View
229
Download
3
Category
Preview:
Citation preview
Sicherheit von Maschinen
Vorbemerkung4
Warum Sicherheit 6
Rechtsstrukturen 10
Risikobeurteilung 16
Sichere Gestaltung und technische Schutzmaszlignahmen
Funktionale Sicherheit 0
Inhalt
Normen zum Steuerungssystem ndash Berechnungsbeispiele 8
Software-Assistent SISTEMA 58
Zertifizierte Sicherheitsloumlsungen 60
Service und Schulungen 64
Informationsquellen 66
Anhaumlnge ndash Architekturen 68
5
Vorbemerkung
4
4
Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema Zum besseren Verstaumlndnis werden Vereinfachungen vorgenommen welche die Anforderungen nicht im gesamten Umfang darstellen
Dieses Handbuch dient dazu aktuelle und wertfreie Informationen zu liefern
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfaumlhige Maschinen liefern koumlnnen die den Gesetzen entsprechen Es stellt
keinen vollstaumlndigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natuumlrlich auch nicht ersetzen Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen
5
Warum Sicherheit
6
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Vorbemerkung4
Warum Sicherheit 6
Rechtsstrukturen 10
Risikobeurteilung 16
Sichere Gestaltung und technische Schutzmaszlignahmen
Funktionale Sicherheit 0
Inhalt
Normen zum Steuerungssystem ndash Berechnungsbeispiele 8
Software-Assistent SISTEMA 58
Zertifizierte Sicherheitsloumlsungen 60
Service und Schulungen 64
Informationsquellen 66
Anhaumlnge ndash Architekturen 68
5
Vorbemerkung
4
4
Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema Zum besseren Verstaumlndnis werden Vereinfachungen vorgenommen welche die Anforderungen nicht im gesamten Umfang darstellen
Dieses Handbuch dient dazu aktuelle und wertfreie Informationen zu liefern
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfaumlhige Maschinen liefern koumlnnen die den Gesetzen entsprechen Es stellt
keinen vollstaumlndigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natuumlrlich auch nicht ersetzen Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen
5
Warum Sicherheit
6
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5
Vorbemerkung
4
4
Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema Zum besseren Verstaumlndnis werden Vereinfachungen vorgenommen welche die Anforderungen nicht im gesamten Umfang darstellen
Dieses Handbuch dient dazu aktuelle und wertfreie Informationen zu liefern
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfaumlhige Maschinen liefern koumlnnen die den Gesetzen entsprechen Es stellt
keinen vollstaumlndigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natuumlrlich auch nicht ersetzen Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen
5
Warum Sicherheit
6
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
4
Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema Zum besseren Verstaumlndnis werden Vereinfachungen vorgenommen welche die Anforderungen nicht im gesamten Umfang darstellen
Dieses Handbuch dient dazu aktuelle und wertfreie Informationen zu liefern
damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und
leistungsfaumlhige Maschinen liefern koumlnnen die den Gesetzen entsprechen Es stellt
keinen vollstaumlndigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die
relevanten Normen natuumlrlich auch nicht ersetzen Dieses Handbuch leitet Sie durch die
logischen Schritte und verweist auf relevante Informationsquellen
5
Warum Sicherheit
6
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Warum Sicherheit
6
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
6
Abgesehen von der moralischen Verpflichtung Personen vor Verletzungen zu schuumltzen schreiben Gesetze vor dass Maschinen sicher sein muumlssen Daruumlber hinaus gibt es triftige wirtschaftliche Gruumlnde Unfaumllle zu vermeiden
Sicherheit muss ab Beginn der Planungsphase einer Maschine und uumlber alle Phasen der
Verwendung hinweg beruumlcksichtigt werden Gestaltung Bau Installation Anpassung Betrieb
Wartung und ggf Entsorgung
GestaltungBau Installation AnpassungBetrieb Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europaumlische Maschinenrichtlinie verpflichtet Hersteller ein Minimum an Sicherheit fuumlr Maschinen und Ausruumlstung die innerhalb der EU verkauft werden zu garantieren
Die Neufassung der Maschinenrichtlinie 200642EG ist seit dem 29 Dezember 2009 in Kraft Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geraumlte- und Produktsicherheitsgesetz (9 GPSGV) und in Oumlsterreich im Bundesgesetzblatt 282Teil II2008 (Maschinen-Sicherheitsverordnung 2010)) Daruumlber hinaus haben einige Laumlnder die nicht zur EU gehoumlren die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG)
Maschinen muumlssen den grundlegenden Gesundheits- und Sicherheitsanforderungen die in Anhang I der Richtlinie aufgefuumlhrt sind entsprechen Hierdurch wird ein Mindestmaszlig an Schutz uumlber den gesamten europaumlischen Wirtschaftsraum (EWR) festgelegt
Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU muumlssen sicherstellen dass die Maschine den Gesetzen entspricht den zustaumlndigen Aufsichtsbehoumlrden auf Anfrage die technischen Unterlagen bereitgestellt werden koumlnnen die e-Kennzeichnung angebracht ist und eine Konformitaumltserklaumlrung unterschrieben wurde bevor die Maschine innerhalb der EU auf den Markt gebracht wird
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Bestehende Maschinen ndash die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89655EWG folgen In den meisten Faumlllen kann dies durch die Verwendung von Maschinen erreicht werden die der betreffenden Norm entsprechen
Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel einschlieszliglich mobiler Ausruumlstung und Hebevorrichtungen an allen Arbeitsplaumltzen und in allen Arbeitssituationen
Jegliche Ausruumlstung muss fuumlr die Verwendung geeignet sein und nach Bedarf gepruumlft und gewartet werden
Unfallkosten Einige Kosten sind offensichtlich wie zB das Krankengeld fuumlr verletzte Angestellte Jedoch entstehen auch weitere Kosten die nicht so leicht zu bestimmen sind Die Health and Safety Executive (HSE) in Groszligbritannien gibt ein Beispiel fuumlr einen Unfall an einer Bohrmaschine der zu Kosten in Houmlhe von ca 51300 euro (HSE INDG355) fuumlhrte Hierbei sind einige weniger offensichtliche Kosten nicht beruumlcksichtigt Daher belaufen sich manche Schaumltzungen sogar auf den doppelten Betrag Ein von Schneider Electric Ltd analysierter Unfall eine reversible Kopfverletzung kostete den Arbeitgeber ca 102600 euro Von diesem Betrag wurden nur ca 42200 euro von der Versicherung uumlbernommen Die indirekten Kosten koumlnnen erhoumlhte Versicherungsbeitraumlge Produktionsverlust Kundenverlust und sogar den Schaden des oumlffentlichen Rufs umfassen
Einige Maszlignahmen zur Risikominderung koumlnnen sogar die Produktivitaumlt steigern so kann zB die Verwendung von Lichtvorhaumlngen die zum Schutz von Zugangspunkten zu Maschinen dienen einen leichteren Zugang zum Be- und Entladen ermoumlglichen durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen koumlnnen Teile einer Maschine zu Wartungszwecken abgeschaltet werden waumlhrend andere Teile weiterarbeiten koumlnnen
