherheits-SPS (insgesamt bezeichnet als „Sicherheitslogiksystem”) überwacht, und dienen zum Ansteuern (und<br />
manchmal Überwachen) von Ausgabegeräten, wie z.B. Schützen.<br />
Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.B. Anzahl der zu verarbeitenden Sicherheits-<br />
eingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch<br />
Dezentralisation mit Hilfe eines Feldbusses wie z.B. der AS-Interface „Safety at Work” oder SafeEthernet.<br />
Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.B. bei<br />
großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer<br />
Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der<br />
Normen in Bezug auf elektrische Steuerungssysteme geführt.<br />
Sicherheitsrelais Sicherheitscontroller Kompakte<br />
Sicherheitssteuerung<br />
Modulare<br />
Sicherheitssteuerung<br />
Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinenrichtlinie<br />
stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass<br />
„Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen<br />
vermieden wird”. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Verwendung<br />
eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel,<br />
die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO<br />
13849-1 und EN IEC 62061.
8<br />
Ergänzende Schutzmaßnahmen – Not-Halt<br />
Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie<br />
nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominderung<br />
angesehen. Sie werden stattdessen als „ergänzende Schutzmaßnahmen” bezeichnet.<br />
Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig<br />
und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden.<br />
EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen:<br />
- Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Antriebselement<br />
(ungesteuertes Stillsetzen);<br />
- Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum<br />
Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezufuhr<br />
zu unterbrechen;<br />
- Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum<br />
Antriebselement.<br />
Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet.<br />
Not-Halt-Geräte müssen bei Maschinen „direkt wirken”. Das bedeutet, dass durch ihre Gestaltung<br />
sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normaler-<br />
weise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder<br />
das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames<br />
Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte<br />
Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt<br />
öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen.<br />
Restrisiken<br />
Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaßnahmen<br />
reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden,<br />
um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel<br />
angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes<br />
Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederholungen<br />
der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken<br />
bestehen.<br />
Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entsprechen,<br />
ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden<br />
kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Gestalter<br />
Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanweisung,<br />
usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleidung<br />
und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch<br />
nicht so effektiv wie Gestaltungsmaßnahmen.
0<br />
Funktionale<br />
Sicherheit
Funktionale Sicherheit<br />
Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktionalen<br />
Sicherheit herausgegeben unter:<br />
http://www.iec.ch/zone/fsafety/<br />
In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen.<br />
Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2.<br />
Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht.<br />
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten „Kategorien“ zum Verhalten im Fehlerfall,<br />
die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als ‘Sicherheitskategorien’ beschrieben wurden.<br />
Eine Erinnerung an die Leitsätze der EN 54-1<br />
Anwendern der EN 954-1 wird der alte „Risikograph” bekannt sein, der von vielen verwendet wurde, um die<br />
sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu<br />
gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit<br />
der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis<br />
schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie<br />
für jedes sicherheitsbezogene Teil zu ermitteln.<br />
S1<br />
S2<br />
F1<br />
F2<br />
P1<br />
P2<br />
P1<br />
P2<br />
Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem*<br />
(SRECS) abhängt, umso fehlerresistenter muss es sein (z.B. gegen Kurzschlüsse, verschweißen von Kontakten<br />
usw.).<br />
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert:<br />
- Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers<br />
führen.<br />
- Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlich-<br />
keit ist geringer als in Kategorie B.<br />
- Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der<br />
Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen)<br />
KM1<br />
KM1<br />
B 1 2 3 4<br />
KM1<br />
*Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als:<br />
- Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1<br />
- Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061<br />
1
- Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.B.<br />
durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch<br />
einer Ansammlung von Fehlern auftreten.<br />
1 2<br />
KM2<br />
KM1<br />
KM1<br />
KM2<br />
- Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht,<br />
selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sichergestellt<br />
und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge<br />
1<br />
KM2<br />
2<br />
KM1 KM2<br />
KM1<br />
KM1<br />
KM2
Funktionale Sicherheit ist „Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die<br />
von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme anderer<br />
Technologien und externer Einrichtungen zur Risikominderung abhängt”. Beachten Sie, dass es sich nur um<br />
ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente<br />
oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der<br />
Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und<br />
IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter.<br />
* EUC steht für Equipment Under Control (Betriebseinrichtung)<br />
**Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch.<br />
Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen<br />
müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren<br />
Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigentlich<br />
die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die<br />
Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 „besser” sei als Kategorie 2 usw. Normen<br />
zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die<br />
zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen<br />
Komponenten zu verlassen.
4<br />
Welche Normen werden für die Sicherheitsfunktion angewendet?<br />
Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar<br />
noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden.<br />
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1<br />
als PL (Performance Level) angegeben.<br />
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, betrachtet.<br />
Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten<br />
Komponenten berücksichtigt werden.<br />
EN IEC 6 061<br />
Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforderungen<br />
(Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue<br />
Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der<br />
eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist.<br />
Ein häufig verwendetes Beispiel ist „Maschine anhalten, wenn die Schutzeinrichtung offen ist”. Der Fall muss jedoch<br />
genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel<br />
durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit<br />
Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewegungen<br />
abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie<br />
wird das Öffnen der Schutzeinrichtung erkannt?<br />
In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler<br />
berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermeidung<br />
dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die<br />
meisten Fehler systematisch und entstehen durch falsche Spezifikation.<br />
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestaltungsmaßnahmen<br />
führen; z.B. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung<br />
von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausreichende<br />
Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein.<br />
Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion<br />
ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben?<br />
In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines<br />
gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die<br />
Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und<br />
steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt:<br />
3 >10-8 bis 10-7 bis 10-6 bis
EN ISO 1 84 -1<br />
In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTF d), Diagnose-<br />
Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a, b, c, d, e) verwendet.<br />
Eine vereinfachte Methode zur Einschätzung des PL-Wertes liefert Tabelle 7 der Norm. Die Kategorien sind<br />
vergleichbar mit den Kategorien in EN 954-1. Sie werden in Anhang 2 erklärt.<br />
Kategorie B 1 2 2 3 3 4<br />
DC avg Keine Keine Gering Mittel Gering Mittel Hoch<br />
MTTF d jedes einzelnen Kanals<br />
Niedrig<br />
Mittel<br />
Hoch<br />
a<br />
Nicht<br />
abgedeckt<br />
a b b c<br />
Nicht<br />
abgedeckt<br />
b<br />
Nicht<br />
abgedeckt<br />
b c c d<br />
Nicht<br />
abgedeckt<br />
Nicht<br />
abgedeckt<br />
c c d d d e<br />
Tabelle 2: Vereinfachtes Verfahren zum Ermitteln des PL-Wertes, der durch das verwendete SRP/CS erreicht wird<br />
Performance Level „EN ISO 1 84 -1”<br />
Aus der oberen Tabelle ist ersichtlich, dass nur eine Architektur der Kategorie 4 zum Erreichen des höchsten PL-<br />
Wertes e führen kann. Geringere PL-Werte lassen sich jedoch in Abhängigkeit von MTTF d und DC der verwendeten<br />
Komponenten erzielen.<br />
a<br />
b<br />
c<br />
d<br />
e<br />
Kat. B Kat. 1 Kat. Kat. Kat. Kat. Kat. 4<br />
DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg =<br />
0 0 niedrig mittel niedrig mittel hoch<br />
Höhe der Sicherheitskategorie EN ISO 1 84 -1<br />
MTTFd jedes einzelnen Kanals = niedrig<br />
MTTFd jedes einzelnen Kanals = mittel<br />
MTTFd jedes einzelnen Kanals = hoch<br />
1<br />
1<br />
Sicherheits-Integritätslevel „EN IEC 6 061”<br />
5
6<br />
Index MTTFd Spanne<br />
Niedrig >3 Jahre bis 10 Jahre bis 30 Jahre bis
Vereinfachte Tabelle:<br />
Nr. Anforderung (gegen Fehler gemeinsamer<br />
Ursache CCF)<br />
Punkte<br />
1 Trennung (zwischen den einzelnen Stromkreisen) 15<br />
2 Diversität (in Technologie, Design, Prinzip) 20<br />
3 Entwurf / Applikation / Erfahrung 20<br />
4 Beurteilung / Analyse 5<br />
5 Kompetenz / Ausbildung 5<br />
6 Umwelteinflüsse (Prüfungen, Produktnormen) 35<br />
Welche Norm soll angewendet werden?<br />
Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor, kann der Entwickler<br />
frei entscheiden, ob er EN IEC 62061, EN ISO 13849-1 oder sogar eine andere Norm<br />
anwendet.<br />
EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen, durch die eine<br />
Konformitätsvermutung zur Erfüllung der wesentlichen Anforderungen der Maschinenrichtlinie<br />
erreicht wird, sofern sie angewendet werden. Jedoch muss beachtet werden, dass<br />
die ausgewählte Norm im Ganzen verwendet werden muss. In einem System können nicht<br />
Teile von beiden Normen verwendet werden.<br />
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines gemeinsamen<br />
Anhangs für die beiden Normen mit dem Ziel, in der Zukunft eine einzige Norm<br />
zu entwickeln.<br />
EN IEC 62061 ist vielleicht verständlicher in Bezug auf die Themen zur Spezifikation und<br />
Führungsverantwortung, EN ISO 13849-1 ermöglicht jedoch einen leichteren Übergang<br />
von EN 954-1.<br />
Beide Normen sind für die Verwendung von elektromagnetischer und komplexer elektronischer<br />
Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen<br />
bestimmt. Somit decken beide Normen gemeinsam einen Großteil der Anwendung ab.<br />
Die EN ISO 13849-1 deckt zusätzlich auch nichtelektrische Technologien, wie beispielsweise<br />
Pneumatik oder Hydraulik ab. Dafür gibt es Einschränkungen bei sehr komplexen<br />
Technologien, die besonders in der EN IEC 62061 behandelt werden. Über die jeweilige<br />
Verwendbarkeit informieren beide Normen.<br />
Zertifizierung<br />
Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhältlich. Es sollte beachtet werden,<br />
dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt, der von<br />
einem System, das diese Komponente in einer speziellen Konfiguration verwendet, erreicht<br />
werden kann. Es kann nicht garantiert werden, dass das Gesamtsystem einen speziellen<br />
SIL- oder PL-Wert aufweist.
