A B1 B2 C - Schneider Electric

Sicherheit von
Maschinen

Inhalt
Vorbemerkung ...................................................4
Warum Sicherheit? ...........................................6
Rechtsstrukturen ............................................10
Risikobeurteilung ............................................ 16
Sichere Gestaltung und technische
Schutzmaßnahmen ........................................
Funktionale Sicherheit .................................. 0
Normen zum Steuerungssystem –
Berechnungsbeispiele ................................. 8
Software-Assistent SISTEMA ..................... 58
Zertifizierte Sicherheitslösungen ............. 60
Service und Schulungen .............................. 64
Informationsquellen ..................................... 66
Anhänge – Architekturen ............................. 68

4
Vorbemerkung

Die Gesetzgebung zur Maschinensicherheit ist
ein komplexes Thema. Zum besseren Verständnis
werden Vereinfachungen vorgenommen, welche die
Anforderungen nicht im gesamten Umfang darstellen.
Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern,
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt
keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen.
5

6
Warum Sicherheit?

Abgesehen von der moralischen Verpflichtung, Personen
vor Verletzungen zu schützen, schreiben Gesetze vor,
dass Maschinen sicher sein müssen. Darüber hinaus gibt
es triftige wirtschaftliche Gründe, Unfälle zu vermeiden.
Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der
Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb,
Wartung und ggf. Entsorgung.
Gestaltung/Bau Installation Anpassung/Betrieb Wartung
Neue Maschinen - die Maschinenrichtlinie
Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für
Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren.
Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft.
Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland
im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt
282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder,
die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die
Schweiz im STEG).
Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in
Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz
über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt.
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass
die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die
technischen Unterlagen bereitgestellt werden können, die e-Kennzeichnung angebracht ist und
eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den
Markt gebracht wird.

8
Bestehende Maschinen – die Arbeitsmittelbenutzungsrichtlinie
Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG
folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht
werden, die der betreffenden Norm entsprechen.
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung
und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen.
Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und
gewartet werden.
Unfallkosten
Einige Kosten sind offensichtlich, wie z.B. das Krankengeld für verletzte Angestellte. Jedoch
entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety
Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine,
der zu Kosten in Höhe von ca. 51.300 € (HSE INDG355) führte. Hierbei sind einige weniger
offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar
auf den doppelten Betrag. Ein von Schneider Electric Ltd analysierter Unfall, eine reversible
Kopfverletzung, kostete den Arbeitgeber ca. 102.600 €. Von diesem Betrag wurden nur
ca. 42.200 € von der Versicherung übernommen. Die indirekten Kosten können erhöhte
Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des
öffentlichen Rufs umfassen.
Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.B.
die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen
dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen
von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu
Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können.
Die Richtlinien
gelten für alle
Angestellten,
Selbstständigen und
weiteren Personen,
die Kontrolle über
die Bereitstellung
von Arbeitsmitteln
haben.

10
Rechtsstrukturen

EU-Richtlinie:
Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien)
Norm:
Eine „Norm“ ist eine technische Spezifikation, die von einem anerkannten Normungsgremium
für die wiederholte oder ständige Anwendung zugelassen wurde und dessen
Einhaltung nicht zwingend erforderlich ist.
Harmonisierte Norm:
Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten
veröffentlicht wurde.
Konformitätsvermutung:
Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der
Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder
mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt
mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste
dieser Normen finden Sie unter http://www.newapproach.org/Directives/DirectiveList.asp
Natürlich ist auch
die Einhaltung
aller anderen
Gesundheits- und
Sicherheitsanforderungen
notwendig.
Dies gilt ebenfalls
für Produkte, für
die aufgrund der
Anwendung einer
bestimmten Norm
eine Konformitätsvermutungausgestellt
wurde.
11

1
A-, B- und C-Normen:
Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt:
Typ A-Normen
A B1 B2 C
(Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine
Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können;
Typ B-Normen
(Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von
Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene
Maschinen verwendet werden können:
- Typ B1-Normen für bestimmte Sicherheitsaspekte (z.B. Sicherheitsabstände,
Oberflächentemperatur, Lärm);
- Typ B2-Normen für Schutzeinrichtungen (z.B. Zweihandsteuerungen,
Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen);
Typ C-Normen
(Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine
bestimmte Maschine oder eine Gruppe von Maschinen.

Weicht eine Typ C-Norm von einer oder mehreren
Bestimmungen für eine Typ A- oder Typ B-Norm ab,
hat die Typ C-Norm Priorität.
Einige Beispiele dieser Art von Normen:
EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsätze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze
EN ISO 13850 B Not-Halt - Gestaltungsleitsätze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer
und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen
- Teil 1 Allgemeine Gestaltungsleitsätze
EN 349 B Mindestabstände, um das Quetschen von Körperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen
von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen
- Teil 1: Allgemeine Anforderungen
EN 999/ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsgeschwindigkeiten
von Körperteilen
EN 1088/ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen
- Leitsätze für Gestaltung und Auswahl
EN 61496-1 B Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anforderungen
und Prüfungen
EN 60947-5-5 B Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und
Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung
und Prüfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden
und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicherheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen
zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen
an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und
Depalettierer
EN 619 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an
mechanische Fördereinrichtungen für Stückgut
EN 620 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für
ortsfeste Gurtförderer für Schüttgut
Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009.
1

14
Herstellerverantwortung
Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen,
müssen den Anforderungen der Maschinenrichtlinie entsprechen.
Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als
obligatorisch festgelegt.
Bitte beachten Sie, dass „in Verkehr bringen” auch bedeutet, dass eine Organisation sich
selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut,
oder Maschinen in den europäischen Wirtschaftsraum importiert.
Betreiberverantwortung
Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem
e-Kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie
verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden.
Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb
genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch
den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die
Anwendung geeignet sein.
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden,
selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von
der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine
Konformitätserklärung und eine e-Kennzeichnung ausgestellt werden müssen.

16
Risikobeurteilung

Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen
die möglichen Risiken betrachtet werden, die durch die Verwendung
entstehen können. Risikobeurteilung und Risikominderung für
Maschinen werden in EN ISO 141 1-1 beschrieben.
Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als „der richtige Weg” zum Durchführen
einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt,
jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein
Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung
eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So
kann z.B. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich
Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können
hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten.
1

18
Bestimmen der Maschinengrenzen
Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine
Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und
welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vorhersehbaren
Fehlgebrauch einer Maschine, wie z.B. durch eine nicht spezifikationskonforme Verwendung.
Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung?
Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt?
Identifizieren der Gefährdungen
Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie
die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werkzeug
schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden
Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emission
von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbrennungen
durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten.
In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebensdauer
der Maschine einschließlich Bau, Installation und Entsorgung entstehen können.
Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht
um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1.
Wer könnte durch die identifizierten Gefährdungen verletzt
werden und wann?
Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlgebrauch
mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem
Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht
nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen.
Durchschlagen, Einstich,
Scheren, Abschneiden
Erfassen, Aufwickeln,
Einziehen, Fangen
Elektrischer Schlag Kontakt mit gefährlichen
Substanzen
Stoß Quetschen
Verbrennungen
Hier werden Beispiele
typischer Gefährdungen
gezeigt,
jedoch handelt es
sich dabei nicht um
eine vollständige
Liste. Eine detailliertere
Auflistung
finden Sie in EN ISO
141 1-1.

Priorisieren der Risiken nach ihrer Schwere
EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch
Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen,
vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein.
Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicherweise
zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz
wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konsequenzen
sollten berücksichtigt werden, nicht nur der schlimmste Fall.
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschiedenen
Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen
Risikos gibt. Für eine Maschine gibt es keine allgemeine „Risikoeinstufung” oder „Risikokategorie”
– jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur
geschätzt werden kann – Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch
nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung.
Mit der möglichen
Gefährdung
verbundenes
Risiko
Schwere
des
möglichen
Schadens
Wahrschein-
lichkeit
des
Auftretens
Häufigkeit und Dauer der
Gefährdungsexposition
Möglichkeit zur Vermeidung
oder Begrenzung
der Wahrscheinlichkeit
eines Ereignisses, durch
das ein Schadens entsteht
1

0
Risikominderung
Risikominderung ist Bestandteil der EN ISO 12100-2.
Die Definition der Risikominderung ist das Beseitigen von Risiken: „das Ziel der getroffenen Maßnahmen muss die
Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich
Transport, Aufbau, Abbau, Demontage und Entsorgung.”
Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im
wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie „angemessen” verwendet,
um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht
möglich ist.
Der Prozess der Risikobeurteilung erfolgt schrittweise – Zunächst müssen Risiken identifiziert, priorisiert und
mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern
(zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess
wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine
neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen
Schutzmaßnahmen.
Risikobeurteilung
Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele
zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer
Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur
Risikoeinschätzung und -bewertung beschrieben.
In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und
Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der
Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten
Risiken beurteilen zu können.
Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren
Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu
erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben.