Die Richtlinien gelten fuumlr alle Angestellten Selbststaumlndigen und weiteren Personen die Kontrolle uumlber die Bereitstellung von Arbeitsmitteln haben
88
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
88
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1111
Rechtsstrukturen
101010
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1010
EU-Richtlinie Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung Erlass Verfuumlgung Richtlinien)
Norm Eine bdquoNormldquo ist eine technische Spezifikation die von einem anerkannten Normungsshygremium fuumlr die wiederholte oder staumlndige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist
Harmonisierte Norm Eine Norm wird zu einer harmonisierten Norm wenn sie in den Mitgliedstaaten veroumlffentlicht wurde
Konformitaumltsvermutung Entspricht ein Produkt einer harmonisierten europaumlischen Norm die im Amtsblatt der Europaumlischen Union fuumlr eine bestimmte Richtlinie veroumlffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab wird angenommen dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie uumlbereinstimmt Eine Liste dieser Normen finden Sie unter httpwwwnewapproachorgDirectivesDirectiveListasp
Natuumlrlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanfordeshyrungen notwendig Dies gilt ebenfalls fuumlr Produkte fuumlr die aufgrund der Anwendung einer bestimmten Norm eine Konformitaumltsshyvermutung ausgeshystellt wurde
1111
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
11
A- B- und C-Normen Europaumlische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt
A B1 B2 C
Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe Gestaltungsleitsaumltze und allgemeine Aspekte die auf alle Maschinen gleichermaszligen angewendet werden koumlnnen
Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen die fuumlr verschiedene Maschinen verwendet werden koumlnnen
- Typ B1-Normen fuumlr bestimmte Sicherheitsaspekte (zB Sicherheitsabstaumlnde Oberflaumlchentemperatur Laumlrm)
- Typ B2-Normen fuumlr Schutzeinrichtungen (zB Zweihandsteuerungen Verriegelungseinrichtungen druckempfindliche Geraumlte Schutzeinrichtungen)
Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen
11
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
11
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen fuumlr eine Typ A- oder Typ B-Norm ab hat die Typ C-Norm Prioritaumlt
Einige Beispiele dieser Art von Normen EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsaumltze zur Risikobeurteilung
und -minderung
EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsaumltze
EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsaumltze
EN ISO 13850 B Not-Halt - Gestaltungsleitsaumltze
EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer elektroshynischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steueshyrungen - Teil 1 Allgemeine Gestaltungsleitsaumltze
EN 349 B Mindestabstaumlnde um das Quetschen von Koumlrperteilen zu vermeiden
EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstaumlnde gegen das Erreichen von Gefaumlhrdungsbereichen mit den oberen und unteren Gliedmaszligen
EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausruumlstung von Maschinen - Teil 1 Allgemeine Anforderungen
EN 999ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annaumlherungsgeshyschwindigkeiten von Koumlrperteilen
EN 1088ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinshyrichtungen - Leitsaumltze fuumlr Gestaltung und Auswahl
EN 61496-1 B Beruumlhrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforshyderungen und Pruumlfungen
EN 60947-5-5 B Niederspannungsschaltgeraumlte - Teil 5-5 Steuerstromkreis Steuergeraumlte und Schaltelemente - Elektrisches Not-Aus-Geraumlt mit mechan Verrastfunktion
EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen Gestaltung und Pruumlfung
EN 1037 B Vermeidung von unerwartetem Anlauf
EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201 C Kunststoff- und Gummimaschinen - Spritzgieszligmaschinen - Sichershyheitsanforderungen
EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN 422 C Blasformmaschinen zur Herstellung von Hohlkoumlrpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1 Roboter
EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4 Palettierer und Depalettierer
EN 619 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Foumlrdereinrichtungen fuumlr Stuumlckgut
EN 620 C Stetigfoumlrderer und Systeme - Sicherheits- und EMV-Anforderungen fuumlr ortsfeste Gurtfoumlrderer fuumlr Schuumlttgut
Hinweis Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw die letzten guumlltigen Normenausgaben vor 2009
11
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1515
Herstellerverantwortung Hersteller die Maschinen im europaumlischen Wirtschaftsraum (EWR) in Verkehr bringen muumlssen den Anforderungen der Maschinenrichtlinie entsprechen
Die Durchfuumlhrung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt
Bitte beachten Sie dass bdquoin Verkehr bringenrdquo auch bedeutet dass eine Organisation sich selbst eine Maschine zufuumlhrt dh Maschinen zur eigenen Verwendung baut oder umbaut oder Maschinen in den europaumlischen Wirtschaftsraum importiert
Betreiberverantwortung
Betreiber von Maschinen muumlssen sicherstellen dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und uumlber eine Konformitaumltserklaumlrung zur Maschinenrichtlinie verfuumlgen Maschinen muumlssen gemaumlszlig den Anweisungen des Herstellers verwendet werden
Bestehende Maschinen die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden muumlssen den Vorgaben nicht entsprechen Sie muumlssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und fuumlr die Anwendung geeignet sein
Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt Die Firma von der die Maschine umbaut wird muss sich bewusst sein dass gegebenenfalls eine Konformitaumltserklaumlrung und eine e-Kennzeichnung ausgestellt werden muumlssen
1414
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1414 1515
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1
Risikobeurteilung
16
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
16
Damit eine Maschine (oder weitere Ausruumlstung) sicher ist muumlssen die moumlglichen Risiken betrachtet werden die durch die Verwendung entstehen koumlnnen Risikobeurteilung und Risikominderung fuumlr Maschinen werden in EN ISO 1411-1 beschrieben
1
Es gibt verschiedene Techniken zur Risikobeurteilung jedoch kann keine davon als bdquoder richtige Wegrdquo zum Durchshy
fuumlhren einer Risikobeurteilung angesehen werden In der Norm werden einige grundlegende Leitsaumltze festgelegt
jedoch kann nicht jeder einzelne Fall beschrieben werden Es waumlre wuumlnschenswert dass durch eine Norm ein
Maximalwert fuumlr jedes Risiko definiert wuumlrde Aus verschiedenen Gruumlnden ist dies leider nicht der Fall Die Bewertung