8<br />
Normen zum<br />
Steuerungssystem –<br />
Berechnungs-<br />
beispiele
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der<br />
beste Weg, um die Anwendung von EN IEC 6<br />
zu verdeutlichen.<br />
061 und EN ISO 1 84 -1<br />
Für beide Normen verwenden wir ein Beispiel, bei dem das Öffnen einer Schutzeinrichtung zum Anhalten der<br />
beweglichen Teile einer Maschine führen muss, da es sonst zu Verletzungen wie z.B. einem gebrochenen Arm oder<br />
abgetrennten Finger kommen kann.
40<br />
Berechnungsbeispiel nach Norm EN IEC 6 061<br />
Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer,<br />
elektronischer und programmierbarer elektronischer Steuerungssysteme<br />
Sicherheitsbezogene, elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung<br />
der gesamten Sicherheit von Maschinen. Sie verwenden immer häufiger komplexe elektronische Technologien.<br />
Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508.<br />
Die Norm stellt Regeln auf für die Integration von Teilsystemen gemäß EN ISO 13849-1. Sie befasst sich nicht mit<br />
den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (z.B.: hydraulische und<br />
pneumatische Komponenten).<br />
Funktionaler Ansatz zur Sicherheit<br />
Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1), um dann die benötigten Sicherheitsanforderungen<br />
festlegen zu können. Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur<br />
zum Ausführen der Sicherheitsfunktionen. Unterfunktionen müssen in Erwägung gezogen und deren Interaktionen<br />
analysiert werden, bevor eine Hardwarelösung für die Sicherheitssteuerung, genannt sicherheitsbezogenes, elektrisches<br />
Steuerungssystem (SRECS), ausgewählt wird.<br />
Ein funktionaler Sicherheitsplan, in dem alle Gestaltungsprojekte festgehalten werden, muss erstellt<br />
werden. Er muss Folgendes umfassen:<br />
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen:<br />
- Eine Beschreibung der Funktionen und Schnittstellen, Betriebsarten, Prioritäten der Funktionen, Häufigkeit des<br />
Betriebs, usw.<br />
- Eine Spezifikation der Sicherheitsintegritätsanforderungen an jede Funktion, ausgedrückt in Form eines SIL-Wertes<br />
(Sicherheits-Integritätslevels).<br />
- Die unten aufgeführte Tabelle 1 zeigt den Maximalwert für Ausfälle für jeden SIL-Wert.<br />
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls<br />
Integritätslevel SIL pro Stunde, PFH D<br />
3 >10 -8 bis 10 -7 bis 10 -6 bis
Der Vorteil dieser Annäherung liegt in einer Berechnungsmethode, die alle Parameter, die die Zuverlässigkeit eines<br />
Steuerungssystems betreffen, einschließt. Bei dieser Methode wird jeder Funktion ein SIL zugeordnet. Dabei werden<br />
folgende Parameter berücksichtigt:<br />
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFH D ),<br />
- Die Architektur (A, B, C oder D), d.h.;<br />
mit oder ohne Redundanz,<br />
mit oder ohne Diagnosefunktion, zum Kontrollieren einiger gefahrbringender Ausfälle,<br />
- Ausfälle infolge gemeinsamer Ursache (CCF), einschließlich;<br />
Kurzschlüsse zwischen Kanälen,<br />
Überspannung,<br />
Stromunterbrechung usw.<br />
- Die Wahrscheinlichkeit gefahrbringender Übertragungsfehler bei digitaler Kommunikation,<br />
- Störfestigkeit gegenüber elektromagnetischen Feldern.<br />
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt:<br />
1. Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritätslevel (SIL) und legen Sie die<br />
Grundstruktur des elektrischen Steuerungssystems (SRECS) fest. Beschreiben Sie jede verwendete Funktion<br />
(SRCF),<br />
2. Unterteilen Sie jede Funktion in Funktionsblöcke (FB),<br />
3. Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den<br />
Teilsystemen der Architektur zu,<br />
4. Wählen Sie die Komponenten für jedes Teilsystem aus,<br />
5. Gestalten Sie die Diagnosefunktion und stellen Sie sicher, dass das angegebene Sicherheits-Integritätslevel (SIL)<br />
erreicht wurde.<br />
Nehmen Sie für unser Beispiel eine Funktion, bei der die Energiezufuhr vom Motorantrieb getrennt wird, wenn eine<br />
Schutzeinrichtung geöffnet wird. Wenn die Funktion ausfällt, könnte sich der Maschinenbediener einen Arm brechen<br />
oder einen Finger verlieren.<br />
41
4<br />
Schritt 1 – Bestimmen Sie das Sicherheits-Integritätslevel (SIL)<br />
und legen Sie die Struktur des SRECS fest<br />
Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird für jede sicherheitsbezogene<br />
Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt<br />
in Parameter unterteilt.<br />
Mit der<br />
identifizierten<br />
Gefährdung<br />
verbundenes<br />
Risiko<br />
Häufigkeit und Dauer<br />
der Gefährdungs-<br />
exposition<br />
Schwere des<br />
möglichen<br />
Schadens<br />
&<br />
Wahrscheinlichkeit<br />
eines gefahrbrin-<br />
genden Ereignisses<br />
Wahrscheinlichkeit<br />
der Vermeidung oder<br />
Begrenzung des<br />
Schadens<br />
F Wahrscheinlichkeit<br />
des<br />
W<br />
P<br />
S<br />
Eintritts<br />
dieses<br />
Schadens
Schwere S<br />
Die Schwere von Verletzungen oder Gesundheitsschädigungen lässt sich durch Unterteilung<br />
in reversible Verletzungen, irreversible Verletzungen und Tod einschätzen.<br />
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt.<br />
Folgen Schwere (S)<br />
Irreversibel: Tod, Verlust eines Auges oder Armes 4<br />
Irreversibel: gebrochene Gliedmaße, Verlust von Fingern 3<br />
Reversibel: Medizinische Behandlung erforderlich 2<br />
Reversibel: Erste Hilfe erforderlich 1<br />
Wahrscheinlichkeit des Eintritts eines Schadens<br />
Jeder der drei Parameter F, W, P wird getrennt bewertet. Dabei wird der jeweils vom ungünstigsten<br />
Fall ausgegangen. Es wird empfohlen, eine Aufgabenanalyse zu verwenden, um die<br />
genaue Einschätzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu können.<br />
Häufigkeit und Dauer der Gefährdungsexposition F<br />
Die Höhe der Exposition hängt von der Notwendigkeit, den Gefahrenbereich zu betreten<br />
(Normalbetrieb, Wartung, ...) und von der Zugangsart (manuelle Beschickung, Anpassung<br />
usw.) ab. Daraus lässt sich dann die Häufigkeit und Dauer der Exposition abschätzen.<br />
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt:<br />
Häufigkeit des Gefährdungsexposition Dauer<br />
> 10 Minuten<br />
1 h bis 1 Tag bis 2 Wochen bis 1 Jahr 2<br />
4
44<br />
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W<br />
Zwei grundlegende Konzepte müssen berücksichtigt werden:<br />
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen<br />
und ihren diversen Betriebsarten (Normalbetrieb, Wartung, Fehlerdiagnose). Hierbei muss<br />
besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten<br />
des Bedienpersonals, wie z.B. bei Stress, Müdigkeit, Unerfahrenheit, usw.<br />
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit<br />
(W)<br />
Sehr hoch 5<br />
Wahrscheinlich 4<br />
Möglich 3<br />
Selten 2<br />
Unwahrscheinlich 1<br />
Wahrscheinlichkeit der Vermeidung oder Begrenzung des<br />
Schadens P<br />
Dieser Parameter bezieht sich auf die Gestaltung der Maschine. Er berücksichtigt die<br />
Plötzlichkeit des Auftretens eines gefahrbringenden Ereignisses, die Art der Gefährdung<br />
(Schneiden, Temperatur, Elektrizität), die Möglichkeit der physischen Vermeidung der<br />