Start
Festlegung der
Grenzen der Maschine
Identifizierung der
Gefährdungen
Risikoeinschätzung
Risikobewertung
Nein
Ist die
Maschine
sicher?
Risikominderung
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Ja
Risikoanalyse
Ende
Risikobeurteilung
1

Sichere Gestaltung
und technische
Schutzmaßnahmen

Maßnahmen zur inhärent sicheren Gestaltung
(gemäß EN ISO 1 100- , Kapitel 4)
Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus
der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Automatisierung
einiger Aufgaben, wie z.B. dem Beladen einer Maschine, möglich. Kann eine
Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reinigungszwecken
kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln
ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige
Möglichkeit, ein Risiko auf null zu reduzieren.
Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass
sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit
Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die
Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und
Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden werden,
dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann
vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwindigkeit
und Druck kann das Verletzungsrisiko reduziert werden.
Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen
Quelle: BS PD 5304
Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch
die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität
vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum
Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm.
Normen und Gesetz-
gebung geben eine
eindeutige Hierarchie
für die Schutzmaßnahmen
an. Gefährdungsvermeidung
oder größtmögliche
Risikominderung
durch inhärent
sichere Gestaltungsmaßnahmen
haben
höchste Priorität.

4
Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen
(laut EN ISO 1 100- , Kapitel 5)
Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt.
Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung
zur Vermeidung von unerwartetem Anlauf, usw.
Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen
kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen,
unbedenklich sind.
Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen,
oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein.
Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen
dienen:
Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der
Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen,
Anpassen usw. verwendet.
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des getrennten
Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung
oder durch Rotation des Scharniers um 5°– normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer
Nachlaufzeit)

Lichtvorhänge zum Erkennen von Personen, die sich der
Gefahrenzone nähern:
mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm
Auflösung)
Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpacken,
Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum
Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen.
Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des
Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier
Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung
verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der
Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Maschine
erleichtert.
Sicherheitsmatten zum Erkennen von Personen,
die sich der Gefahrenzone nähern, sich dort aufhalten oder in die
Gefahrenzone eintreten.
Sicherheitsmatten werden üblicherweise vor oder um potenziell
gefährliche Maschinen oder Roboter verwendet. Sie bieten dem
Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen.
Sie dienen hauptsächlich zum Schutz des Personals und ergänzen
Sicherheitsprodukte, wie z.B. Lichtvorhänge. Sie bieten einen
freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen
Personen, die auf die Matten treten und bewirken das Stoppen
der gefahrbringenden Bewegung.
5

6
Sicherheitsschalter mit funktionsüberwachter und
elektromagnetischer Zuhaltung
während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Maschinen
eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen
der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrbringenden
Bewegung ermöglicht werden soll. Sie werden häufig entweder mit
Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder
mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet,
damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist.
Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Versagen
oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutzmaßnahmen
sollten die Produktionsaufgaben nicht unnötigerweise behindern.
Hierzu zählen die folgenden Schritte:
- Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu
entfernen oder einzustellen;
- Verwendung von codierten Geräten oder Systemen, z.B. mechanisch, elektrisch,
magnetisch oder optisch;
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum
Verriegelungsgerät bei geöffneter Schutzeinrichtung;
- Fester Stand, um den einwandfreien Betrieb zu gewährleisten
Zweihand-Steuerpulte und Fußschalter
werden verwendet um sicherzustellen, dass sich das Bedienpersonal
bei gefahrbringenden Bewegungen nicht im
Gefahrenbereich aufhält (z.B. Abwärtshub bei Pressen)
Sie dienen hauptsächlich zum Schutz des Bedienpersonals.
Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche
Maßnahmen, wie z.B. durch das Anbringen von Lichtvorhängen,
realisiert werden.
Zustimmschalter ermöglichen den Zugang
unter speziellen Bedingung, die ein geringeres
Risiko darstellen
zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.B. Tippbetrieb),
mit zentraler Position und 2 Stellungen für die Aus-
Funktion (mit und ohne Zwangstrennung). Somit ist sichergestellt,
dass beim Loslassen oder Verkrampfen der Hand eine sichere
Abschaltung erfolgt.

Überwachung der Sicherheitssignale – Steuerungssysteme
Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder
Sicherheits-SPS (insgesamt bezeichnet als „Sicherheitslogiksystem”) überwacht, und dienen zum Ansteuern (und
manchmal Überwachen) von Ausgabegeräten, wie z.B. Schützen.
Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.B. Anzahl der zu verarbeitenden Sicherheits-
eingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch
Dezentralisation mit Hilfe eines Feldbusses wie z.B. der AS-Interface „Safety at Work” oder SafeEthernet.
Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.B. bei
großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer
Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der
Normen in Bezug auf elektrische Steuerungssysteme geführt.
Sicherheitsrelais Sicherheitscontroller Kompakte
Sicherheitssteuerung
Modulare
Sicherheitssteuerung
Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinenrichtlinie
stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass
„Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen
vermieden wird”. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Verwendung
eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel,
die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO
13849-1 und EN IEC 62061.

8
Ergänzende Schutzmaßnahmen – Not-Halt
Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie
nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominderung
angesehen. Sie werden stattdessen als „ergänzende Schutzmaßnahmen” bezeichnet.
Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig
und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden.
EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen:
- Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Antriebselement
(ungesteuertes Stillsetzen);
- Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum
Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezufuhr
zu unterbrechen;
- Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum
Antriebselement.
Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet.
Not-Halt-Geräte müssen bei Maschinen „direkt wirken”. Das bedeutet, dass durch ihre Gestaltung
sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normaler-
weise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder
das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames
Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte
Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt
öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen.
Restrisiken
Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaßnahmen
reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden,
um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel
angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes
Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederholungen
der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken
bestehen.
Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entsprechen,
ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden
kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Gestalter
Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanweisung,
usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleidung
und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch
nicht so effektiv wie Gestaltungsmaßnahmen.

0
Funktionale
Sicherheit

Funktionale Sicherheit
Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktionalen
Sicherheit herausgegeben unter:
http://www.iec.ch/zone/fsafety/
In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen.
Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2.
Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht.
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten „Kategorien“ zum Verhalten im Fehlerfall,
die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als ‘Sicherheitskategorien’ beschrieben wurden.
Eine Erinnerung an die Leitsätze der EN 54-1
Anwendern der EN 954-1 wird der alte „Risikograph” bekannt sein, der von vielen verwendet wurde, um die
sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu
gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit
der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis
schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie
für jedes sicherheitsbezogene Teil zu ermitteln.
S1
S2
F1
F2
P1
P2
P1
P2
Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem*
(SRECS) abhängt, umso fehlerresistenter muss es sein (z.B. gegen Kurzschlüsse, verschweißen von Kontakten
usw.).
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert:
- Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers
führen.
- Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlich-
keit ist geringer als in Kategorie B.
- Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der
Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen)
KM1
KM1
B 1 2 3 4
KM1
*Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als:
- Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1
- Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1

- Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.B.
durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch
einer Ansammlung von Fehlern auftreten.
1 2
KM2
KM1
KM1
KM2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht,
selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sichergestellt
und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge
1
KM2
2
KM1 KM2
KM1
KM1
KM2

Funktionale Sicherheit ist „Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die
von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme anderer
Technologien und externer Einrichtungen zur Risikominderung abhängt”. Beachten Sie, dass es sich nur um
ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente
oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der
Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und
IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter.
* EUC steht für Equipment Under Control (Betriebseinrichtung)
**Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch.
Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen
müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren
Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigentlich
die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die
Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 „besser” sei als Kategorie 2 usw. Normen
zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die
zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen
Komponenten zu verlassen.