eines zulaumlssigen Risikos haumlngt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren So
kann zB ein Risiko dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist in einer Umgebung in der sich
Privatpersonen und auch Kinder bewegen nicht akzeptabel sein Historische Unfall- und Zwischenfallraten koumlnnen
hilfreiche Indikatoren sein sie liefern jedoch keine zuverlaumlssigen Angaben der zu erwartenden Unfallraten
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
11
Bestimmen der Maschinengrenzen Was wird dabei beurteilt Welche GeschwindigkeitenLadungenSubstanzen usw spielen eine Rolle Zum Beispiel Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet Denken Sie auch an den vorshyhersehbaren Fehlgebrauch einer Maschine wie zB durch eine nicht spezifikationskonforme Vershywendung Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt
Identifizieren der Gefaumlhrdungen Durch welche Aspekte einer Maschine koumlnnen Personen verletzt werden Beruumlcksichtigen Sie die Moumlglichkeit dass sich Personen an der Maschine verfangen quetschen mit dem Werkshyzeug schneiden oder sich an den scharfen Kanten der Maschine bzw des zu verarbeitenden Materials schneiden Weitere Faktoren wie die Stabilitaumlt der Maschine Laumlrm Vibration Emisshysion von Substanzen oder Strahlung muumlssen ebenfalls beruumlcksichtigt werden sowie Verbrenshynungen durch heiszlige Oberflaumlchen Chemikalien oder Reibung durch hohe Geschwindigkeiten In diesem Schritt sollten alle Gefaumlhrdungen aufgefuumlhrt werden die uumlber die gesamte Lebensshydauer der Maschine einschlieszliglich Bau Installation und Entsorgung entstehen koumlnnen
Beispiele typischer Gefaumlhrdungen werden nachfolgend gezeigt jedoch handelt es sich hierbei nicht um eine vollstaumlndige Liste Eine detailliertere Auflistung finden Sie in EN ISO 14121-1
Wer koumlnnte durch die identifizierten Gefaumlhrdungen verletzt werden und wann
Wer arbeitet an der Maschine wann und warum Denken Sie erneut daran vorhersehbaren Fehlgeshybrauch mit einzuschlieszligen Hierzu zaumlhlt die Moumlglichkeit dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden koumlnnen nicht nur Bedienpersonal auch Reinigungskraumlfte Sicherheitspersonal Besucher und Privatpersonen
Quetschen
Hier werden Beishyspiele typischer Geshyfaumlhrdungen gezeigt jedoch handelt es sich dabei nicht um eine vollstaumlndige Liste Eine detailshyliertere Auflistung finden Sie in EN ISO 1411-1
Elektrischer Schlag Kontakt mit gefaumlhrlichen Substanzen
Durchschlagen Einstich Scheren Abschneiden
Erfassen Aufwickeln Einziehen Fangen
Stoszlig
Verbrennungen
1818
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1818
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschaumltzung Ein Priorisieren kann durch Multiplikation der moumlglichen Gefaumlhrdungen die von einer Gefaumlhrdungsexposition ausgehen vorgenommen werden Dabei koumlnnen eine oder auch mehrere Personen betroffen sein
Eine Einschaumltzung der moumlglichen Gefaumlhrdungen ist schwierig da jeder Unfall moumlglichershyweise zu einem Todesfall fuumlhren kann Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher wenn es mehrere moumlgliche Konsequenzen gibt Alle moumlglichen Konseshyquenzen sollten beruumlcksichtigt werden nicht nur der schlimmste Fall
Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden die die verschieshydenen Risiken einer Maschine auflistet und einen Einschaumltzung der Schwere jedes einzelnen Risikos gibt Fuumlr eine Maschine gibt es keine allgemeine bdquoRisikoeinstufungrdquo oder bdquoRisikokateshygorierdquo ndash jedes Risiko muss einzeln betrachtet werden Beachten Sie dass die Schwere nur geschaumltzt werden kann ndash Risikobeurteilung ist keine genaue Wissenschaft Und es ist auch nicht das Ende der Betrachtung Risikobeurteilung dient der Risikominderung
Mit der moumlgshylichen
Gefaumlhrdung verbundenes
Risiko
Schwere des
moumlglichen Schadens
Wahrschein-lichkeit
des Auftretens
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition Moumlglichkeit zur Vermeishydung oder Begrenzung der Wahrscheinlichkeit
eines Ereignisses durch das ein Schadens entshy
steht
11
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2
Die Definition der Risikominderung ist das Beseitigen von Risiken bdquodas Ziel der getroffenen Maszlignahmen muss die Beseitigung aller Risiken uumlber die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein einschlieszliglich Transport Aufbau Abbau Demontage und Entsorgungrdquo
Generell gilt dass ein Risiko gemindert werden sollte wenn die Moumlglichkeit dazu besteht Es muss jedoch im wirtschaftlichen Sinne realisierbar sein In den Verordnungen werden daher Woumlrter wie bdquoangemessenrdquo verwendet um darauf hinzuweisen dass die Minderung eines Risikos in manchen Faumlllen aus wirtschaftlichen Gruumlnden nicht moumlglich ist
Der Prozess der Risikobeurteilung erfolgt schrittweise ndash Zunaumlchst muumlssen Risiken identifiziert priorisiert und mengenmaumlszligig bestimmt werden Dann muumlssen Schritte durchgefuumlhrt werden um diese Risiken zu mindern (zunaumlchst durch sichere Gestaltung dann durch technische Schutzmaszlignahmen) Daraufhin muss der Prozess wiederholt werden um zu beurteilen ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind Im naumlchsten Kapitel beschaumlftigen wir uns mit sicherer Gestaltung und technischen Schutzmaszlignahmen
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsaumltze auf um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen Sie gibt eine Anleitung uumlber die Informationen die fuumlr die Durchfuumlhrung einer Risikobeurteilung notwendig sind Ebenso werden Verfahren zur Identifizierung von Gefaumlhrdungen sowie zur Risikoeinschaumltzung und -bewertung beschrieben
In dieser Norm wurden Kenntnisse und Erfahrungen uumlber die Konstruktion den Einsatz das Zwischenfall- und Unfallgeschehen sowie uumlber Schaumlden im Zusammenhang mit Maschinen zusammengefasst Somit wird der Anwender in die Lage versetzt in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu koumlnnen
Die Risikobeurteilung ist das zentrale Dokument fuumlr alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt Notwendige Angaben uumlber die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben
0
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
0
Start
Ist die Maschine
sicher Nein
Ja
Risikobewertung
Festlegung der Grenzen der Maschine
Identifizierung der Gefaumlhrdungen
Risikoeinschaumltzung
Risikominderung
Risi
koan
alys
e
Ende
Iterativer Prozess zur Risikominderung nach EN ISO 14121
Risi
kobe
urte
ilung
1
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Sichere Gestaltung und technische Schutzmaszlignahmen
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Maszlignahmen zur inhaumlrent sicheren Gestaltung (gemaumlszlig EN ISO 1100- Kapitel 4)