Gefährdung und die Möglichkeit des Erkennens eines gefahrbringenden Ereignisses.<br />
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens<br />
(P)<br />
Unmöglich 5<br />
Selten 3<br />
Wahrscheinlich 1
Bestimmung des SIL-Wertes:<br />
Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgeführten Tabelle<br />
vorgenommen.<br />
In unserem Beispiel hat die Schwere (S) den Wert 3, da das Risiko besteht, dass ein Finger<br />
abgetrennt wird; dieser Wert wird in der ersten Spalte der Tabelle gezeigt. Alle weiteren<br />
Parameter müssen zusammengezählt werden, um dann eine Klasse auszuwählen (vertikale<br />
Spalten der unten aufgeführten Tabelle). Hierbei kommt man zu folgendem Ergebnis:<br />
F = 5 Zugang mehrmals am Tag<br />
W = 4 gefahrbringendes Ereignis wahrscheinlich<br />
P = 3 Wahrscheinlichkeit der Vermeidung fast unmöglich<br />
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12<br />
Das sicherheitsbezogene, elektrische Steuerungssystem (SRECS) der Maschine muss<br />
diese Funktion mit einem Integritätslevel von SIL 2 ausführen.<br />
Schwere (S) Klasse (K)<br />
4<br />
3<br />
2<br />
1<br />
Grundstruktur des SRECS<br />
3-4 5-7 8-10 11-13 14-15<br />
SIL 2 SIL 2 SIL 2 SIL 3 SIL 3<br />
(AM) SIL 1 SIL 2 SIL 3<br />
(OM) SIL 1 SIL 2<br />
(AM) SIL 1<br />
Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden, wird das System<br />
in Teilsysteme unterteilt. In unserem Beispiel werden 3 Teilsysteme benötigt, um Eingabe-,<br />
Verarbeitungs- und Ausgabefunktionen auszuführen. Die folgende Abbildung stellt diesen<br />
Schritt dar, unter Verwendung der in der Norm angeführten Terminologie.<br />
SRECS<br />
Teilsystem<br />
Elemente<br />
Eingang<br />
Teilsysteme<br />
Logik<br />
(Verarbeitung)<br />
Ausgang<br />
45
46<br />
Schritt – Unterteilen Sie jede Funktion in Funktionsblöcke (FB)<br />
Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsbezogenen<br />
Funktion.<br />
Durch die Unterteilung in Funktionsblöcke wird ein erstes Konzept der SRECS-Architektur<br />
erstellt. Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der<br />
Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet.<br />
Teilsystem 1<br />
Sensor Schutzeinrichtung<br />
Funktionsblock<br />
F<strong>B1</strong><br />
Eingang<br />
SRECS<br />
Zielwert SIL = SIL<br />
Teilsystem<br />
Logik (Verarbeitung)<br />
Funktionsblock<br />
F<strong>B2</strong><br />
Logik<br />
Teilsystem<br />
Umschalt. der<br />
Motorleistung<br />
Funktionsblock<br />
FB3<br />
Ausgang<br />
Schritt – Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock<br />
auf und ordnen Sie die Funktionsblöcke den<br />
Teilsystemen der Architektur zu.<br />
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet. (Die Norm<br />
definiert ‘Teilsystem’ so, dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezogenen<br />
Steuerungsfunktion führt.) Jedem Teilsystem können mehrere Funktionsblöcke zugeteilt<br />
werden. Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunktionen,<br />
um sicherzustellen, dass Ausfälle erkannt und passende Maßnahmen getroffen werden.<br />
Diese Diagnosefunktionen werden als separate Funktionen angesehen; sie können im Teilsystem<br />
oder von einem anderen Teilsystem ausgeführt werden. Die Teilsysteme müssen mindestens den<br />
gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion, jeweils mit<br />
eigener SIL-Anspruchsgrenze (SILCL). In diesem Fall muss SILCL für jedes Teilsystem 2 sein.<br />
Teilsystem 1<br />
Sensor Schutzeinr.<br />
Verriegel.schalter 1<br />
Teilsystem<br />
Element 1.1<br />
Verriegel.schalter 2<br />
Teilsystem<br />
Element 1.2<br />
SILCL<br />
SRECS<br />
Teilsystem<br />
Sicherheitscontroller<br />
SILCL<br />
Teilsystem<br />
Logik (Verarbeit.) Umschaltung der<br />
Motorleistung<br />
Schütz 1<br />
Teilsystem<br />
Element 3.1<br />
Schütz 2<br />
Teilsystem<br />
Element 3.2<br />
SILCL
Schritt 4 – Wählen Sie die Komponenten für jedes Teilsystem<br />
Die unten aufgeführten Produkte wurden ausgewählt.<br />
Sensor<br />
Schutzeinrichtung<br />
Teilsystem 1 (S<strong>B1</strong>)<br />
Sicherheitsschalter 1<br />
Sicherheitsschalter 2<br />
(Teilsystemelemente)<br />
S<strong>B1</strong> SILCL<br />
Logik<br />
(Verarbeitung)<br />
Teilsystem 2 (S<strong>B2</strong>)<br />
Sicherheitsrelais<br />
SB SILCL<br />
Schalten<br />
von Leistung<br />
Teilsystem 3 (SB3)<br />
Schütz 1<br />
Schütz 2<br />
(Teilsystemelemente)<br />
SB SILCL<br />
Komponente Anzahl der % gefahrbringende Lebensdauer<br />
Schaltspiele (<strong>B1</strong>0) Ausfälle<br />
Sicherheits-Positionsschalter XCS 10.000.000 20 % 10 Jahre<br />
XPS AK Sicherheitsmodul PFH D = 7,389 x 10 -9<br />
LC1 TeSys Schütz 1 000 000 73 % 20 Jahre<br />
Die Zuverlässigkeitsdaten werden vom Hersteller geliefert.<br />
Die Zykluslänge in diesem Beispiel beträgt 450 Sekunden, daraus ergibt sich ein Arbeitszyklus<br />
C von 8 pro Stunde, d.h. die Schutzeinrichtung wird 8 mal pro Stunde geöffnet.<br />
4
48<br />
Schritt 5 – Gestalten Sie die Diagnosefunktion<br />
Der durch die Teilsysteme erreichte SIL-Wert hängt nicht nur von den Komponenten, sondern<br />
auch von der verwendeten Architektur, ab. In diesem Beispiel wählen wir Architektur<br />
B für die Schützausgänge und Architektur D für den Endlagenschalter (siehe Anhang 1<br />
dieser Anleitung zur Erläuterung der Architekturen A, B, C und D).<br />
Bei dieser Architektur führt das Sicherheitsmodul Selbstdiagnosen durch und überprüft<br />
auch die Sicherheitsendlagenschalter. Es gibt drei Teilsysteme, für die die SIL-Anspruchsgrenzen<br />
(SILCL) festgelegt werden müssen:<br />
S<strong>B1</strong>: zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant);<br />
S<strong>B2</strong>: ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt, einschließlich PFH-Wert D ,<br />
die vom Hersteller zur Verfügung gestellt werden);<br />
SB3: zwei Schütze, die nach Architektur B verwendet werden (redundant ohne Rück-<br />
meldung)<br />
Die Berechnung umfasst die folgenden Parameter:<br />
<strong>B1</strong>0: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.<br />
C: Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde).<br />
l D : Rate der gefahrbringenden Ausfälle (l = x Anteil der gefahrbringenden Ausfälle).<br />
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (CCF-Faktor): siehe Anhang F der<br />
Norm.<br />
T1: Proof-Testintervall oder Lebensdauer, wenn dieser Wert geringer ist (laut Herstellerangabe).<br />
Die Norm sagt aus, dass eine Lebensdauer von 20 verwenden werden sollte,<br />
um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden, das verwendet wird, um<br />
bei der Berechnung den SIL-Wert zu verbessern. Die Norm erkennt natürlich an, dass<br />
elektromechanische Komponenten ausgetauscht werden müssen, wenn die angegebene<br />
Anzahl der Schaltspiele erreicht wurde. Als T1-Wert kann daher die vom Hersteller<br />
angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen<br />
Komponenten der <strong>B1</strong>0 D -Wert geteilt durch die Anzahl der Arbeitszyklen C.<br />
T2: Diagnose-Testintervall.<br />
DC: Diagnose-Deckungsgrad = l DD / l Dtotal ist das Verhältnis der Rate der erkannten gefahrbringenden<br />
Ausfälle zur Rate der gesamten gefahrbringenden Ausfälle.