4
Welche Normen werden für die Sicherheitsfunktion angewendet?
Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar
noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden.
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1
als PL (Performance Level) angegeben.
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, betrachtet.
Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten
Komponenten berücksichtigt werden.
EN IEC 6 061
Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforderungen
(Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue
Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der
eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist.
Ein häufig verwendetes Beispiel ist „Maschine anhalten, wenn die Schutzeinrichtung offen ist”. Der Fall muss jedoch
genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel
durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit
Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewegungen
abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie
wird das Öffnen der Schutzeinrichtung erkannt?
In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler
berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermeidung
dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die
meisten Fehler systematisch und entstehen durch falsche Spezifikation.
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestaltungsmaßnahmen
führen; z.B. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung
von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausreichende
Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein.
Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion
ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben?
In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines
gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die
Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und
steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt:
3 >10-8 bis 10-7 bis 10-6 bis

EN ISO 1 84 -1
In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTF d), Diagnose-
Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a, b, c, d, e) verwendet.
Eine vereinfachte Methode zur Einschätzung des PL-Wertes liefert Tabelle 7 der Norm. Die Kategorien sind
vergleichbar mit den Kategorien in EN 954-1. Sie werden in Anhang 2 erklärt.
Kategorie B 1 2 2 3 3 4
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
MTTF d jedes einzelnen Kanals
Niedrig
Mittel
Hoch
a
Nicht
abgedeckt
a b b c
Nicht
abgedeckt
b
Nicht
abgedeckt
b c c d
Nicht
abgedeckt
Nicht
abgedeckt
c c d d d e
Tabelle 2: Vereinfachtes Verfahren zum Ermitteln des PL-Wertes, der durch das verwendete SRP/CS erreicht wird
Performance Level „EN ISO 1 84 -1”
Aus der oberen Tabelle ist ersichtlich, dass nur eine Architektur der Kategorie 4 zum Erreichen des höchsten PL-
Wertes e führen kann. Geringere PL-Werte lassen sich jedoch in Abhängigkeit von MTTF d und DC der verwendeten
Komponenten erzielen.
a
b
c
d
e
Kat. B Kat. 1 Kat. Kat. Kat. Kat. Kat. 4
DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg =
0 0 niedrig mittel niedrig mittel hoch
Höhe der Sicherheitskategorie EN ISO 1 84 -1
MTTFd jedes einzelnen Kanals = niedrig
MTTFd jedes einzelnen Kanals = mittel
MTTFd jedes einzelnen Kanals = hoch
1
1
Sicherheits-Integritätslevel „EN IEC 6 061”
5

6
Index MTTFd Spanne
Niedrig >3 Jahre bis 10 Jahre bis 30 Jahre bis

Vereinfachte Tabelle:
Nr. Anforderung (gegen Fehler gemeinsamer
Ursache CCF)
Punkte
1 Trennung (zwischen den einzelnen Stromkreisen) 15
2 Diversität (in Technologie, Design, Prinzip) 20
3 Entwurf / Applikation / Erfahrung 20
4 Beurteilung / Analyse 5
5 Kompetenz / Ausbildung 5
6 Umwelteinflüsse (Prüfungen, Produktnormen) 35
Welche Norm soll angewendet werden?
Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor, kann der Entwickler
frei entscheiden, ob er EN IEC 62061, EN ISO 13849-1 oder sogar eine andere Norm
anwendet.
EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen, durch die eine
Konformitätsvermutung zur Erfüllung der wesentlichen Anforderungen der Maschinenrichtlinie
erreicht wird, sofern sie angewendet werden. Jedoch muss beachtet werden, dass
die ausgewählte Norm im Ganzen verwendet werden muss. In einem System können nicht
Teile von beiden Normen verwendet werden.
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines gemeinsamen
Anhangs für die beiden Normen mit dem Ziel, in der Zukunft eine einzige Norm
zu entwickeln.
EN IEC 62061 ist vielleicht verständlicher in Bezug auf die Themen zur Spezifikation und
Führungsverantwortung, EN ISO 13849-1 ermöglicht jedoch einen leichteren Übergang
von EN 954-1.
Beide Normen sind für die Verwendung von elektromagnetischer und komplexer elektronischer
Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen
bestimmt. Somit decken beide Normen gemeinsam einen Großteil der Anwendung ab.
Die EN ISO 13849-1 deckt zusätzlich auch nichtelektrische Technologien, wie beispielsweise
Pneumatik oder Hydraulik ab. Dafür gibt es Einschränkungen bei sehr komplexen
Technologien, die besonders in der EN IEC 62061 behandelt werden. Über die jeweilige
Verwendbarkeit informieren beide Normen.
Zertifizierung
Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhältlich. Es sollte beachtet werden,
dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt, der von
einem System, das diese Komponente in einer speziellen Konfiguration verwendet, erreicht
werden kann. Es kann nicht garantiert werden, dass das Gesamtsystem einen speziellen
SIL- oder PL-Wert aufweist.

8
Normen zum
Steuerungssystem –
Berechnungs-
beispiele

Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der
beste Weg, um die Anwendung von EN IEC 6
zu verdeutlichen.
061 und EN ISO 1 84 -1
Für beide Normen verwenden wir ein Beispiel, bei dem das Öffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine führen muss, da es sonst zu Verletzungen wie z.B. einem gebrochenen Arm oder
abgetrennten Finger kommen kann.

40
Berechnungsbeispiel nach Norm EN IEC 6 061
Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer,
elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene, elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung
der gesamten Sicherheit von Maschinen. Sie verwenden immer häufiger komplexe elektronische Technologien.
Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508.
Die Norm stellt Regeln auf für die Integration von Teilsystemen gemäß EN ISO 13849-1. Sie befasst sich nicht mit
den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (z.B.: hydraulische und
pneumatische Komponenten).
Funktionaler Ansatz zur Sicherheit
Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1), um dann die benötigten Sicherheitsanforderungen
festlegen zu können. Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur
zum Ausführen der Sicherheitsfunktionen. Unterfunktionen müssen in Erwägung gezogen und deren Interaktionen
analysiert werden, bevor eine Hardwarelösung für die Sicherheitssteuerung, genannt sicherheitsbezogenes, elektrisches
Steuerungssystem (SRECS), ausgewählt wird.
Ein funktionaler Sicherheitsplan, in dem alle Gestaltungsprojekte festgehalten werden, muss erstellt
werden. Er muss Folgendes umfassen:
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen:
- Eine Beschreibung der Funktionen und Schnittstellen, Betriebsarten, Prioritäten der Funktionen, Häufigkeit des
Betriebs, usw.
- Eine Spezifikation der Sicherheitsintegritätsanforderungen an jede Funktion, ausgedrückt in Form eines SIL-Wertes
(Sicherheits-Integritätslevels).
- Die unten aufgeführte Tabelle 1 zeigt den Maximalwert für Ausfälle für jeden SIL-Wert.
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls
Integritätslevel SIL pro Stunde, PFH D
3 >10 -8 bis 10 -7 bis 10 -6 bis

Der Vorteil dieser Annäherung liegt in einer Berechnungsmethode, die alle Parameter, die die Zuverlässigkeit eines
Steuerungssystems betreffen, einschließt. Bei dieser Methode wird jeder Funktion ein SIL zugeordnet. Dabei werden
folgende Parameter berücksichtigt:
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFH D ),
- Die Architektur (A, B, C oder D), d.h.;
mit oder ohne Redundanz,
mit oder ohne Diagnosefunktion, zum Kontrollieren einiger gefahrbringender Ausfälle,
- Ausfälle infolge gemeinsamer Ursache (CCF), einschließlich;
Kurzschlüsse zwischen Kanälen,
Überspannung,
Stromunterbrechung usw.
- Die Wahrscheinlichkeit gefahrbringender Übertragungsfehler bei digitaler Kommunikation,
- Störfestigkeit gegenüber elektromagnetischen Feldern.
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt:
1. Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritätslevel (SIL) und legen Sie die
Grundstruktur des elektrischen Steuerungssystems (SRECS) fest. Beschreiben Sie jede verwendete Funktion
(SRCF),
2. Unterteilen Sie jede Funktion in Funktionsblöcke (FB),
3. Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den
Teilsystemen der Architektur zu,
4. Wählen Sie die Komponenten für jedes Teilsystem aus,
5. Gestalten Sie die Diagnosefunktion und stellen Sie sicher, dass das angegebene Sicherheits-Integritätslevel (SIL)
erreicht wurde.
Nehmen Sie für unser Beispiel eine Funktion, bei der die Energiezufuhr vom Motorantrieb getrennt wird, wenn eine
Schutzeinrichtung geöffnet wird. Wenn die Funktion ausfällt, könnte sich der Maschinenbediener einen Arm brechen
oder einen Finger verlieren.
41