Einige Risiken lassen sich durch einfache Maszlignahmen vermeiden kann eine Aufgabe aus der sich ein Risiko ergibt vermieden werden Eine Vermeidung ist manchmal durch Autoshymatisierung einiger Aufgaben wie zB dem Beladen einer Maschine moumlglich Kann eine Gefaumlhrdung beseitigt werden Die Verwendung nicht brennbarer Loumlsungsmittel zu Reinishygungszwecken kann zum Beispiel die Brandgefahr die von brennbaren Loumlsungsmitteln ausgeht beseitigen Dieser Schritt gilt als inhaumlrent sichere Gestaltung und ist die einzige Moumlglichkeit ein Risiko auf null zu reduzieren
Durch Entfernen des Antriebs von der Endrolle eines Rollenfoumlrderers kann die Gefahr dass sich jemand in der Rolle verfaumlngt reduziert werden Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern Durch die Vermeidung von scharfen Kanten Ecken und Uumlberstaumlnden koumlnnen Schnittwunden und Prellungen vermieden werden Durch Erhoumlhen der Mindestabstaumlnde kann vermieden wershyden dass Koumlrperteile gequetscht werden durch Reduzierung des Maximalabstands kann vermieden werden dass Koumlrperteile eindringen Durch Verringerung von Kraft Geschwinshydigkeit und Druck kann das Verletzungsrisiko reduziert werden
Vermeidung von Fallen die zum Abscheren fuumlhren koumlnnen durch inhaumlrent sichere Gestaltungsmaszlignahmen Quelle BS PD 5304
Stellen Sie sicher dass eine Gefaumlhrdung nicht durch eine andere ersetzt wird Durch die Verwendung von Druckluftwerkzeuge werden die Gefaumlhrdungen durch Elektrizitaumlt vermieden jedoch koumlnnen durch Druckluft neue Gefaumlhrdungen entstehen wie zum Beispiel das Einspritzen von Luft in den Koumlrper und Kompressorlaumlrm
Normen und Gesetz- gebung geben eine eindeutige Hierarchie fuumlr die Schutzmaszligshynahmen an Gefaumlhrshydungsvermeidung oder groumlszligtmoumlgliche Risikominderung durch inhaumlrent sichere Gestaltungsshymaszlignahmen haben houmlchste Prioritaumlt
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
55
Technische Schutzmaszlignahmen und ergaumlnzende Schutzmaszlignahmen (laut EN ISO 1100- Kapitel 5)
Ist eine inhaumlrent sichere Gestaltung nicht moumlglich sind technische Schutzmaszlignahmen der naumlchste Schritt Zu diesen Maszlignahmen zaumlhlen z B trennende und nicht trennende Schutzeinrichtungen Anwesenheitsuumlberpruumlfung zur Vermeidung von unerwartetem Anlauf usw
Durch technische Schutzmaszlignahmen soll erreicht werden dass Personen nicht in Kontakt mit Gefaumlhrdungen kommen oder Gefaumlhrdungen so reduziert werden dass sie fuumlr Personen die mit ihnen in Kontakt kommen unbedenklich sind
Schutzeinrichtungen koumlnnen entweder fest eingebaut werden um Gefaumlhrdungen einzuschlieszligen oder abzutrennen oder beweglich dh selbstschlieszligend elektrisch angetrieben oder verriegelnd sein
Typische Schutzeinrichtungen die als Teil der technischen Schutzmaszlignahmen dienen
Sicherheitsschalter die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen Sie werden normalerweise fuumlr Aufgaben wie Be- und Entladen Reinigen Einstellen Anpassen usw verwendet
Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht entweder durch Herausziehen des geshytrennten Betaumltigers des Schalters durch Betaumltigung des Hebels oder Kolbens durch Oumlffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5degndash normalerweise bei Maschinen mit geringer Traumlgheit (dh mit kurzer Nachlaufzeit)
44
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Lichtvorhaumlnge zum Erkennen von Personen die sich der Gefahrenzone naumlhern
mit dem Finger der Hand oder dem Koumlrper (bis 14 mm bis 30 mm und uumlber 30 mm
44
Aufloumlsung)
Lichtvorhaumlnge kommen uumlblicherweise zum Einsatz bei Materialverarbeitung Verpashycken Flieszligbandarbeiten Lagersystemen und weiteren Anwendungen Sie dienen zum Schutz von Personen die in der Naumlhe von Maschinen arbeiten oder diese bedienen Sobald ein Lichtstrahl unterbrochen wird stoppt die gefahrbringende Bewegung des Geraumltes Durch Lichtvorhaumlnge kann das Personal geschuumltzt und gleichzeitig ein freier Zugang zu den Maschinen ermoumlglicht werden Da keine Tuumlr oder Schutzeinrichtung verwendet wird kann die Zeit die fuumlr das Beladen Uumlberpruumlfen oder Anpassen der Maschine benoumltigt wird reduziert werden Daruumlber hinaus wird der Zugang zur Mashyschine erleichtert
Sicherheitsmatten zum Erkennen von Personen die sich der Gefahrenzone naumlhern sich dort aufhalten oder in die Gefahrenzone eintreten
Sicherheitsmatten werden uumlblicherweise vor oder um potenziell gefaumlhrliche Maschinen oder Roboter verwendet Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen Sie dienen hauptsaumlchlich zum Schutz des Personals und ergaumlnzen Sicherheitsprodukte wie zB Lichtvorhaumlnge Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen Sie erkennen Personen die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung
55
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Sicherheitsschalter mit funktionsuumlberwachter und elektromagnetischer Zuhaltung
waumlhrend gefahrbringenden Phasen des Arbeitszyklusses Sie werden fuumlr Mashyschinen eingesetzt die eine lange Nachlaufzeit haben dh wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrshybringenden Bewegung ermoumlglicht werden soll Sie werden haumlufig entweder mit Zeitverzoumlgerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren koumlnnen) verwendet damit der Zugang zur Maschine nur unter sicheren Bedingungen moumlglich ist
Sicherheitsschalter sollten so ausgewaumlhlt und eingebaut werden dass ein Vershysagen oder Ausfall moumlglichst vermieden wird Die gesamten technischen Schutzshymaszlignahmen sollten die Produktionsaufgaben nicht unnoumltigerweise behindern Hierzu zaumlhlen die folgenden Schritte
- Sichere Befestigung der Geraumlte Ein Werkzeug wird benoumltigt um sie zu entfernen oder einzustellen
- Verwendung von codierten Geraumlten oder Systemen zB mechanisch elekshytrisch magnetisch oder optisch
- Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgeraumlt bei geoumlffneter Schutzeinrichtung
- Fester Stand um den einwandfreien Betrieb zu gewaumlhrleisten
Zweihand-Steuerpulte und Fuszligschalter werden verwendet um sicherzustellen dass sich das Bedienshypersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhaumllt (zB Abwaumlrtshub bei Pressen)
Sie dienen hauptsaumlchlich zum Schutz des Bedienpersonals Zusaumltzlicher Schutz fuumlr weiteres Personal kann durch zusaumltzliche Maszlignahmen wie zB durch das Anbringen von Lichtvorhaumlngen realisiert werden
Zustimmschalter ermoumlglichen den Zugang unter speziellen Bedingung die ein geringeres Risiko darstellen
zum Auffinden von Fehlern zur Inbetriebnahme usw (zB Tipp-betrieb) mit zentraler Position und 2 Stellungen fuumlr die Aus-Funktion (mit und ohne Zwangstrennung) Somit ist sichergestellt dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt
6
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
6