Sensor<br />
Schutzeinrichtung<br />
Teilsystem 1 (S<strong>B1</strong>)<br />
Teilsystemelement 1.1<br />
l e = 0,1 • C/B 10<br />
l De = l e • 20%<br />
Teilsystemelement 1.2<br />
l e = 0,1 • C/B 10<br />
Logik<br />
(Verarbeitung)<br />
Teilsystem 2 (S<strong>B2</strong>)<br />
l De = l e • 20% D<br />
Teilsystem S<strong>B1</strong><br />
PFH D = ? (Architektur D)<br />
D<br />
Sicherheitsrelais<br />
Teilsystem SB<br />
PFH D = , 8 x10 -<br />
Schalten<br />
von Leistung<br />
Teilsystem 3 (SB3)<br />
Teilsystemelement 3.1<br />
l e = 0,1 • C/B 10<br />
l De = l e • 73%<br />
Teilsystemelement 3.2<br />
l e = 0,1 • C/B 10<br />
l De = l e • 73%<br />
Teilsystem SB<br />
PFH D = ? (Architektur B)<br />
Rückführungsschleife<br />
nicht verwendet<br />
Die Ausfallrate, l, eines elektromechanischen Teilsystemelements wird definiert als<br />
le = 0,1 x C / <strong>B1</strong>0.<br />
Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und <strong>B1</strong>0 die Anzahl der Arbeitszyklen bis 10 % der<br />
Komponenten ausgefallen sind. In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde.<br />
Anfälligkeit für Ausfälle für<br />
jedes Element l e<br />
Anfälligkeit für gefahr-bringende<br />
Ausfälle für jedes<br />
Element l De<br />
l e = 0,1 C/B 10<br />
l De = l e x - Anteil der<br />
gefahrbringen-<br />
den Ausfälle<br />
CCF-Faktor = Anfälligkeit für Ausfälle infolge gemeinsamer Ursache<br />
S<strong>B1</strong> -<br />
2 überwachte<br />
Sicherheits-<br />
Positionsschalter<br />
SB3 -<br />
2 Schütze ohne<br />
Diagnosefunktionen<br />
DC 99 % Nicht relevant<br />
CCF-Faktor b Angenommener schlimmster Fall: 10 %<br />
T1 min (Lebensdauer<br />
<strong>B1</strong>0d/C)<br />
Diagnose-Testintervall T2<br />
Anfälligkeit für gefahrbringende<br />
Ausfälle für<br />
jedes Teilsystem<br />
T1 = B 10D /C<br />
Formel für<br />
Architektur B:<br />
l DssB =(1 – b) 2 x l De1 x l De2 x<br />
T 1 + b x (l De1 + l De2 )/2<br />
Formel für<br />
Architektur D<br />
l DssD = (1 – b) 2 {[ l De2 x 2<br />
x DC ] x T 2 /2 + [ l De2 x (1<br />
– DC) ] x T 1 } + b x l De<br />
(10.000.000/20 %)/8<br />
= 87.600<br />
Jede Anforderung, d.h.<br />
8 x pro Stunde,<br />
= 1/8 = 0,125 Std.<br />
(10.000.000/73 %)/8<br />
= 171.232<br />
Nicht relevant<br />
l DssB = (1 – 0,9) 2 x l De1<br />
x l De2 x T 1 + b x (l De1 +<br />
l De2 )/2<br />
4
50<br />
Für die Ausgangsschütze in Teilsystem SS3 muss der PFH d -Wert berechnet werden.<br />
Bei Architektur B (Einfehlertoleranz, ohne Diagnose) wird die Wahrscheinlichkeit eines<br />
gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet:<br />
l DssB =(1 – b) 2 x l De1 x l De2 x T 1 + b x (l De1 + l De2 )/2<br />
[Gleichung B der Norm]<br />
PFHDssB = l DssB x 1h<br />
In diesem Beispiel b = 0,1<br />
l De1 = l De2 = 0,73 (0,1 x C/1.000.000) = 0,73(0,8/1.000.000) = 5,84 x 10 -7<br />
T1 = min( Lebensdauer, <strong>B1</strong>0 D /C) = min (175.200*, 171.232) = 171.232 Stunden<br />
* Lebensdauer 20 Jahre, mindestens 175.200 Stunden<br />
l = (1 – 0,1) DssB 2 x 5,84 x 10-7 x 5,84 x 10-7 x 171.232 + 0,1 x ((5,84 x 10-7 ) + (5,84 x 10-7 ))/2<br />
= 0,81 x 5,84 x 10 -7 x 5,84 x 10 -7 x 171 232 + 0,1 x 5,84 x 10 -7<br />
= 0,81x 3,41056 x 10 -13 x 171 232 + 0,1 x 5,84 x 10 -7<br />
= (3,453 x 10 -8 ) + (5,84 x 10 -8 ) = 1,06 x 10 -7<br />
Da PFH DssB = l DssB x 1h, PFH D für die Schütze in Teilsystem SS3 = 1,06 x 10 -7<br />
Für die Eingangsendlagenschalter in Teilsystem SS1 muss der PFH D -Wert berechnet werden.<br />
Für Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt.<br />
Bei dieser Architektur führt ein einziger Fehler in einem der Teilsystemelemente nicht zum<br />
Verlust der SRCF.<br />
T 2 : Diagnose-Testintervall;<br />
T 1 : Proof-Testintervall oder die Lebensdauer, wenn dieser Wert geringer ist.<br />
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache; l D = l DD + l DU ; wobei l DD die Rate<br />
der erkennbaren, gefahrbringenden Ausfälle ist und l DU die Rate der nicht erkennbaren,<br />
gefahrbringenden Ausfälle.<br />
l DD = l D x DC<br />
l DU = l D x (1 – DC)<br />
Für Teilsystemelemente mit gleicher Gestaltung gilt:<br />
l De : Anfälligkeit für gefahrbringende Ausfälle jedes Teilsystemelements;<br />
DC: Diagnose-Deckungsgrad eines Teilsystemelements.<br />
l = (1 – b) DssD 2 2 2 {[ l x 2 x DC ] x T2 /2 + [l x (1 – DC) ] x T1 } + b x l De<br />
De<br />
De
D.2 der Norm<br />
PFH DssD = l DssD x 1h<br />
l e = 0,1 x C / <strong>B1</strong>0 = 0,1 x 8/10.000.000 = 8 x 10 -8<br />
l De = l e x 0,2 = 1,6 x 10 -8<br />
DC = 99%<br />
b = 10% (im schlimmsten Fall)<br />
T 1 = min (Lebensdauer, <strong>B1</strong>0 D /C) = min[87600*,(10.000.000/20%)] = 87.600 Stunden<br />
T 2 = 1/C = 1/8 = 0,125 Std.<br />
* Lebensdauer 10 Jahre, mindestens 87.600 Stunden<br />
Aus D.2:<br />
l DssD = (1 – 0,1) 2 {[ 1,6 x 10 -8 x 1,6 x 10 -8 x 2 x 0,99 ] x 0,125 /2 + [1,6 x 10 -8 x 1,6 x 10 -8 x<br />
(1 – 0,99) ] x 87.600} + 0,1 x 1,6 x 10 -8<br />
= 0,81 x {[5,0688 x 10 -16 ] x 0,0625 + [2,56 x 10 -16 x(0,01)] x 87.600} + 1,6 x 10 -9<br />
= 0,81 x {3,168 x 10 -17 + [2,56 x 10 -18 ] x 87.600} + 1,6 x 10 -9<br />
= 1,82 10 -13<br />
= 1,6 x 10 -9<br />
Da PFH DssD = l DssD x 1 Std., ist PFHD für die Entlagenschalter in Teilsystem SS1 = 1,63 x 10 -9<br />
Wir wissen bereits, dass bei Teilsystem S<strong>B2</strong> der PFH D -Wert des Funktionsblocks Logik (realisiert<br />
durch das Sicherheitsrelais XPSAK) 7,389 x 10 -9 ist (Herstellerdaten).<br />
Der Gesamt-PFH D -Wert des sicherheitsbezogenen, elektrischen Steuerungssystems (SRECS)<br />
ist die Summe der PFH D -Werte aller Funktionsblöcke und wird daher wie folgt berechnet:<br />
PFH DSRECS = PFH DSS1 + PFH DSS2 + PFH DSS3 = 1,6 10 -9 + 7,389 10 -9 + 1,06 10 -7<br />
= 1,15 x 10 -7<br />
Der Wert liegt somit laut unten aufgeführter Tabelle der Norm innerhalb der<br />
Grenzwerte für SIL 2.<br />
Sicherheits- Wahrscheinlichkeit eines gefahr-<br />
Integritätslevel bringenden Ausfalls pro Stunde, PFH D<br />
3 >10 -8 bis 10 -7 bis 10 -6 bis
5<br />
Berechnungsbeispiel nach Norm<br />
EN ISO 1 84 -1<br />
Sicherheit von Maschinen - Sicherheitsbezogene Teile von<br />
Steuerungen - Teil 1: General principles for design<br />
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden.<br />
SCHRITT 1: Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen.<br />
SCHRITT 2: Bestimmen Sie den erforderlichen Performance Level (PLr) für jede Sicherheitsfunktion.<br />
SCHRITT 3: Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest, die die<br />
Sicherheitsfunktion ausführen.<br />