4
Schritt 1 – Bestimmen Sie das Sicherheits-Integritätslevel (SIL)
und legen Sie die Struktur des SRECS fest
Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird für jede sicherheitsbezogene
Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt
in Parameter unterteilt.
Mit der
identifizierten
Gefährdung
verbundenes
Risiko
Häufigkeit und Dauer
der Gefährdungs-
exposition
Schwere des
möglichen
Schadens
&
Wahrscheinlichkeit
eines gefahrbrin-
genden Ereignisses
Wahrscheinlichkeit
der Vermeidung oder
Begrenzung des
Schadens
F Wahrscheinlichkeit
des
W
P
S
Eintritts
dieses
Schadens

Schwere S
Die Schwere von Verletzungen oder Gesundheitsschädigungen lässt sich durch Unterteilung
in reversible Verletzungen, irreversible Verletzungen und Tod einschätzen.
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt.
Folgen Schwere (S)
Irreversibel: Tod, Verlust eines Auges oder Armes 4
Irreversibel: gebrochene Gliedmaße, Verlust von Fingern 3
Reversibel: Medizinische Behandlung erforderlich 2
Reversibel: Erste Hilfe erforderlich 1
Wahrscheinlichkeit des Eintritts eines Schadens
Jeder der drei Parameter F, W, P wird getrennt bewertet. Dabei wird der jeweils vom ungünstigsten
Fall ausgegangen. Es wird empfohlen, eine Aufgabenanalyse zu verwenden, um die
genaue Einschätzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu können.
Häufigkeit und Dauer der Gefährdungsexposition F
Die Höhe der Exposition hängt von der Notwendigkeit, den Gefahrenbereich zu betreten
(Normalbetrieb, Wartung, ...) und von der Zugangsart (manuelle Beschickung, Anpassung
usw.) ab. Daraus lässt sich dann die Häufigkeit und Dauer der Exposition abschätzen.
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt:
Häufigkeit des Gefährdungsexposition Dauer
> 10 Minuten
1 h bis 1 Tag bis 2 Wochen bis 1 Jahr 2
4

44
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W
Zwei grundlegende Konzepte müssen berücksichtigt werden:
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen
und ihren diversen Betriebsarten (Normalbetrieb, Wartung, Fehlerdiagnose). Hierbei muss
besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten
des Bedienpersonals, wie z.B. bei Stress, Müdigkeit, Unerfahrenheit, usw.
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit
(W)
Sehr hoch 5
Wahrscheinlich 4
Möglich 3
Selten 2
Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des
Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine. Er berücksichtigt die
Plötzlichkeit des Auftretens eines gefahrbringenden Ereignisses, die Art der Gefährdung
(Schneiden, Temperatur, Elektrizität), die Möglichkeit der physischen Vermeidung der
Gefährdung und die Möglichkeit des Erkennens eines gefahrbringenden Ereignisses.
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens
(P)
Unmöglich 5
Selten 3
Wahrscheinlich 1

Bestimmung des SIL-Wertes:
Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgeführten Tabelle
vorgenommen.
In unserem Beispiel hat die Schwere (S) den Wert 3, da das Risiko besteht, dass ein Finger
abgetrennt wird; dieser Wert wird in der ersten Spalte der Tabelle gezeigt. Alle weiteren
Parameter müssen zusammengezählt werden, um dann eine Klasse auszuwählen (vertikale
Spalten der unten aufgeführten Tabelle). Hierbei kommt man zu folgendem Ergebnis:
F = 5 Zugang mehrmals am Tag
W = 4 gefahrbringendes Ereignis wahrscheinlich
P = 3 Wahrscheinlichkeit der Vermeidung fast unmöglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene, elektrische Steuerungssystem (SRECS) der Maschine muss
diese Funktion mit einem Integritätslevel von SIL 2 ausführen.
Schwere (S) Klasse (K)
4
3
2
1
Grundstruktur des SRECS
3-4 5-7 8-10 11-13 14-15
SIL 2 SIL 2 SIL 2 SIL 3 SIL 3
(AM) SIL 1 SIL 2 SIL 3
(OM) SIL 1 SIL 2
(AM) SIL 1
Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden, wird das System
in Teilsysteme unterteilt. In unserem Beispiel werden 3 Teilsysteme benötigt, um Eingabe-,
Verarbeitungs- und Ausgabefunktionen auszuführen. Die folgende Abbildung stellt diesen
Schritt dar, unter Verwendung der in der Norm angeführten Terminologie.
SRECS
Teilsystem
Elemente
Eingang
Teilsysteme
Logik
(Verarbeitung)
Ausgang
45

46
Schritt – Unterteilen Sie jede Funktion in Funktionsblöcke (FB)
Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsbezogenen
Funktion.
Durch die Unterteilung in Funktionsblöcke wird ein erstes Konzept der SRECS-Architektur
erstellt. Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der
Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet.
Teilsystem 1
Sensor Schutzeinrichtung
Funktionsblock
FB1
Eingang
SRECS
Zielwert SIL = SIL
Teilsystem
Logik (Verarbeitung)
Funktionsblock
FB2
Logik
Teilsystem
Umschalt. der
Motorleistung
Funktionsblock
FB3
Ausgang
Schritt – Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock
auf und ordnen Sie die Funktionsblöcke den
Teilsystemen der Architektur zu.
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet. (Die Norm
definiert ‘Teilsystem’ so, dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezogenen
Steuerungsfunktion führt.) Jedem Teilsystem können mehrere Funktionsblöcke zugeteilt
werden. Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunktionen,
um sicherzustellen, dass Ausfälle erkannt und passende Maßnahmen getroffen werden.
Diese Diagnosefunktionen werden als separate Funktionen angesehen; sie können im Teilsystem
oder von einem anderen Teilsystem ausgeführt werden. Die Teilsysteme müssen mindestens den
gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion, jeweils mit
eigener SIL-Anspruchsgrenze (SILCL). In diesem Fall muss SILCL für jedes Teilsystem 2 sein.
Teilsystem 1
Sensor Schutzeinr.
Verriegel.schalter 1
Teilsystem
Element 1.1
Verriegel.schalter 2
Teilsystem
Element 1.2
SILCL
SRECS
Teilsystem
Sicherheitscontroller
SILCL
Teilsystem
Logik (Verarbeit.) Umschaltung der
Motorleistung
Schütz 1
Teilsystem
Element 3.1
Schütz 2
Teilsystem
Element 3.2
SILCL

Schritt 4 – Wählen Sie die Komponenten für jedes Teilsystem
Die unten aufgeführten Produkte wurden ausgewählt.
Sensor
Schutzeinrichtung
Teilsystem 1 (SB1)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente)
SB1 SILCL
Logik
(Verarbeitung)
Teilsystem 2 (SB2)
Sicherheitsrelais
SB SILCL
Schalten
von Leistung
Teilsystem 3 (SB3)
Schütz 1
Schütz 2
(Teilsystemelemente)
SB SILCL
Komponente Anzahl der % gefahrbringende Lebensdauer
Schaltspiele (B10) Ausfälle
Sicherheits-Positionsschalter XCS 10.000.000 20 % 10 Jahre
XPS AK Sicherheitsmodul PFH D = 7,389 x 10 -9
LC1 TeSys Schütz 1 000 000 73 % 20 Jahre
Die Zuverlässigkeitsdaten werden vom Hersteller geliefert.
Die Zykluslänge in diesem Beispiel beträgt 450 Sekunden, daraus ergibt sich ein Arbeitszyklus
C von 8 pro Stunde, d.h. die Schutzeinrichtung wird 8 mal pro Stunde geöffnet.
4

48
Schritt 5 – Gestalten Sie die Diagnosefunktion
Der durch die Teilsysteme erreichte SIL-Wert hängt nicht nur von den Komponenten, sondern
auch von der verwendeten Architektur, ab. In diesem Beispiel wählen wir Architektur
B für die Schützausgänge und Architektur D für den Endlagenschalter (siehe Anhang 1
dieser Anleitung zur Erläuterung der Architekturen A, B, C und D).
Bei dieser Architektur führt das Sicherheitsmodul Selbstdiagnosen durch und überprüft
auch die Sicherheitsendlagenschalter. Es gibt drei Teilsysteme, für die die SIL-Anspruchsgrenzen
(SILCL) festgelegt werden müssen:
SB1: zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant);
SB2: ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt, einschließlich PFH-Wert D ,
die vom Hersteller zur Verfügung gestellt werden);
SB3: zwei Schütze, die nach Architektur B verwendet werden (redundant ohne Rück-
meldung)
Die Berechnung umfasst die folgenden Parameter:
B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.
C: Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde).
l D : Rate der gefahrbringenden Ausfälle (l = x Anteil der gefahrbringenden Ausfälle).
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (CCF-Faktor): siehe Anhang F der
Norm.
T1: Proof-Testintervall oder Lebensdauer, wenn dieser Wert geringer ist (laut Herstellerangabe).
Die Norm sagt aus, dass eine Lebensdauer von 20 verwenden werden sollte,
um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden, das verwendet wird, um
bei der Berechnung den SIL-Wert zu verbessern. Die Norm erkennt natürlich an, dass
elektromechanische Komponenten ausgetauscht werden müssen, wenn die angegebene
Anzahl der Schaltspiele erreicht wurde. Als T1-Wert kann daher die vom Hersteller
angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen
Komponenten der B10 D -Wert geteilt durch die Anzahl der Arbeitszyklen C.
T2: Diagnose-Testintervall.
DC: Diagnose-Deckungsgrad = l DD / l Dtotal ist das Verhältnis der Rate der erkannten gefahrbringenden
Ausfälle zur Rate der gesamten gefahrbringenden Ausfälle.