Uumlberwachung der Sicherheitssignale ndash Steuerungssysteme Die Signale von Sicherheitskomponenten werden uumlblicherweise uumlber Sicherheitsrelais Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als bdquoSicherheitslogiksystemrdquo) uumlberwacht und dienen zum Ansteuern (und manchmal Uumlberwachen) von Ausgabegeraumlten wie zB Schuumltzen
Die Wahl der Sicherheitslogik haumlngt von vielen Faktoren ab wie zB Anzahl der zu verarbeitenden Sicherheits- eingaumlnge Kosten Komplexitaumlt der Sicherheitsfunktionen selbst Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie zB der AS-Interface bdquoSafety at Workrdquo oder SafeEthernet Sicherheitssignale und Daten muumlssen in manchen Faumlllen auch uumlber groszlige Entfernungen gesendet werden zB bei groszligen Maschinen oder zwischen Maschinen in groszligen Anlagen Die heute uumlbliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme gefuumlhrt
Modulare Sicherheitssteuerung
Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung
Technische Schutzmaszlignahmen werden normalerweise durch ein Steuerungssystem uumlberwacht Die Maschinenshyrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme Es wird ausgesagt dass bdquoSteuerungssysteme so gestaltet und gebaut werden muumlssen dass das Entstehen von gefahrbringende Situationen vermieden wirdrdquo Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor aber die Vershywendung eines Steuerungssystems das den Anforderungen der harmonisierten Normen entspricht ist ein Mittel die Konformitaumlt mit den Anforderungen der Maschinenrichtlinie aufzuzeigen Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Ergaumlnzende Schutzmaszlignahmen ndash Not-Halt Auch wenn Not-Halt-Geraumlte fuumlr alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen) werden sie nicht als wichtigste Mittel zur Risikomindeshyrung angesehen Sie werden stattdessen als bdquoergaumlnzende Schutzmaszlignahmenrdquo bezeichnet Sie dienen nur als redundantes System fuumlr den Notfall Sie muumlssen robust zuverlaumlssig und an allen Stellen verfuumlgbar sein wo sie gegebenenfalls benoumltigt werden
EN 60204-1 unterscheidet die folgenden drei Kategorien fuumlr Stopp-Funktionen
- Stopp-Kategorie 0 Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Anshytriebselement (ungesteuertes Stillsetzen)
- Stopp-Kategorie 1 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement um den Halt zu erreichen Nach erfolgtem Stillstand ist die Energiezushyfuhr zu unterbrechen
- Stopp-Kategorie 2 Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement
Stopp-Kategorie 2 ist normalerweise fuumlr Not-Halt-Anwendungen nicht geeignet
Not-Halt-Geraumlte muumlssen bei Maschinen bdquodirekt wirkenrdquo Das bedeutet dass durch ihre Geshystaltung sichergestellt wird dass der Mechanismus sofort verriegelt wenn sich der normalershyweise geschlossene Kontakt oumlffnet auch wenn der Knopf sehr langsam gedruumlckt oder das Kabel sehr langsam gezogen wird (uumlberlistungssicher) Dadurch wird ein langsames Anhalten verhindert da daraus gefaumlhrliche Situationen entstehen koumlnnen Der umgekehrte Fall ist genauso wichtig dh das Verriegeln darf nur erfolgen wenn sich der Oumlffnerkontakt oumlffnet Not-Halt-Geraumlte sollten ENIEC 60947-5-5 entsprechen
Restrisiken Nachdem alle Risiken so weit wie moumlglich durch Gestaltung und technische Schutzmaszligshynahmen reduziert wurden sollte der Prozess der Risikobeurteilung wiederholt werden um sicherzustellen dass keine neuen Risiken entstanden sind (so koumlnnen zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschaumltzen ob jedes Risiko auf ein annehmbares Maszlig reduziert werden konnte Auch nach einigen Wiederhoshylungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen
Abgesehen von Maschinen die einer speziellen harmonisierten Norm (C-Norm) entspreshychen ist es die Aufgabe es Entwicklers zu entscheiden ob das Restrisiko toleriert werden kann oder ob weitere Maszlignahmen ergriffen werden muumlssen Daruumlber hinaus muss der Geshystalter Informationen uumlber diese Restrisiken in Form von Warnhinweisen Gebrauchsanweishysung usw liefern In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleishydung und speziellen Arbeitsprozessen festgelegt werden diese Maszlignahmen sind jedoch nicht so effektiv wie Gestaltungsmaszlignahmen
8
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
8
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1
Funktionale Sicherheit
0
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
0
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von haumlufig gestellten Fragen zur funktioshynalen Sicherheit herausgegeben unter httpwwwiecchzonefsafety
In den letzten Jahren wurden etliche Normen veroumlffentlicht die sich mit funktionaler Sicherheit beschaumlftigen Hierzu zaumlhlen EN IEC 61508 EN IEC 62061 EN IEC 61511 EN ISO 13849-1 und EN IEC 61800-5-2 Alle Normen wurden in Europa eingefuumlhrt und als Europaumlische Normen (EN) veroumlffentlicht
Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten bdquoKategorienldquo zum Verhalten im Fehlerfall die in EN 954-1 festgelegt wurden und haumlufig faumllschlicherweise als lsquoSicherheitskategorienrsquo beschrieben wurden
Eine Erinnerung an die Leitsaumltze der EN 54-1 Anwendern der EN 954-1 wird der alte bdquoRisikographrdquo bekannt sein der von vielen verwendet wurde um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemaumlszlig der Kategorien B 1 2 3 oder 4 zu gestalten Der Betreiber wurde aufgefordert eine subjektive Beurteilung der Schwere der Verletzung Haumlufigkeit der Gefaumlhrdungsexposition und der Moumlglichkeit zur Vermeidung der Gefaumlhrdung durch Einstufung in leicht bis schwer selten bis haumlufig und moumlglich bis kaum moumlglich vorzunehmen und daraus die erforderliche Kategorie fuumlr jedes sicherheitsbezogene Teil zu ermitteln
Hierdurch wird verdeutlicht dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem
S1
P1
P2
P1
P2
F1
F2
S2
B 1 2 3 4
(SRECS) abhaumlngt umso fehlerresistenter muss es sein (zB gegen Kurzschluumlsse verschweiszligen von Kontakten usw)
Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert
- Steuerschaltkreise der Kategorie B sind einfach und koumlnnen zum Verlust der Sicherheitsfunktion infolge eines Fehlers fuumlhren
- Schaltkreise der Kategorie 1 koumlnnen auch zum Verlust der Sicherheitsfunktion fuumlhren aber die Wahrscheinlichshykeit ist geringer als in Kategorie B
- Schaltkreise der Kategorie 2 erkennen Fehler durch Uumlberpruumlfung in geeigneten Zeitabstaumlnden (ein Verlust der Sicherheitsfunktion kann zwischen diesen Uumlberpruumlfungen erfolgen)
KM1
KM1
KM1
Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als - Sicherheitsbezogene Teile von Steuerungssystemen (SRPCS) in EN ISO 13849-1 - Sicherheitsbezogenes elektrisches Steuerungssystem (SRECS) in EN IEC 62061
1
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
- Schaltkreise der Kategorie 3 fuumlhren bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion zB durch die Verwendung von zwei (redundanten) Kanaumllen jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten
KM1
KM2
KM2
KM1
1 2