SCHRITT 4: Legen Sie das Performance Level PL für alle sicherheitsbezogenen Teile fest.<br />
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des SRP/CS* der Sicherheitsfunktion<br />
mindestens dem PLr-Wert gleicht.<br />
SCHRITT 6: Validieren Sie, dass alle Anforderungen erfüllt sind (siehe EN ISO 13849-2).<br />
*Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO<br />
13849-1).<br />
Für weitere Informationen, siehe Anhang dieser Anleitung.<br />
SCHRITT 1: Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion, bei der die<br />
Energiezufuhr zum Motorantrieb getrennt wird, wenn die Schutzeinrichtung<br />
geöffnet wird.<br />
SCHRITT 2: Unter Verwendung des „Risikographen” in Abbildung A.1 der EN ISO 13849-1<br />
und der gleichen Parameter wie im vorherigen Beispiel, kann das benötigte<br />
Performance Level d bestimmt werden<br />
(Hinweis: PL=d wir oft als „äquivalent” zu SIL 2 bezeichnet).<br />
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem<br />
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem<br />
S = Schwere der Verletzung<br />
S1 = leichte Verletzung (normalerweise reversibel)<br />
S2 = schwere Verletzung (normalerweise irreversibel, einschließlich Tod)<br />
F = Häufigkeit und/oder Dauer der Gefährdungsexposition<br />
F1 = selten bis öfter und/oder kurze Gefährdungsexposition<br />
F2 = häufig bis dauernd und/oder lange Gefährdungsexposition<br />
P = Möglichkeit der Vermeidung der Gefährdung oder Begrenzung des Schadens<br />
P1 = möglich unter bestimmten Bedingungen<br />
P2 = kaum möglich
SCHRITT 3: Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel für EN IEC 62061,<br />
d.h. Architektur der Kategorie 3 ohne Rückmeldung<br />
Eingang Logik Ausgang<br />
Sicherheitsschalter 1<br />
SW1<br />
Sicherheitsschalter 2<br />
SW2<br />
Sicherheitsrelais<br />
XPS<br />
Schütz 1<br />
CON1<br />
Schütz 2<br />
CON2<br />
SRP/CS a SRP/CS b SRP/CS c<br />
SCHRITT 4: Der PL-Wert des SRP/CS wird durch Einschätzung der folgenden Parameter bestimmt: (s. Anhang 2):<br />
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1). Beachten Sie, dass in diesem Beispiel die<br />
Verwendung einer Architektur der Kategorie 3 bedeutet, dass Schütze ohne Spiegelkontakte verwendet werden.<br />
- Der MTTF d -Wert der einzelnen Komponenten (siehe Anhänge C und D der EN ISO 13849-1)<br />
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)<br />
- Die Ausfälle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)<br />
Folgende Herstellerdaten liegen für die Komponenten vor:<br />
Beispiel-SRP/CS <strong>B1</strong>0 (Arbeitszyklen) MTTF d (Jahre) DC<br />
Sicherheits-Positionsschalter 10.000.000 99%<br />
Sicherheitsrelais XPSAK 154,5 99%<br />
Schütze 1.000.000 0%<br />
Beachten Sie, dass der Hersteller nur <strong>B1</strong>0 oder <strong>B1</strong>0 d -Daten für die elektromechanischen Komponenten angeben<br />
kann, da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt.<br />
Das erklärt, warum ein Hersteller keinen MTTF d -Wert für ein elektromechanisches Gerät bereitstellen kann.<br />
5
54<br />
Der MTTF d -Wert der Komponenten kann mit folgender Formel berechnet werden:<br />
MTTF d = <strong>B1</strong>0 d / (0,1 x n op )<br />
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr.<br />
<strong>B1</strong>0: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.<br />
<strong>B1</strong>0 d : Erwartete Zeit, bis zu der 10 % der Komponenten gefahrbringend ausgefallen. Ohne genaues Wissen über<br />
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt, wird ein<br />
Prozentsatz von 20 % eines gefahrbringenden Ausfalls für einen Sicherheitsschalter festgelegt und daher<br />
<strong>B1</strong>0 d = <strong>B1</strong>0/20 %. Beim Schütz beträgt der Prozentsatz 73 % und daher <strong>B1</strong>0 d = <strong>B1</strong>0/73 %.<br />
Angenommen, die Maschine ist pro Tag 8 Stunden in Betrieb, an 220 Tagen pro Jahr, mit einer Zykluszeit von<br />
120 Sekunden wie zuvor, dann beträgt n op = 52.800 Arbeitszyklen pro Jahr.<br />
Übersicht der Werte:<br />
Beispiel<br />
SRP/CS<br />
<strong>B1</strong>0<br />
(Arbeitszyklen)<br />
<strong>B1</strong>0d MTTFd (Jahre) DC<br />
Sicherheits-Positionsschalter 10.000.000 50.000.000 9.469 99 %<br />
Sicherheitsrelais XPSAK 154,5 99 %<br />
Schütze 1.000.000 1.369.863 259 0 %<br />
Der fettgedruckte rote MTTF d -Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den<br />
<strong>B1</strong>0-Daten ermittelt.<br />
Mit Hilfe der sogenannten Parts-Count-Methode, die in Anhang D der Norm beschrieben wird, kann der MTTF d -<br />
Wert für jeden Kanal ermittelt werden.<br />
SW1<br />
MTTF d = 46 a<br />
SW<br />
MTTF d = 46 a<br />
XPS<br />
MTTF d =<br />
154,5 a<br />
In diesem Beispiel ist die Berechnung für die Kanäle 1 und 2 identisch:<br />
CON1<br />
MTTF d = 5 a<br />
CON<br />
MTTF d = 5 a<br />
1 1 1 1 1<br />
= +<br />
+<br />
=<br />
MTTF 9469 Jahre 154,5 Jahre 259 Jahre 95,85 Jahre<br />
d<br />
Der MTTF d -Wert für jeden Kanal ist daher 95 Jahre; laut Tabelle 3 der Norm ist dieser Wert „hoch”.<br />
Kanal 1<br />
Kanal
Aus den Gleichungen in Anhang E der Norm können wir den DC avg der Schaltung berechnen.<br />
Der DC-Wert wird für jede Maßnahme einzeln ermittelt und nach folgender Formel errechnet:<br />
DC avg<br />
DC avg<br />
=<br />
=<br />
DCS1 MTTFd,S1 +<br />
DCS2 MTTFd,S2 + … +<br />
DCSRP MTTFd,SRP 1<br />
MTTFd,S1 +<br />
1<br />
MTTFd,S2 + … +<br />
1<br />
MTTFd,SRP 0,99<br />
9469<br />
+<br />
0,99<br />
9469<br />
+<br />
0,99<br />
154,5<br />
+<br />
0,99<br />
154,5<br />
+<br />
0<br />
295<br />
+<br />
0<br />
259<br />
1<br />
9469<br />
+<br />
1<br />
9469<br />
+<br />
1<br />
154,5<br />
+<br />
1<br />
154,5<br />
+<br />
1<br />
295<br />
+<br />
1<br />
295<br />
Dieses Ergebnis entspricht einem DC avg von niedrig.<br />
Für die Ausfälle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabeverfahren<br />
für Schaltungen ab Kategorie 2 vorgesehen. Anhand von durchgeführten Maßnahmen werden die<br />
Antworten mit vorgegebenen Punkten bewertet. Ziel ist es, von 100 möglichen Punkten mindestens 65 Punkte zu<br />
erreichen. Dann sind die Anforderungen erfüllt.<br />
Sollten die 65 Punkte nicht erreicht werden, so ist das Verfahren gescheitert und es müssen zusätzliche<br />
Maßnahmen ergriffen werden.<br />
Anhand folgender (vereinfachter) Tabelle ergeben sich für das Beispiel folgende Werte:<br />
Möglich Beispiel<br />
Physikalische Trennung zwischen Signalpfaden z.B. Trennung der<br />
Verdrahtung, Luftstrecken<br />
15 15<br />
Unterschiedliche Technologien, Gestaltung oder physikalische Prinzipien 20<br />
Schutz gegen Überspannung, Überstrom, … 15 15<br />