Sensor
Schutzeinrichtung
Teilsystem 1 (SB1)
Teilsystemelement 1.1
l e = 0,1 • C/B 10
l De = l e • 20%
Teilsystemelement 1.2
l e = 0,1 • C/B 10
Logik
(Verarbeitung)
Teilsystem 2 (SB2)
l De = l e • 20% D
Teilsystem SB1
PFH D = ? (Architektur D)
D
Sicherheitsrelais
Teilsystem SB
PFH D = , 8 x10 -
Schalten
von Leistung
Teilsystem 3 (SB3)
Teilsystemelement 3.1
l e = 0,1 • C/B 10
l De = l e • 73%
Teilsystemelement 3.2
l e = 0,1 • C/B 10
l De = l e • 73%
Teilsystem SB
PFH D = ? (Architektur B)
Rückführungsschleife
nicht verwendet
Die Ausfallrate, l, eines elektromechanischen Teilsystemelements wird definiert als
le = 0,1 x C / B10.
Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 % der
Komponenten ausgefallen sind. In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde.
Anfälligkeit für Ausfälle für
jedes Element l e
Anfälligkeit für gefahr-bringende
Ausfälle für jedes
Element l De
l e = 0,1 C/B 10
l De = l e x - Anteil der
gefahrbringen-
den Ausfälle
CCF-Faktor = Anfälligkeit für Ausfälle infolge gemeinsamer Ursache
SB1 -
2 überwachte
Sicherheits-
Positionsschalter
SB3 -
2 Schütze ohne
Diagnosefunktionen
DC 99 % Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall: 10 %
T1 min (Lebensdauer
B10d/C)
Diagnose-Testintervall T2
Anfälligkeit für gefahrbringende
Ausfälle für
jedes Teilsystem
T1 = B 10D /C
Formel für
Architektur B:
l DssB =(1 – b) 2 x l De1 x l De2 x
T 1 + b x (l De1 + l De2 )/2
Formel für
Architektur D
l DssD = (1 – b) 2 {[ l De2 x 2
x DC ] x T 2 /2 + [ l De2 x (1
– DC) ] x T 1 } + b x l De
(10.000.000/20 %)/8
= 87.600
Jede Anforderung, d.h.
8 x pro Stunde,
= 1/8 = 0,125 Std.
(10.000.000/73 %)/8
= 171.232
Nicht relevant
l DssB = (1 – 0,9) 2 x l De1
x l De2 x T 1 + b x (l De1 +
l De2 )/2
4

50
Für die Ausgangsschütze in Teilsystem SS3 muss der PFH d -Wert berechnet werden.
Bei Architektur B (Einfehlertoleranz, ohne Diagnose) wird die Wahrscheinlichkeit eines
gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet:
l DssB =(1 – b) 2 x l De1 x l De2 x T 1 + b x (l De1 + l De2 )/2
[Gleichung B der Norm]
PFHDssB = l DssB x 1h
In diesem Beispiel b = 0,1
l De1 = l De2 = 0,73 (0,1 x C/1.000.000) = 0,73(0,8/1.000.000) = 5,84 x 10 -7
T1 = min( Lebensdauer, B10 D /C) = min (175.200*, 171.232) = 171.232 Stunden
* Lebensdauer 20 Jahre, mindestens 175.200 Stunden
l = (1 – 0,1) DssB 2 x 5,84 x 10-7 x 5,84 x 10-7 x 171.232 + 0,1 x ((5,84 x 10-7 ) + (5,84 x 10-7 ))/2
= 0,81 x 5,84 x 10 -7 x 5,84 x 10 -7 x 171 232 + 0,1 x 5,84 x 10 -7
= 0,81x 3,41056 x 10 -13 x 171 232 + 0,1 x 5,84 x 10 -7
= (3,453 x 10 -8 ) + (5,84 x 10 -8 ) = 1,06 x 10 -7
Da PFH DssB = l DssB x 1h, PFH D für die Schütze in Teilsystem SS3 = 1,06 x 10 -7
Für die Eingangsendlagenschalter in Teilsystem SS1 muss der PFH D -Wert berechnet werden.
Für Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt.
Bei dieser Architektur führt ein einziger Fehler in einem der Teilsystemelemente nicht zum
Verlust der SRCF.
T 2 : Diagnose-Testintervall;
T 1 : Proof-Testintervall oder die Lebensdauer, wenn dieser Wert geringer ist.
b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache; l D = l DD + l DU ; wobei l DD die Rate
der erkennbaren, gefahrbringenden Ausfälle ist und l DU die Rate der nicht erkennbaren,
gefahrbringenden Ausfälle.
l DD = l D x DC
l DU = l D x (1 – DC)
Für Teilsystemelemente mit gleicher Gestaltung gilt:
l De : Anfälligkeit für gefahrbringende Ausfälle jedes Teilsystemelements;
DC: Diagnose-Deckungsgrad eines Teilsystemelements.
l = (1 – b) DssD 2 2 2 {[ l x 2 x DC ] x T2 /2 + [l x (1 – DC) ] x T1 } + b x l De
De
De

D.2 der Norm
PFH DssD = l DssD x 1h
l e = 0,1 x C / B10 = 0,1 x 8/10.000.000 = 8 x 10 -8
l De = l e x 0,2 = 1,6 x 10 -8
DC = 99%
b = 10% (im schlimmsten Fall)
T 1 = min (Lebensdauer, B10 D /C) = min[87600*,(10.000.000/20%)] = 87.600 Stunden
T 2 = 1/C = 1/8 = 0,125 Std.
* Lebensdauer 10 Jahre, mindestens 87.600 Stunden
Aus D.2:
l DssD = (1 – 0,1) 2 {[ 1,6 x 10 -8 x 1,6 x 10 -8 x 2 x 0,99 ] x 0,125 /2 + [1,6 x 10 -8 x 1,6 x 10 -8 x
(1 – 0,99) ] x 87.600} + 0,1 x 1,6 x 10 -8
= 0,81 x {[5,0688 x 10 -16 ] x 0,0625 + [2,56 x 10 -16 x(0,01)] x 87.600} + 1,6 x 10 -9
= 0,81 x {3,168 x 10 -17 + [2,56 x 10 -18 ] x 87.600} + 1,6 x 10 -9
= 1,82 10 -13
= 1,6 x 10 -9
Da PFH DssD = l DssD x 1 Std., ist PFHD für die Entlagenschalter in Teilsystem SS1 = 1,63 x 10 -9
Wir wissen bereits, dass bei Teilsystem SB2 der PFH D -Wert des Funktionsblocks Logik (realisiert
durch das Sicherheitsrelais XPSAK) 7,389 x 10 -9 ist (Herstellerdaten).
Der Gesamt-PFH D -Wert des sicherheitsbezogenen, elektrischen Steuerungssystems (SRECS)
ist die Summe der PFH D -Werte aller Funktionsblöcke und wird daher wie folgt berechnet:
PFH DSRECS = PFH DSS1 + PFH DSS2 + PFH DSS3 = 1,6 10 -9 + 7,389 10 -9 + 1,06 10 -7
= 1,15 x 10 -7
Der Wert liegt somit laut unten aufgeführter Tabelle der Norm innerhalb der
Grenzwerte für SIL 2.
Sicherheits- Wahrscheinlichkeit eines gefahr-
Integritätslevel bringenden Ausfalls pro Stunde, PFH D
3 >10 -8 bis 10 -7 bis 10 -6 bis