- Durch Schaltkreise der Kategorie 4 wird sichergestellt dass die Sicherheitsfunktion immer zur Verfuumlgung steht selbst beim Auftreten eines oder mehrerer Fehler Meist wird dies durch redundante Ein- und Ausgaumlnge sichershygestellt und durch eine Ruumlckkopplungsschleife zur staumlndigen Uumlberwachung der Ausgaumlnge
KM1
KM2
KM2
KM1
KM1 KM2 21
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Funktionale Sicherheit ist bdquoTeil der Gesamtsicherheit bezogen auf die EUC und das EUC-Steuerungssystem die von der korrekten Funktion der EEPE- sicherheitsbezogenen Systeme sicherheitsbezogenen Systeme andeshyrer Technologien und externer Einrichtungen zur Risikominderung abhaumlngtrdquo Beachten Sie dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt nicht um eine bestimmte Komponente oder eine spezielle Geraumlteart Die funktionale Sicherheit bezieht sich auf alle Komponenten die zur Leistung der Sicherheitsfunktion beitragen einschlieszliglich Eingangsschaltern Sicherheitslogiksystemen wie Steuerungen und IPCs (inklusive Software und Firmware) und Ausgabegeraumlten wie Schuumltze und Frequenzumrichter
EUC steht fuumlr Equipment Under Control (Betriebseinrichtung) Hinweis EEPE steht fuumlr elektrischelektronischprogrammierbar elektronisch
Es sollte darauf geachtet werden dass die Funktionsweise korrekt ist dh die jeweils passenden Funktionen muumlssen ausgewaumlhlt werden In der Vergangenheit gab es die Tendenz dass Komponenten mit einer houmlheren Kategorie der EN 954-1 eher ausgewaumlhlt wurden als Komponenten einer niedrigeren Kategorie obwohl sie eigentshylich die passenderen Funktionen boten Das koumlnnte daran liegen dass faumllschlicherweise angenommen wurde die Kategorien seinen hierarchischer Struktur also beispielsweise Kategorie 3 bdquobesserrdquo sei als Kategorie 2 usw Norshymen zur funktionalen Sicherheit sollen Entwickler dazu anhalten den Blick mehr auf die Funktionen zu richten die zur Minderung eines bestimmten Risikos dienen und was sie leisten muumlssen anstatt sich nur auf die jeweiligen Komponenten zu verlassen
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5
Welche Normen werden fuumlr die Sicherheitsfunktion angewendet Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfuumlgung Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar jedoch kann die Anwendung nicht uneingeschraumlnkt empfohlen werden
Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritaumltslevels) und in EN 13849-1 als PL (Performance Level) angegeben
Bei beiden Normen wird die Architektur der Steuerungsschaltkreise die die Sicherheitsfunktion ausfuumlhren beshytrachtet Im Gegensatz zu EN 954-1 muss jedoch gemaumlszlig der neuen Normen die Zuverlaumlssigkeit der ausgewaumlhlten Komponenten beruumlcksichtigt werden
EN IEC 6061 Jede Funktion muss genau betrachtet werden Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanfordeshyrungen (Safety Requirements Specification SRS) erstellt werden Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegritaumlt in der die erforderliche Wahrscheinlichkeit mit der eine Funktion unter den angegebenen Umstaumlnden ausgefuumlhrt wird definiert ist
Ein haumlufig verwendetes Beispiel ist bdquoMaschine anhalten wenn die Schutzeinrichtung offen istrdquo Der Fall muss jedoch genauer betrachtet werden zunaumlchst in Bezug auf die funktionale Spezifikation Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schuumltz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Beweshygungen abgeschlossen sind Muumlssen weitere Geraumlte die vor- oder nachgelagert sind abgeschaltet werden Wie wird das Oumlffnen der Schutzeinrichtung erkannt
In der Spezifikation der Sicherheitsintegritaumlt muumlssen sowohl zufaumlllige Hardwarefehler als auch systematische Fehler beruumlcksichtigt werden Systematische Fehler entstehen durch eine spezielle Ursache und koumlnnen nur durch Vermeishydung dieser Ursache beseitigt werden normalerweise durch eine Modifikation der Gestaltung In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation
Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestalshytungsmaszlignahmen fuumlhren zB koumlnnen schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschaumldigung von Verriegelungsschaltern fuumlhren wenn keine Stoszligdaumlmpfer und Fuumlhrungsstifte verwendet werden Eine ausreishychende Menge an Schuumltzen muss vorhanden sein und sie muumlssen gegen Uumlberlastung geschuumltzt sein
Wie oft wird die Schutzeinrichtung geoumlffnet Welche Konsequenzen koumlnnen sich aus dem Ausfall der Funktion ergeben Welche Umgebungsbedingungen (Temperatur Vibration Feuchtigkeit usw) wird es geben
In EN IEC 62061 wird die Anforderung der Sicherheitsintegritaumlt als Ausfallrate fuumlr die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde fuumlr jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben Die Ausfallrate kann fuumlr jede Komponente oder jedes Teilsystem aus den Zuverlaumlssigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert wie Tabelle 3 der Norm zeigt
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritaumltslevel (SIL) Ausfalls pro Stunde PFHD 3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Tabelle 1 Beziehung zwischen SIL und PFHD
4
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
c
4
EN ISO 184-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTFd) Diagnose-Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a b c d e) verwenshydet Eine vereinfachte Methode zur Einschaumltzung des PL-Wertes liefert Tabelle 7 der Norm Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1 Sie werden in Anhang 2 erklaumlrt
DC avg Keine Keine Gering Mittel Gering Mittel Hoch
a Nicht abgedeckt a b b c Nicht
abgedeckt Niedrig
b Nicht abgedeckt b c c d Nicht
abgedeckt Mittel
Nicht abgedeckt c c d d d eHoch
MTTFd jedes einzelnen Kanals
Kategorie B 1 2 2 3 3 4
Tabelle 2 Vereinfachtes Verfahren zum Ermitteln des PL-Wertes der durch das verwendete SRPCS erreicht wird
Aus der oberen Tabelle ist ersichtlich dass nur eine Architektur der Kategorie 4 zum Erreichen des houmlchsten PL-Wertes e fuumlhren kann Geringere PL-Werte lassen sich jedoch in Abhaumlngigkeit von MTTFd und DC der verwendeten Komponenten erzielen
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B Kat 1 Kat Kat Kat DCavg = DCavg = DCavg = DCavg = DCavg = 0 0 niedrig mittel niedrig Houmlhe der Sicherheitskategorie EN ISO 184-1
Kat DCavg = mittel
Kat 4 DCavg = hoch
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
5
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Index
Niedrig gt3 Jahre bis lt10 Jahre Mittel gt10 Jahre bis lt30 Jahre Hoch gt30 Jahre bis lt100 Jahre
MTTFd Spanne
Tabelle 3 Houmlhe der MTTFd
Zur Einschaumltzung des MTTFd einer Komponente koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (MTTFd B10 oder B10d)
2 Methoden aus den Anhaumlngen C und D der EN 13849-1
3 Waumlhlen Sie 10 Jahre