„Bewährte Bauteile” 5 5<br />
Ausfallanalyse, Effektanalyse 5<br />
Geschultes Personal 5 5<br />
System auf EMV-Immunität geprüft 25 25<br />
Umweltbedingungen (Temperatur, Feuchte, …) 10 10<br />
Summe 100 75<br />
= 0,624 = > 62,4 %<br />
In diesem Beispiel ergeben sich daher 75 Punkte, wodurch die Abschätzung des CCF ein positives Ergebnis bringt.<br />
Wichtig ist die Tatsache, dass pro Maßnahme nur die jeweils volle Punktezahl vergeben werden kann – oder<br />
überhaupt keine Punkte.<br />
55
56<br />
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des Systems mindestens dem erforderlichen PL (PL r )-Wert gleicht.<br />
Da wir in unserem Beispiel eine Architektur der Kategorie 3, einen hohen MTTF-Wert d und einen niedrigen durchschnittlichen<br />
Diagnose-Deckungsgrad (DC avg ) haben, kann der unten aufgeführten Grafik (Bild 5 der Norm) entnommen<br />
werden, dass PL = d und damit der erforderliche Wert von PL r = d erreicht wurde. Die Zielsetzung ist<br />
damit erfüllt.<br />
Wie beim Berechnungsbeispiel nach EN IEC 62061 müssen die Spiegelkontakte der beiden Schütze nur mit dem<br />
Rückführkreis des Sicherheitsrelais verbunden werden, damit eine Architektur der Kategorie 4 erreicht wird. Bei der<br />
Berechnung ändert sich der MTTF d -Wert des Systems nicht. Durch Verwendung des Rückführkreises wird für die<br />
Schütze ein Diagnose-Deckungsgrad von DC = 99 % festgesetzt. Es ergibt sich ein DC avg = 99 %, welches einem<br />
Wert von hoch entspricht. Der PL-Wert erhöht sich damit von d auf e. Damit liegt der erreichte PL höher als der<br />
geforderte PL r und die Zielsetzung ist damit ebenfalls erfüllt.<br />
Performance Level „EN ISO 1 84 -1”<br />
a<br />
b<br />
c<br />
d<br />
e<br />
Kat. B Kat. 1 Kat. Kat. Kat. Kat. Kat. 4<br />
DCav = DCav = DCav = DCav = DCav = DCav = DCav =<br />
0 0 niedrig mittel niedrig mittel hoch<br />
Höhe der Sicherheitskategorie EN ISO 1 84 -1<br />
MTTFd jedes einzelnen Kanals = niedrig<br />
MTTFd jedes einzelnen Kanals = mittel<br />
MTTFd jedes einzelnen Kanals = hoch<br />
SCHRITT 6: Validierung – Überprüfen Sie die Funktionalität und führen Sie gegebenenfalls Tests durch<br />
(EN ISO 13849-2).<br />
1<br />
1<br />
Sicherheits-Integritätslevel „EN IEC 6 061”
58<br />
Software-Assistent<br />
SISTEMA
Software-Assistent SISTEMA<br />
Sämtliche Berechnungen gemäß EN ISO 13849-1 können mit dem Taschenrechner oder mit Tabellenkalkulationsprogrammen<br />
durchgeführt werden. Dazu sind die Formeln der Normen entsprechend anzuwenden.<br />
Eine weitere und elegantere Möglichkeit ist der Software-Assistent SISTEMA des IFA (Institut für Arbeitsschutz<br />
der Deutschen Gesetzlichen Unfallversicherung – vormals BGIA). Dieser Assistent bietet Hilfestellung bei der<br />
Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1. Das Windows-Tool bildet die Struktur<br />
der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet<br />
Zuverlässigkeitswert einschließlich des erreichten Performance Level (PL).<br />
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden. Um mit den<br />
Bauteilwerten direkt die Berechnungen durchführen zu können, stellt <strong>Schneider</strong> <strong>Electric</strong> für diesen Assistenten<br />
eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfügung. Diese Bibliothek kann ebenfalls kostenlos<br />
aus dem Internet geladen werden. Somit müssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben<br />
werden, sondern können nach Laden der Bibliothek direkt ausgewählt werden.<br />
Alle Links zum Software-Assistenten SISTEMA und zur <strong>Schneider</strong> <strong>Electric</strong> Bauteilbibliothek finden Sie auf unserer<br />
Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen).<br />
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1<br />
SISTEMA-Bibliothek von <strong>Schneider</strong> <strong>Electric</strong> mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten<br />
5
60<br />
Zertifizierte<br />
Sicherheitslösungen
Zertifizierte Sicherheitslösungen<br />
Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstützung<br />
unserer „Sicherheitslösungen“<br />
<strong>Schneider</strong> <strong>Electric</strong> ermöglicht es Ihnen, durch die Verwendung unserer zertifizierten Sicherheitslösungen, Ihre<br />
Maschine an die neuen Sicherheitsnormen anzupassen:<br />
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenarbeitenden<br />
Produkten zum Erreichen einer Sicherheitsfunktion, welche ein bewährtes Prinzipschema umfasst und<br />
die entsprechende Berechnung des Sicherheitsniveaus. Dies führt zu Einsparungen von Zeit und Kosten für die<br />
Ausstellung eines Maschinenzertifikats gemäß der neuen Europäische Maschinenrichtlinie, indem es als ergänzende<br />
Dokumentation beigefügt wird.<br />
Es besteht aus:<br />
- einem Lösungsvorschlag, welcher das Sicherheitsniveau (Performance Level – PL) und das Niveau der<br />
funktionalen Sicherheit (Safety Integrity Level – SIL) angibt<br />
- einer Materialliste und der Systembeschreibung<br />
- einem Berechnungsbeispiel des PL und SIL für die Sicherheitsfunktion<br />
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes<br />
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungs-<br />
stelle.<br />
Ein menügesteuerter Assistent führt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis<br />
einfacher Fragen zu einer passenden Auswahl an möglichen Sicherheitslösungen. Diese werden Ihnen kurz<br />
vorgestellt. Darüber hinaus können Sie das entsprechende Dokument für jedes Beispiel als PDF erhalten.<br />
Bei der Berechnung der Zuverlässigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausgegangen.<br />
Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen, dann müssen die Berechnungen<br />
neu durchgeführt werden, da das vorgegebene Ergebnis nicht verwendbar ist. Um Ihnen die Berechnungen so<br />
einfach wie möglich zu gestalten, sind alle Beispiele für den Software-Assistenten SISTEMA als Projekt verfügbar.<br />
Laden Sie die <strong>Schneider</strong> <strong>Electric</strong>-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel<br />
Informationsquellen), modifizieren Sie die Betriebsbedingungen für Ihr anzuwendendes Beispiel, und der Software-<br />
Assistent SISTEMA führt eine Neuberechnung durch.<br />
Die Dokumentation ist für den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden.<br />
Bei Übersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen.<br />
Assistent zur Auswahl der passenden Sicherheitslösung<br />
61
6<br />
Zertifizierte Sicherheitslösungen von <strong>Schneider</strong> <strong>Electric</strong>:<br />