5
Berechnungsbeispiel nach Norm
EN ISO 1 84 -1
Sicherheit von Maschinen - Sicherheitsbezogene Teile von
Steuerungen - Teil 1: General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden.
SCHRITT 1: Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen.
SCHRITT 2: Bestimmen Sie den erforderlichen Performance Level (PLr) für jede Sicherheitsfunktion.
SCHRITT 3: Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest, die die
Sicherheitsfunktion ausführen.
SCHRITT 4: Legen Sie das Performance Level PL für alle sicherheitsbezogenen Teile fest.
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des SRP/CS* der Sicherheitsfunktion
mindestens dem PLr-Wert gleicht.
SCHRITT 6: Validieren Sie, dass alle Anforderungen erfüllt sind (siehe EN ISO 13849-2).
*Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1).
Für weitere Informationen, siehe Anhang dieser Anleitung.
SCHRITT 1: Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion, bei der die
Energiezufuhr zum Motorantrieb getrennt wird, wenn die Schutzeinrichtung
geöffnet wird.
SCHRITT 2: Unter Verwendung des „Risikographen” in Abbildung A.1 der EN ISO 13849-1
und der gleichen Parameter wie im vorherigen Beispiel, kann das benötigte
Performance Level d bestimmt werden
(Hinweis: PL=d wir oft als „äquivalent” zu SIL 2 bezeichnet).
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung
S1 = leichte Verletzung (normalerweise reversibel)
S2 = schwere Verletzung (normalerweise irreversibel, einschließlich Tod)
F = Häufigkeit und/oder Dauer der Gefährdungsexposition
F1 = selten bis öfter und/oder kurze Gefährdungsexposition
F2 = häufig bis dauernd und/oder lange Gefährdungsexposition
P = Möglichkeit der Vermeidung der Gefährdung oder Begrenzung des Schadens
P1 = möglich unter bestimmten Bedingungen
P2 = kaum möglich

SCHRITT 3: Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel für EN IEC 62061,
d.h. Architektur der Kategorie 3 ohne Rückmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1
SW1
Sicherheitsschalter 2
SW2
Sicherheitsrelais
XPS
Schütz 1
CON1
Schütz 2
CON2
SRP/CS a SRP/CS b SRP/CS c
SCHRITT 4: Der PL-Wert des SRP/CS wird durch Einschätzung der folgenden Parameter bestimmt: (s. Anhang 2):
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1). Beachten Sie, dass in diesem Beispiel die
Verwendung einer Architektur der Kategorie 3 bedeutet, dass Schütze ohne Spiegelkontakte verwendet werden.
- Der MTTF d -Wert der einzelnen Komponenten (siehe Anhänge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfälle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen für die Komponenten vor:
Beispiel-SRP/CS B10 (Arbeitszyklen) MTTF d (Jahre) DC
Sicherheits-Positionsschalter 10.000.000 99%
Sicherheitsrelais XPSAK 154,5 99%
Schütze 1.000.000 0%
Beachten Sie, dass der Hersteller nur B10 oder B10 d -Daten für die elektromechanischen Komponenten angeben
kann, da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt.
Das erklärt, warum ein Hersteller keinen MTTF d -Wert für ein elektromechanisches Gerät bereitstellen kann.
5

54
Der MTTF d -Wert der Komponenten kann mit folgender Formel berechnet werden:
MTTF d = B10 d / (0,1 x n op )
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr.
B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind.
B10 d : Erwartete Zeit, bis zu der 10 % der Komponenten gefahrbringend ausgefallen. Ohne genaues Wissen über
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt, wird ein
Prozentsatz von 20 % eines gefahrbringenden Ausfalls für einen Sicherheitsschalter festgelegt und daher
B10 d = B10/20 %. Beim Schütz beträgt der Prozentsatz 73 % und daher B10 d = B10/73 %.
Angenommen, die Maschine ist pro Tag 8 Stunden in Betrieb, an 220 Tagen pro Jahr, mit einer Zykluszeit von
120 Sekunden wie zuvor, dann beträgt n op = 52.800 Arbeitszyklen pro Jahr.
Übersicht der Werte:
Beispiel
SRP/CS
B10
(Arbeitszyklen)
B10d MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10.000.000 50.000.000 9.469 99 %
Sicherheitsrelais XPSAK 154,5 99 %
Schütze 1.000.000 1.369.863 259 0 %
Der fettgedruckte rote MTTF d -Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den
B10-Daten ermittelt.
Mit Hilfe der sogenannten Parts-Count-Methode, die in Anhang D der Norm beschrieben wird, kann der MTTF d -
Wert für jeden Kanal ermittelt werden.
SW1
MTTF d = 46 a
SW
MTTF d = 46 a
XPS
MTTF d =
154,5 a
In diesem Beispiel ist die Berechnung für die Kanäle 1 und 2 identisch:
CON1
MTTF d = 5 a
CON
MTTF d = 5 a
1 1 1 1 1
= +
+
=
MTTF 9469 Jahre 154,5 Jahre 259 Jahre 95,85 Jahre
d
Der MTTF d -Wert für jeden Kanal ist daher 95 Jahre; laut Tabelle 3 der Norm ist dieser Wert „hoch”.
Kanal 1
Kanal

Aus den Gleichungen in Anhang E der Norm können wir den DC avg der Schaltung berechnen.
Der DC-Wert wird für jede Maßnahme einzeln ermittelt und nach folgender Formel errechnet:
DC avg
DC avg
=
=
DCS1 MTTFd,S1 +
DCS2 MTTFd,S2 + … +
DCSRP MTTFd,SRP 1
MTTFd,S1 +
1
MTTFd,S2 + … +
1
MTTFd,SRP 0,99
9469
+
0,99
9469
+
0,99
154,5
+
0,99
154,5
+
0
295
+
0
259
1
9469
+
1
9469
+
1
154,5
+
1
154,5
+
1
295
+
1
295
Dieses Ergebnis entspricht einem DC avg von niedrig.
Für die Ausfälle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabeverfahren
für Schaltungen ab Kategorie 2 vorgesehen. Anhand von durchgeführten Maßnahmen werden die
Antworten mit vorgegebenen Punkten bewertet. Ziel ist es, von 100 möglichen Punkten mindestens 65 Punkte zu
erreichen. Dann sind die Anforderungen erfüllt.
Sollten die 65 Punkte nicht erreicht werden, so ist das Verfahren gescheitert und es müssen zusätzliche
Maßnahmen ergriffen werden.
Anhand folgender (vereinfachter) Tabelle ergeben sich für das Beispiel folgende Werte:
Möglich Beispiel
Physikalische Trennung zwischen Signalpfaden z.B. Trennung der
Verdrahtung, Luftstrecken
15 15
Unterschiedliche Technologien, Gestaltung oder physikalische Prinzipien 20
Schutz gegen Überspannung, Überstrom, … 15 15
„Bewährte Bauteile” 5 5
Ausfallanalyse, Effektanalyse 5
Geschultes Personal 5 5
System auf EMV-Immunität geprüft 25 25
Umweltbedingungen (Temperatur, Feuchte, …) 10 10
Summe 100 75
= 0,624 = > 62,4 %
In diesem Beispiel ergeben sich daher 75 Punkte, wodurch die Abschätzung des CCF ein positives Ergebnis bringt.
Wichtig ist die Tatsache, dass pro Maßnahme nur die jeweils volle Punktezahl vergeben werden kann – oder
überhaupt keine Punkte.
55