Der Diagnose-Deckungsgrad gibt an wie viele gefahrbringende Ausfaumllle vom Diagnosesystem erkannt werden Die Sicherheit kann durch die Verwendung von Teilsystemen erhoumlht werden die interne Selbstdiagnosen durchfuumlhren
Index Diagnose-Deckungsgrad
Null lt60 Niedrig ge60 bis lt90 Mittel ge90 bis lt99 Hoch ge99
Tabelle 4 Houmlhe des Diagnose-Deckungsgrades
Zur Ermittlung des DC koumlnnen die folgenden Daten verwendet werden (nach Prioritaumlt)
1 Herstellerdaten (wo verfuumlgbar ndash zB bei Lichtvorhaumlngen Frequenzumrichtern)
2 Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1
Ausfaumllle infolge gemeinsamer Ursache (CCF) entstehen wenn durch externen Einfluss (wie zB einen Sachschaden) einige Komponenten unbrauchbar werden unabhaumlngig von ihrem MTTFd-Wert Maszlignahmen zur Eingrenzung von CCF
- Vielfaumlltigkeit bei der Wahl der Komponenten und ihrer Betriebsarten
- Schutz vor Verschmutzung
- Trennung
- Optimierte Elektromagnetische Vertraumlglichkeit
Gemaumlszlig einer Checkliste im Anhang F der EN ISO 13849-1 wird gepruumlft ob bestimmte Anforderungen erfuumlllt wurden Uumlber ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden
6
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
6
Vereinfachte Tabelle
Nr Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF)
1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversitaumlt (in Technologie Design Prinzip) 20 3 Entwurf Applikation Erfahrung 20 4 Beurteilung Analyse 5 5 Kompetenz Ausbildung 5 6 Umwelteinfluumlsse (Pruumlfungen Produktnormen) 35
Welche Norm soll angewendet werden Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor kann der Entwickshyler frei entscheiden ob er EN IEC 62061 EN ISO 13849-1 oder sogar eine andere Norm anwendet EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen durch die eine Konformitaumltsvermutung zur Erfuumlllung der wesentlichen Anforderungen der Maschinenrichtshylinie erreicht wird sofern sie angewendet werden Jedoch muss beachtet werden dass die ausgewaumlhlte Norm im Ganzen verwendet werden muss In einem System koumlnnen nicht Teile von beiden Normen verwendet werden
Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines geshymeinsamen Anhangs fuumlr die beiden Normen mit dem Ziel in der Zukunft eine einzige Norm zu entwickeln
EN IEC 62061 ist vielleicht verstaumlndlicher in Bezug auf die Themen zur Spezifikation und Fuumlhrungsverantwortung EN ISO 13849-1 ermoumlglicht jedoch einen leichteren Uumlbergang von EN 954-1
Beide Normen sind fuumlr die Verwendung von elektromagnetischer und komplexer elektroshynischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt Somit decken beide Normen gemeinsam einen Groszligteil der Anwendung ab
Die EN ISO 13849-1 deckt zusaumltzlich auch nichtelektrische Technologien wie beispielsshyweise Pneumatik oder Hydraulik ab Dafuumlr gibt es Einschraumlnkungen bei sehr komplexen Technologien die besonders in der EN IEC 62061 behandelt werden Uumlber die jeweilige Verwendbarkeit informieren beide Normen
Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhaumlltlich Es sollte beachtet wershyden dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt der von einem System das diese Komponente in einer speziellen Konfiguration verwendet erreicht werden kann Es kann nicht garantiert werden dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Normen zum Steuerungssystem ndash Berechnungs- beispiele
8
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
8
Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg um die Anwendung von EN IEC 6061 und EN ISO 184-1 zu verdeutlichen
Fuumlr beide Normen verwenden wir ein Beispiel bei dem das Oumlffnen einer Schutzeinrichtung zum Anhalten der
beweglichen Teile einer Maschine fuumlhren muss da es sonst zu Verletzungen wie zB einem gebrochenen Arm oder
abgetrennten Finger kommen kann
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
41
Berechnungsbeispiel nach Norm EN IEC 6061
Sicherheit von Maschinen ndash Funktionale Sicherheit sicherheitsbezogener elekshytrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
Sicherheitsbezogene elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen Sie verwenden immer haumlufiger komplexe elektronische Technologien Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508
Die Norm stellt Regeln auf fuumlr die Integration von Teilsystemen gemaumlszlig EN ISO 13849-1 Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (zB hydraulische und pneumatische Komponenten)
Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1) um dann die benoumltigten Sicherheitsanfordeshyrungen festlegen zu koumlnnen Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausfuumlhren der Sicherheitsfunktionen Unterfunktionen muumlssen in Erwaumlgung gezogen und deren Interaktionen analysiert werden bevor eine Hardwareloumlsung fuumlr die Sicherheitssteuerung genannt sicherheitsbezogenes elekshytrisches Steuerungssystem (SRECS) ausgewaumlhlt wird
Ein funktionaler Sicherheitsplan in dem alle Gestaltungsprojekte festgehalten werden muss erstellt werden Er muss Folgendes umfassen
Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen
- Eine Beschreibung der Funktionen und Schnittstellen Betriebsarten Prioritaumlten der Funktionen Haumlufigkeit des Betriebs usw
- Eine Spezifikation der Sicherheitsintegritaumltsanforderungen an jede Funktion ausgedruumlckt in Form eines SIL-Wershytes (Sicherheits-Integritaumltslevels)
- Die unten aufgefuumlhrte Tabelle 1 zeigt den Maximalwert fuumlr Ausfaumllle fuumlr jeden SIL-Wert
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Ausfalls Integritaumltslevel SIL pro Stunde PFHD
- Einen strukturierten und dokumentierten Gestaltungsprozess fuumlr elektrische Steuerungssysteme (SRECS)
- Die Maszlignahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen
- Die Konfigurationsverwaltung und -modifikation unter Beruumlcksichtigung der Organisation und des autorisierten Personals
- Der Verifikations- und Validierungsplan
40
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
40
Der Vorteil dieser Annaumlherung liegt in einer Berechnungsmethode die alle Parameter die die Zuverlaumlssigkeit eines Steuerungssystems betreffen einschlieszligt Bei dieser Methode wird jeder Funktion ein SIL zugeordnet Dabei wershyden folgende Parameter beruumlcksichtigt
- Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFHD)
- Die Architektur (A B C oder D) dh mit oder ohne Redundanz mit oder ohne Diagnosefunktion zum Kontrollieren einiger gefahrbringender Ausfaumllle
- Ausfaumllle infolge gemeinsamer Ursache (CCF) einschlieszliglich Kurzschluumlsse zwischen Kanaumllen Uumlberspannung Stromunterbrechung usw
- Die Wahrscheinlichkeit gefahrbringender Uumlbertragungsfehler bei digitaler Kommunikation
- Stoumlrfestigkeit gegenuumlber elektromagnetischen Feldern
Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt
1 Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritaumltslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest Beschreiben Sie jede verwendete Funktion (SRCF)