Sichere Anlaufsperre (PL c, SIL 1) Lichtvorhang (PL c, SIL 1)<br />
Stopp-Kategorie 0 (PL d, SIL 2) Stopp-Kategorie 1 - Frequenzumrichter (PL d, SIL 2)<br />
Stopp-Kategorie 1- Servoregler (PL e, SIL 3)<br />
Sicherheits-Schaltmatten (PL d, SIL 2)
Codierte Magnet-Sicherheitsschalter (PL e, SIL 3) Stillstandserkennung (PL e, SIL 3)<br />
Multifunktional (PL e, SIL 3) AS-Interface (PL e, SIL 3)<br />
Zertifizierte Sicherheitslösungen als Projekte in SISTEMA<br />
Geprüfte<br />
Sicherheit<br />
Sicherheitslösungen zum<br />
Erreichen des geforderten<br />
Sicherheitslevels<br />
6
64<br />
Service und<br />
Schulungen
Service Sicherheitstechnik<br />
Profitieren Sie von unserem Serviceangebot<br />
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine: Sicherheit.<br />
In den jeweiligen Phasen, wie Planung, Konstruktion, Transport, Betriebsphase oder Demontage, werden unterschiedliche<br />
Anforderungen an die Sicherheit gestellt. Diese Anforderungen müssen erkannt und entsprechend<br />
berücksichtigt werden.<br />
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjährigen Erfahrungen unserer<br />
Mitarbeiter und können sicher sein, dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht.<br />
Unser Angebot umfasst:<br />
- Risikoanalysen und Risikobewertungen<br />
- Engineering (Unterstützung bei Planung, Konstruktion, Software und Hardware)<br />
- Regelmäßige Prüfungen (ggf. Serviceverträge)<br />
- Pressenabnahmen gemäß BetrSichV §10 und BGR500 Teil 2.3<br />
- Reparaturen und Wartungen von Pressensteuerungen<br />
- Pressenmodernisierungen<br />
- Nachlaufwegmessungen<br />
- Reparatur und Wartung von sicherheitsrelevanten Steuerungen<br />
Ihre Vorteile durch unsere Serviceleistungen:<br />
- Einhaltung des aktuellen Standes der Normen und Richtlinien<br />
- Entlastung Ihrer Mitarbeiter<br />
- Schnelle Abwicklung vor Ort<br />
- Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spätere und damit meist<br />
kostenintensive Nachbesserungen<br />
- Bei Durchführung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des<br />
e-Kennzeichens.<br />
- Sie können sicher sein, dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht.<br />
Alle Dokumentationen und Schritte, die wir durchführen, werden Ihnen erläutert. Bei einer aktiven Begleitung<br />
unserer Arbeit versetzen wir Sie in die Lage, z. B. weitere Risikobewertungen zukünftig auch selbständig<br />
durchzuführen.<br />
Gerne stellen wir Ihnen unser Angebot ausführlich dar – bitte setzen Sie sich dazu mit uns in Verbindung.<br />
Schulungen zur Sicherheitstechnik<br />
Unser Wissen für Ihren Erfolg<br />
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element für die Konstruktion und das Betreiben von<br />
Maschinen.<br />
Daher ist es unerlässlich, die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten.<br />
Mit dem Schulungsangebot von <strong>Schneider</strong> <strong>Electric</strong> werden Ihnen die Themen rund um die Sicherheitstechnik<br />
durch Mitarbeiter mit langjährigen Erfahrungen praxisorientierten vermittelt. Damit erfolgt neben der Vermittlung der<br />
theoretischen Kenntnissen direkt ein Brückenschlag zur angewandten Praxis.<br />
Neben dem bestehenden Schulungsangebot zu den veröffentlichten festen Terminen bieten wir für geschlossene<br />
Benutzergruppen auch die Möglichkeit von individuellen Veranstaltungen zu definierten Themen.<br />
Haben Sie Interesse? Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an.<br />
65
66<br />
Informations-<br />
quellen
Richtlinien und Normen<br />
Europäische Maschinenrichtlinie 2006/42/EG<br />
EN ISO 12100-1 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 1: Grundsätzliche<br />
Terminologie, Methodologie<br />
EN ISO 12100-2 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 2: Technische<br />
Leitsätze<br />
EN ISO 14121-1 Sicherheit von Maschinen – Risikobeurteilung - Teil 1: Leitsätze<br />
PD 5304: 2005 Leitfaden zum sicheren Umgang mit Maschinen<br />
EN 60204 Sicherheit von Maschinen. Elektrische Ausrüstung von Maschinen. Allgemeine Anforderungen<br />
EN 13850 Sicherheit von Maschinen. Not-Halt. Gestaltungsleitsätze<br />
EN IEC 62061 Sicherheit von Maschinen, Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer<br />
und programmierbarer elektronischer Steuerungssysteme<br />
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer<br />
Systeme<br />
EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen –<br />
Teil 1: Allgemeine Gestaltungsleitsätze<br />
<strong>Schneider</strong> <strong>Electric</strong>-Unterlagen<br />
<strong>Schneider</strong> <strong>Electric</strong> Katalog „Preventa Sicherheitslösungen”,<br />
Best.-Nr.: ZXKSI<br />
<strong>Schneider</strong> <strong>Electric</strong>-Homepage<br />
www.oem.schneider-electric.com<br />
Deutschland: www.schneider-electric.de<br />
Österreich: www.schneider-electric.at<br />
Schweiz: www.schneider-electric.ch<br />
Informationen zur Maschinensicherheit<br />
Nationale Internetseite aufrufen<br />
- Ihr Business<br />
- Maschinenhersteller (OEMs)<br />
- Maschinensicherheit<br />
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA, die Bauteilbibliothek und die zertifizierten<br />
Sicherheitslösungen<br />
Schulungsangebot <strong>Schneider</strong> <strong>Electric</strong><br />
Nationale Internetseite aufrufen<br />
- Produkte und Service<br />
- Training<br />
6
68<br />
Anhänge –<br />
Architekturen
Anhang 1<br />
Architekturen der EN IEC 6 061<br />
Architektur A: Nullfehlertoleranz, ohne Diagnosefunktion<br />
Wobei: l De die Rate der gefahrbringenden Ausfälle eines Elementes ist<br />
l DSSA = l DE1 + ... + l Den<br />
PFH DSSA = l DSSA • 1h<br />
Architektur A<br />
Teilsystemelement 1<br />
l De1<br />
Teilsystemelement 1<br />
l Den<br />
Architektur B: Einfehlertoleranz, ohne Diagnosefunktion<br />
Wobei: T 1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist<br />
(Erhältlich entweder vom Anbieter oder durch Berechnung mit der Formel für<br />
elektromechanische Produkte: T 1 = B 10 /C)<br />
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache<br />
(b kann aus der Tabelle F.1 der EN IEC 62061 ermittelt werden)<br />
l DSSB = (1 - b) 2 • l De1 • l De2 • T 1 + b • (l De1 + l De2 )/2<br />
PFH DSSB = l DSSB • 1h<br />
Architektur B<br />
Teilsystemelement 1<br />
l De1<br />
Teilsystemelement 2<br />
l De2<br />
Logische Darstellung des Teilsystems<br />
Ausfälle infolge gemeinsamer<br />
Ursache<br />
Logische Darstellung des Teilsystems<br />
6
0<br />
Architektur C: Nullfehlertoleranz, mit Diagnosefunktion<br />
Wobei: DC ist der Diagnose-Deckungsgrad = S l DD /l D<br />