56
SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des Systems mindestens dem erforderlichen PL (PL r )-Wert gleicht.
Da wir in unserem Beispiel eine Architektur der Kategorie 3, einen hohen MTTF-Wert d und einen niedrigen durchschnittlichen
Diagnose-Deckungsgrad (DC avg ) haben, kann der unten aufgeführten Grafik (Bild 5 der Norm) entnommen
werden, dass PL = d und damit der erforderliche Wert von PL r = d erreicht wurde. Die Zielsetzung ist
damit erfüllt.
Wie beim Berechnungsbeispiel nach EN IEC 62061 müssen die Spiegelkontakte der beiden Schütze nur mit dem
Rückführkreis des Sicherheitsrelais verbunden werden, damit eine Architektur der Kategorie 4 erreicht wird. Bei der
Berechnung ändert sich der MTTF d -Wert des Systems nicht. Durch Verwendung des Rückführkreises wird für die
Schütze ein Diagnose-Deckungsgrad von DC = 99 % festgesetzt. Es ergibt sich ein DC avg = 99 %, welches einem
Wert von hoch entspricht. Der PL-Wert erhöht sich damit von d auf e. Damit liegt der erreichte PL höher als der
geforderte PL r und die Zielsetzung ist damit ebenfalls erfüllt.
Performance Level „EN ISO 1 84 -1”
a
b
c
d
e
Kat. B Kat. 1 Kat. Kat. Kat. Kat. Kat. 4
DCav = DCav = DCav = DCav = DCav = DCav = DCav =
0 0 niedrig mittel niedrig mittel hoch
Höhe der Sicherheitskategorie EN ISO 1 84 -1
MTTFd jedes einzelnen Kanals = niedrig
MTTFd jedes einzelnen Kanals = mittel
MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6: Validierung – Überprüfen Sie die Funktionalität und führen Sie gegebenenfalls Tests durch
(EN ISO 13849-2).
1
1
Sicherheits-Integritätslevel „EN IEC 6 061”

58
Software-Assistent
SISTEMA

Software-Assistent SISTEMA
Sämtliche Berechnungen gemäß EN ISO 13849-1 können mit dem Taschenrechner oder mit Tabellenkalkulationsprogrammen
durchgeführt werden. Dazu sind die Formeln der Normen entsprechend anzuwenden.
Eine weitere und elegantere Möglichkeit ist der Software-Assistent SISTEMA des IFA (Institut für Arbeitsschutz
der Deutschen Gesetzlichen Unfallversicherung – vormals BGIA). Dieser Assistent bietet Hilfestellung bei der
Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1. Das Windows-Tool bildet die Struktur
der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet
Zuverlässigkeitswert einschließlich des erreichten Performance Level (PL).
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden. Um mit den
Bauteilwerten direkt die Berechnungen durchführen zu können, stellt Schneider Electric für diesen Assistenten
eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfügung. Diese Bibliothek kann ebenfalls kostenlos
aus dem Internet geladen werden. Somit müssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben
werden, sondern können nach Laden der Bibliothek direkt ausgewählt werden.
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer
Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen).
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
5

60
Zertifizierte
Sicherheitslösungen

Zertifizierte Sicherheitslösungen
Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstützung
unserer „Sicherheitslösungen“
Schneider Electric ermöglicht es Ihnen, durch die Verwendung unserer zertifizierten Sicherheitslösungen, Ihre
Maschine an die neuen Sicherheitsnormen anzupassen:
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenarbeitenden
Produkten zum Erreichen einer Sicherheitsfunktion, welche ein bewährtes Prinzipschema umfasst und
die entsprechende Berechnung des Sicherheitsniveaus. Dies führt zu Einsparungen von Zeit und Kosten für die
Ausstellung eines Maschinenzertifikats gemäß der neuen Europäische Maschinenrichtlinie, indem es als ergänzende
Dokumentation beigefügt wird.
Es besteht aus:
- einem Lösungsvorschlag, welcher das Sicherheitsniveau (Performance Level – PL) und das Niveau der
funktionalen Sicherheit (Safety Integrity Level – SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL für die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungs-
stelle.
Ein menügesteuerter Assistent führt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis
einfacher Fragen zu einer passenden Auswahl an möglichen Sicherheitslösungen. Diese werden Ihnen kurz
vorgestellt. Darüber hinaus können Sie das entsprechende Dokument für jedes Beispiel als PDF erhalten.
Bei der Berechnung der Zuverlässigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausgegangen.
Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen, dann müssen die Berechnungen
neu durchgeführt werden, da das vorgegebene Ergebnis nicht verwendbar ist. Um Ihnen die Berechnungen so
einfach wie möglich zu gestalten, sind alle Beispiele für den Software-Assistenten SISTEMA als Projekt verfügbar.
Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel
Informationsquellen), modifizieren Sie die Betriebsbedingungen für Ihr anzuwendendes Beispiel, und der Software-
Assistent SISTEMA führt eine Neuberechnung durch.
Die Dokumentation ist für den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden.
Bei Übersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen.
Assistent zur Auswahl der passenden Sicherheitslösung
61

6
Zertifizierte Sicherheitslösungen von Schneider Electric:
Sichere Anlaufsperre (PL c, SIL 1) Lichtvorhang (PL c, SIL 1)
Stopp-Kategorie 0 (PL d, SIL 2) Stopp-Kategorie 1 - Frequenzumrichter (PL d, SIL 2)
Stopp-Kategorie 1- Servoregler (PL e, SIL 3)
Sicherheits-Schaltmatten (PL d, SIL 2)

Codierte Magnet-Sicherheitsschalter (PL e, SIL 3) Stillstandserkennung (PL e, SIL 3)
Multifunktional (PL e, SIL 3) AS-Interface (PL e, SIL 3)
Zertifizierte Sicherheitslösungen als Projekte in SISTEMA
Geprüfte
Sicherheit
Sicherheitslösungen zum
Erreichen des geforderten
Sicherheitslevels
6

64
Service und
Schulungen

Service Sicherheitstechnik
Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine: Sicherheit.
In den jeweiligen Phasen, wie Planung, Konstruktion, Transport, Betriebsphase oder Demontage, werden unterschiedliche
Anforderungen an die Sicherheit gestellt. Diese Anforderungen müssen erkannt und entsprechend
berücksichtigt werden.
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjährigen Erfahrungen unserer
Mitarbeiter und können sicher sein, dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht.
Unser Angebot umfasst:
- Risikoanalysen und Risikobewertungen
- Engineering (Unterstützung bei Planung, Konstruktion, Software und Hardware)
- Regelmäßige Prüfungen (ggf. Serviceverträge)
- Pressenabnahmen gemäß BetrSichV §10 und BGR500 Teil 2.3
- Reparaturen und Wartungen von Pressensteuerungen
- Pressenmodernisierungen
- Nachlaufwegmessungen
- Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen:
- Einhaltung des aktuellen Standes der Normen und Richtlinien
- Entlastung Ihrer Mitarbeiter
- Schnelle Abwicklung vor Ort
- Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spätere und damit meist
kostenintensive Nachbesserungen
- Bei Durchführung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens.
- Sie können sicher sein, dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht.
Alle Dokumentationen und Schritte, die wir durchführen, werden Ihnen erläutert. Bei einer aktiven Begleitung
unserer Arbeit versetzen wir Sie in die Lage, z. B. weitere Risikobewertungen zukünftig auch selbständig
durchzuführen.
Gerne stellen wir Ihnen unser Angebot ausführlich dar – bitte setzen Sie sich dazu mit uns in Verbindung.
Schulungen zur Sicherheitstechnik
Unser Wissen für Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element für die Konstruktion und das Betreiben von
Maschinen.
Daher ist es unerlässlich, die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten.
Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik
durch Mitarbeiter mit langjährigen Erfahrungen praxisorientierten vermittelt. Damit erfolgt neben der Vermittlung der
theoretischen Kenntnissen direkt ein Brückenschlag zur angewandten Praxis.
Neben dem bestehenden Schulungsangebot zu den veröffentlichten festen Terminen bieten wir für geschlossene
Benutzergruppen auch die Möglichkeit von individuellen Veranstaltungen zu definierten Themen.
Haben Sie Interesse? Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an.
65

66
Informations-
quellen

Richtlinien und Normen
Europäische Maschinenrichtlinie 2006/42/EG
EN ISO 12100-1 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 1: Grundsätzliche
Terminologie, Methodologie
EN ISO 12100-2 Sicherheit von Maschinen – Grundbegriffe, Allgemeine Gestaltungsleitsätze - Teil 2: Technische
Leitsätze
EN ISO 14121-1 Sicherheit von Maschinen – Risikobeurteilung - Teil 1: Leitsätze
PD 5304: 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen. Elektrische Ausrüstung von Maschinen. Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen. Not-Halt. Gestaltungsleitsätze
EN IEC 62061 Sicherheit von Maschinen, Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer
und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer
Systeme
EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen –
Teil 1: Allgemeine Gestaltungsleitsätze
Schneider Electric-Unterlagen
Schneider Electric Katalog „Preventa Sicherheitslösungen”,
Best.-Nr.: ZXKSI
Schneider Electric-Homepage
www.oem.schneider-electric.com
Deutschland: www.schneider-electric.de
Österreich: www.schneider-electric.at
Schweiz: www.schneider-electric.ch
Informationen zur Maschinensicherheit
Nationale Internetseite aufrufen
- Ihr Business
- Maschinenhersteller (OEMs)
- Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA, die Bauteilbibliothek und die zertifizierten
Sicherheitslösungen
Schulungsangebot Schneider Electric
Nationale Internetseite aufrufen
- Produkte und Service
- Training
6