l DD die Rate der erkannten gefahrbringenden Ausfälle ist und l D die Rate der gesamten<br />
gefahrbringenden Ausfälle.<br />
Der Diagnose-Deckungsgrad (DC) hängt von der Wirksamkeit der im Teilsystem verwendeten<br />
Diagnosefunktion ab.<br />
l DSSC = l De1 • (1 - DC 1 ) + ... + l Den • (1 - DC n )<br />
PFH DSSC = l DSSC • 1h<br />
Architektur C<br />
Teilsystemelement 1<br />
l De1<br />
Diagnosefunktion(en)<br />
Diagnosefunktion(en)<br />
Teilsystemelement n<br />
l Den<br />
Logische Darstellung des Teilsystems<br />
Architektur D: Einfehlertoleranz, mit Diagnosefunktion<br />
Wobei: T 1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist.<br />
T 2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den<br />
Anforderungen der Sicherheitsfunktion sein).<br />
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache.<br />
(Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden.)<br />
DC ist der Diagnose-Deckungsgrad = S l DD /l D<br />
(l DD ist die Rate der erkannten gefahrbringenden Ausfälle und l D die Rate der gesamten<br />
gefahrbringenden Ausfälle.)<br />
Architektur D<br />
Teilsystemelement 1<br />
l De1<br />
Teilsystemelement 2<br />
l De2<br />
Ausfälle infolge gemeinsamer<br />
Ursache<br />
Logische Darstellung des Teilsystems
Architektur D: Einfehlertoleranz, mit Diagnosefunktion<br />
Bei Teilsystemelementen mit unterschiedlicher Gestaltung<br />
l De1 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1; DC 1 = Diagnose-Deckungsgrad des<br />
Teilsystemelements 1<br />
l De2 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 2; DC 2 = Diagnose-Deckungsgrad des<br />
Teilsystemelements 2<br />
l DSSD = (1-b) 2 {[l De1 • l De2 (DC 1 + DC 2 )]•T 2 /2 + [l De1 • l De2 •(2-DC 1 -DC 2 )]•T 1 /2}+b• (l De1 + l De2 )/2<br />
PFH DSSD = l DSSD • 1h<br />
Bei Teilsystemelementen mit gleicher Gestaltung<br />
l De = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1 oder 2; DC = Diagnose-Deckungsgrad des<br />
Teilsystemelements 1 oder 2<br />
l = (1-b) DSSD 2 2 2 {[l • 2 • DC] T /2 + [l • (1-DC)] • T1 } + b • l De<br />
2 De<br />
De<br />
PFH DSSD = l DSSD • 1h<br />
Anhang<br />
Kategorien der EN ISO 1 84 -1<br />
Kategorie Beschreibung Beispiel<br />
Kategorie<br />
B<br />
Kategorie<br />
1<br />
Kategorie<br />
Kategorie<br />
Kategorie<br />
4<br />
Das Auftreten eines Fehlers kann zum Verlust der<br />
Sicherheitsfunktion führen<br />
Das Auftreten eines Fehlers kann zum Verlust der<br />
Sicherheitsfunktion führen, aber der MTTF d jedes<br />
Kanals der Kategorie 1 ist höher als in Kategorie B. Die<br />
Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist<br />
somit geringer.<br />
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust<br />
der Sicherheitsfunktion zwischen den Prüfabständen führen;<br />
der Verlust der Sicherheitsfunktion wird durch die Prüfung<br />
erkannt.<br />
Sicherheitsbezogene Teile von Steuerungssystemen<br />
der Kategorie 3 müssen so gestaltet sein, dass ein<br />
einzelner Fehler in einem dieser Teile nicht zum Verlust der<br />
Sicherheitsfunktion führt. Wenn in angemessener Weise<br />
durchführbar, soll der einzelne Fehler bei oder vor der<br />
nächsten Anforderung an die Sicherheitsfunktion erkannt<br />
werden.<br />
Sicherheitsbezogene Teile von Steuerungssystemen<br />
der Kategorie 4 müssen so gestaltet sein, dass ein<br />
einzelner Fehler in einem dieser Teile nicht zum Verlust der<br />
Sicherheitsfunktion führt und der einzelne Fehler bei oder<br />
vor der nächsten Anforderung an die Sicherheitsfunktion<br />
erkannt wird, d.h. sofort, beim Einschalten, am Ende<br />
eines Arbeitszykluses. Ist dies nicht möglich, darf eine<br />
Anhäufung von unerkannten Fehlern nicht zum Verlust der<br />
Sicherheitsfunktion führen.<br />
im Eingang Logik<br />
im Eingang Logik<br />
im Eingang Logik<br />
Prüfeinrichtung<br />
im Eingang 1 Logik 1<br />
Kreuzweise Überwachung<br />
Eingang 2<br />
im Logik 2<br />
m<br />
im Eingang 1 Logik 1<br />
Kreuzweise Überwachung<br />
Eingang 2<br />
im Logik 2<br />
m<br />
i m<br />
i m<br />
i m<br />
i m<br />
m<br />
i m<br />
i m<br />
m<br />
i m<br />
i m<br />
Ausgang<br />
Ausgang<br />
Ausgang<br />
Test<br />
Ausgang<br />
Ausgang 1<br />
Ausgang 2<br />
Ausgang 1<br />
Ausgang 2<br />
1
<strong>Schneider</strong> <strong>Electric</strong><br />
GmbH<br />
Gothaer Straße 29<br />
D-40880 Ratingen<br />
Tel.: +49 (0) 180 5 75 35 75*<br />
Fax: +49 (0) 180 5 75 45 75*<br />
www.schneider-electric.de<br />
* 0,14 €/Min. aus dem Festnetz,<br />
Mobilfunk max. 0,42€.<br />
<strong>Schneider</strong> <strong>Electric</strong><br />
Austria Ges.m.b.H.<br />
Biróstraße 11<br />
A-1239 Wien<br />
Tel.: (43) 1 610 54 - 0<br />
Fax: (43) 1 610 54 - 54<br />
www.schneider-electric.at<br />
<strong>Schneider</strong> <strong>Electric</strong><br />
(Schweiz) AG<br />
E-Mail-Adressen:<br />
<strong>Schneider</strong> <strong>Electric</strong> Deutschland: de-schneider-service@de.schneider-electric.com<br />
<strong>Schneider</strong> <strong>Electric</strong> Österreich: office@at.schneider-electric.com<br />
<strong>Schneider</strong> <strong>Electric</strong> Schweiz: info@ch.schneider-electric.com<br />
Handbuch Sicherheitstechnik ZXHBSI02, September 2010<br />
Schermenwaldstrasse 11<br />
CH-3063 Ittigen<br />
Tel.: (41) 31 917 33 33<br />
Fax: (41) 31 917 33 66<br />
www.schneider-electric.ch<br />
Sämtliche Angaben in diesem Handbuch zu unseren Produkten,<br />
Normen und Richtlinien dienen lediglich der Produktbeschreibung<br />
und sind rechtlich unverbindlich. Druckfehler, Irrtümer und<br />
Änderungen, bei dem Produktfortschritt dienenden Änderungen<br />
auch ohne vorherige Ankündigung, bleiben vorbehalten.<br />
Soweit Angaben dieses Handbuchs ausdrücklicher Bestandteil<br />
eines mit der <strong>Schneider</strong> <strong>Electric</strong> abgeschlossenen Vertrags werden,<br />
dienen die vertraglich in Bezug genommenen Angaben<br />
dieses Handbuchs ausschließlich der Festlegung der vereinbarten<br />
Beschaffenheit des Vertragsgegenstands im Sinne des<br />
§ 434 BGB und begründen keine darüber hinausgehende Beschaffenheitsgarantie<br />
im Sinne der gesetzlichen Bestimmungen.<br />
© Alle Rechte bleiben vorbehalten. Layout, Ausstattung, Logos,<br />
Texte, Graphiken und Bilder dieses Handbuchs sind urheberrechtlich<br />
geschützt.<br />
Die Allgemeinen Geschäfts- und Lieferbedingungen finden Sie<br />
auf der Homepage des jeweiligen Landes.<br />
09-10<br />
ZXHBSI02, 09-10. NUR PDF © 2010 <strong>Schneider</strong> <strong>Electric</strong> GmbH. All rights reserved.