68
Anhänge –
Architekturen

Anhang 1
Architekturen der EN IEC 6 061
Architektur A: Nullfehlertoleranz, ohne Diagnosefunktion
Wobei: l De die Rate der gefahrbringenden Ausfälle eines Elementes ist
l DSSA = l DE1 + ... + l Den
PFH DSSA = l DSSA • 1h
Architektur A
Teilsystemelement 1
l De1
Teilsystemelement 1
l Den
Architektur B: Einfehlertoleranz, ohne Diagnosefunktion
Wobei: T 1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist
(Erhältlich entweder vom Anbieter oder durch Berechnung mit der Formel für
elektromechanische Produkte: T 1 = B 10 /C)
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache
(b kann aus der Tabelle F.1 der EN IEC 62061 ermittelt werden)
l DSSB = (1 - b) 2 • l De1 • l De2 • T 1 + b • (l De1 + l De2 )/2
PFH DSSB = l DSSB • 1h
Architektur B
Teilsystemelement 1
l De1
Teilsystemelement 2
l De2
Logische Darstellung des Teilsystems
Ausfälle infolge gemeinsamer
Ursache
Logische Darstellung des Teilsystems
6

0
Architektur C: Nullfehlertoleranz, mit Diagnosefunktion
Wobei: DC ist der Diagnose-Deckungsgrad = S l DD /l D
l DD die Rate der erkannten gefahrbringenden Ausfälle ist und l D die Rate der gesamten
gefahrbringenden Ausfälle.
Der Diagnose-Deckungsgrad (DC) hängt von der Wirksamkeit der im Teilsystem verwendeten
Diagnosefunktion ab.
l DSSC = l De1 • (1 - DC 1 ) + ... + l Den • (1 - DC n )
PFH DSSC = l DSSC • 1h
Architektur C
Teilsystemelement 1
l De1
Diagnosefunktion(en)
Diagnosefunktion(en)
Teilsystemelement n
l Den
Logische Darstellung des Teilsystems
Architektur D: Einfehlertoleranz, mit Diagnosefunktion
Wobei: T 1 das Proof-Testintervall oder die Lebensdauer ist, wenn diese geringer ist.
T 2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den
Anforderungen der Sicherheitsfunktion sein).
b ist die Anfälligkeit für Ausfälle infolge gemeinsamer Ursache.
(Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden.)
DC ist der Diagnose-Deckungsgrad = S l DD /l D
(l DD ist die Rate der erkannten gefahrbringenden Ausfälle und l D die Rate der gesamten
gefahrbringenden Ausfälle.)
Architektur D
Teilsystemelement 1
l De1
Teilsystemelement 2
l De2
Ausfälle infolge gemeinsamer
Ursache
Logische Darstellung des Teilsystems

Architektur D: Einfehlertoleranz, mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung
l De1 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1; DC 1 = Diagnose-Deckungsgrad des
Teilsystemelements 1
l De2 = Rate der gefahrbringenden Ausfälle des Teilsystemelements 2; DC 2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l DSSD = (1-b) 2 {[l De1 • l De2 (DC 1 + DC 2 )]•T 2 /2 + [l De1 • l De2 •(2-DC 1 -DC 2 )]•T 1 /2}+b• (l De1 + l De2 )/2
PFH DSSD = l DSSD • 1h
Bei Teilsystemelementen mit gleicher Gestaltung
l De = Rate der gefahrbringenden Ausfälle des Teilsystemelements 1 oder 2; DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b) DSSD 2 2 2 {[l • 2 • DC] T /2 + [l • (1-DC)] • T1 } + b • l De
2 De
De
PFH DSSD = l DSSD • 1h
Anhang
Kategorien der EN ISO 1 84 -1
Kategorie Beschreibung Beispiel
Kategorie
B
Kategorie
1
Kategorie
Kategorie
Kategorie
4
Das Auftreten eines Fehlers kann zum Verlust der
Sicherheitsfunktion führen
Das Auftreten eines Fehlers kann zum Verlust der
Sicherheitsfunktion führen, aber der MTTF d jedes
Kanals der Kategorie 1 ist höher als in Kategorie B. Die
Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist
somit geringer.
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust
der Sicherheitsfunktion zwischen den Prüfabständen führen;
der Verlust der Sicherheitsfunktion wird durch die Prüfung
erkannt.
Sicherheitsbezogene Teile von Steuerungssystemen
der Kategorie 3 müssen so gestaltet sein, dass ein
einzelner Fehler in einem dieser Teile nicht zum Verlust der
Sicherheitsfunktion führt. Wenn in angemessener Weise
durchführbar, soll der einzelne Fehler bei oder vor der
nächsten Anforderung an die Sicherheitsfunktion erkannt
werden.
Sicherheitsbezogene Teile von Steuerungssystemen
der Kategorie 4 müssen so gestaltet sein, dass ein
einzelner Fehler in einem dieser Teile nicht zum Verlust der
Sicherheitsfunktion führt und der einzelne Fehler bei oder
vor der nächsten Anforderung an die Sicherheitsfunktion
erkannt wird, d.h. sofort, beim Einschalten, am Ende
eines Arbeitszykluses. Ist dies nicht möglich, darf eine
Anhäufung von unerkannten Fehlern nicht zum Verlust der
Sicherheitsfunktion führen.
im Eingang Logik
im Eingang Logik
im Eingang Logik
Prüfeinrichtung
im Eingang 1 Logik 1
Kreuzweise Überwachung
Eingang 2
im Logik 2
m
im Eingang 1 Logik 1
Kreuzweise Überwachung
Eingang 2
im Logik 2
m
i m
i m
i m
i m
m
i m
i m
m
i m
i m
Ausgang
Ausgang
Ausgang
Test
Ausgang
Ausgang 1
Ausgang 2
Ausgang 1
Ausgang 2
1

Schneider Electric
GmbH
Gothaer Straße 29
D-40880 Ratingen
Tel.: +49 (0) 180 5 75 35 75*
Fax: +49 (0) 180 5 75 45 75*
www.schneider-electric.de
* 0,14 €/Min. aus dem Festnetz,
Mobilfunk max. 0,42€.
Schneider Electric
Austria Ges.m.b.H.
Biróstraße 11
A-1239 Wien
Tel.: (43) 1 610 54 - 0
Fax: (43) 1 610 54 - 54
www.schneider-electric.at
Schneider Electric
(Schweiz) AG
E-Mail-Adressen:
Schneider Electric Deutschland: de-schneider-service@de.schneider-electric.com
Schneider Electric Österreich: office@at.schneider-electric.com
Schneider Electric Schweiz: info@ch.schneider-electric.com
Handbuch Sicherheitstechnik ZXHBSI02, September 2010
Schermenwaldstrasse 11
CH-3063 Ittigen
Tel.: (41) 31 917 33 33
Fax: (41) 31 917 33 66
www.schneider-electric.ch
Sämtliche Angaben in diesem Handbuch zu unseren Produkten,
Normen und Richtlinien dienen lediglich der Produktbeschreibung
und sind rechtlich unverbindlich. Druckfehler, Irrtümer und
Änderungen, bei dem Produktfortschritt dienenden Änderungen
auch ohne vorherige Ankündigung, bleiben vorbehalten.
Soweit Angaben dieses Handbuchs ausdrücklicher Bestandteil
eines mit der Schneider Electric abgeschlossenen Vertrags werden,
dienen die vertraglich in Bezug genommenen Angaben
dieses Handbuchs ausschließlich der Festlegung der vereinbarten
Beschaffenheit des Vertragsgegenstands im Sinne des
§ 434 BGB und begründen keine darüber hinausgehende Beschaffenheitsgarantie
im Sinne der gesetzlichen Bestimmungen.
© Alle Rechte bleiben vorbehalten. Layout, Ausstattung, Logos,
Texte, Graphiken und Bilder dieses Handbuchs sind urheberrechtlich
geschützt.
Die Allgemeinen Geschäfts- und Lieferbedingungen finden Sie
auf der Homepage des jeweiligen Landes.
09-10
ZXHBSI02, 09-10. NUR PDF © 2010 Schneider Electric GmbH. All rights reserved.