2 Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB)
3 Listen Sie die Sicherheitsanforderungen fuumlr jeden Funktionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
4 Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem aus
5 Gestalten Sie die Diagnosefunktion und stellen Sie sicher dass das angegebene Sicherheits-Integritaumltslevel (SIL) erreicht wurde
Nehmen Sie fuumlr unser Beispiel eine Funktion bei der die Energiezufuhr vom Motorantrieb getrennt wird wenn eine Schutzeinrichtung geoumlffnet wird Wenn die Funktion ausfaumlllt koumlnnte sich der Maschinenbediener einen Arm breshychen oder einen Finger verlieren
41
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Schritt 1 ndash Bestimmen Sie das Sicherheits-Integritaumltslevel (SIL)
und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird fuumlr jede sicherheitsbeshyzogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt
Haumlufigkeit und Dauer der Gefaumlhrdungs- exposition
Wahrscheinlichkeit eines gefahrbrin-genden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
W
F Wahrscheinshylichkeit des
Eintritts dieses
Schadens
amp
Schwere des moumlglichen Schadens
S
Mit der identifizierten
Gefaumlhrdung verbundenes
Risiko
4
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Schwere S Die Schwere von Verletzungen oder Gesundheitsschaumldigungen laumlsst sich durch Untershyteilung in reversible Verletzungen irreversible Verletzungen und Tod einschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Irreversibel Tod Verlust eines Auges oder Armes 4 Irreversibel gebrochene Gliedmaszlige Verlust von Fingern 3 Reversibel Medizinische Behandlung erforderlich 2 Reversibel Erste Hilfe erforderlich 1
Folgen Schwere (S)
Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F W P wird getrennt bewertet Dabei wird der jeweils vom unguumlnshystigsten Fall ausgegangen Es wird empfohlen eine Aufgabenanalyse zu verwenden um die genaue Einschaumltzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu koumlnnen
Haumlufigkeit und Dauer der Gefaumlhrdungsexposition F Die Houmlhe der Exposition haumlngt von der Notwendigkeit den Gefahrenbereich zu betreten (Normalbetrieb Wartung ) und von der Zugangsart (manuelle Beschickung Anpassung usw) ab Daraus laumlsst sich dann die Haumlufigkeit und Dauer der Exposition abschaumltzen
Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt
Haumlufigkeit des Gefaumlhrdungsexposition Dauer gt 10 Minuten
lt1 h 5 gt1 h bis lt1 Tag 5 gt1 Tag bis lt2 Wochen gt2 Wochen bis lt1 Jahr
4 3
gt1 Jahr 2
4
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
45
Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte muumlssen beruumlcksichtigt werden
Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb Wartung Fehlerdiagnose) Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals wie zB bei Stress Muumldigkeit Unerfahrenheit usw
Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W)
Sehr hoch 5 Wahrscheinlich 4 Moumlglich 3 Selten 2 Unwahrscheinlich 1
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P
Dieser Parameter bezieht sich auf die Gestaltung der Maschine Er beruumlcksichtigt die Ploumltzlichkeit des Auftretens eines gefahrbringenden Ereignisses die Art der Gefaumlhrdung (Schneiden Temperatur Elektrizitaumlt) die Moumlglichkeit der physischen Vermeidung der Gefaumlhrdung und die Moumlglichkeit des Erkennens eines gefahrbringenden Ereignisses
Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P)
Unmoumlglich 5 Selten 3 Wahrscheinlich 1
44
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
44
Bestimmung des SIL-Wertes Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgefuumlhrten Tabelle vorgenommen
In unserem Beispiel hat die Schwere (S) den Wert 3 da das Risiko besteht dass ein Finger abgetrennt wird dieser Wert wird in der ersten Spalte der Tabelle gezeigt Alle weiteren Parameter muumlssen zusammengezaumlhlt werden um dann eine Klasse auszuwaumlhlen (vertikale Spalten der unten aufgefuumlhrten Tabelle) Hierbei kommt man zu folgendem Ergebnis
F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmoumlglich
Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12
Das sicherheitsbezogene elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritaumltslevel von SIL 2 ausfuumlhren
Schwere (S) Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 24
3 2 1
(AM) SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2
(AM) SIL 1
Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden wird das System in Teilsysteme unterteilt In unserem Beispiel werden 3 Teilsysteme benoumltigt um Eingabe- Verarbeitungs- und Ausgabefunktionen auszufuumlhren Die folgende Abbildung stellt diesen Schritt dar unter Verwendung der in der Norm angefuumlhrten Terminologie
Eingang
Teils
yste
m
Ele
men
te
Logik (Verarshy
beitung)
Ausgang
Teilsysteme SRECS
45
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
4
Schritt ndash Unterteilen Sie jede Funktion in Funktionsbloumlcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsshybezogenen Funktion
Durch die Unterteilung in Funktionsbloumlcke wird ein erstes Konzept der SRECS-Architektur erstellt Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet
SRECS Zielwert SIL = SIL
Teilsystem 1
Sensor Schutzshyeinrichtung
Funktionsblock FB1
Eingang
Teilsystem
Logik (Verarbeishytung)
Funktionsblock FB2
Logik
Teilsystem
Umschalt der Motorleistung Funktionsblock
FB3
Ausgang
Schritt ndash Listen Sie die Sicherheitsanforderungen fuumlr jeden Funkshytionsblock auf und ordnen Sie die Funktionsbloumlcke den Teilsystemen der Architektur zu
Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet (Die Norm definiert lsquoTeilsystemrsquo so dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezoshygenen Steuerungsfunktion fuumlhrt) Jedem Teilsystem koumlnnen mehrere Funktionsbloumlcke zugeteilt werden Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunkshytionen um sicherzustellen dass Ausfaumllle erkannt und passende Maszlignahmen getroffen werden
Diese Diagnosefunktionen werden als separate Funktionen angesehen sie koumlnnen im Teilsystem oder von einem anderen Teilsystem ausgefuumlhrt werden Die Teilsysteme muumlssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion jeweils mit eigener SIL-Anspruchsgrenze (SILCL) In diesem Fall muss SILCL fuumlr jedes Teilsystem 2 sein
SRECS Teilsystem 1
SILCL
Teilsystem
Sicherheitsshycontroller
SILCL
Teilsystem
SILCL
Sensor Schutzshyeinr
Logik (Verarbeit) Umschaltung derMotorleistung
Verriegelschalter 1 Teilsystem
Element 11
Verriegelschalter 2 Teilsystem
Element 12
Schuumltz 1 Teilsystem
Element 31
Schuumltz 2 Teilsystem
Element 32
46
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
46
Schritt 4 ndash Waumlhlen Sie die Komponenten fuumlr jedes Teilsystem Die unten aufgefuumlhrten Produkte wurden ausgewaumlhlt
SensorSchutzeinrichtung
Teilsystem 1 (SB1)
Logik (Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung
Teilsystem 3 (SB3)
Sicherheitsschalter 1
Sicherheitsschalter 2
(Teilsystemelemente) SB1 SILCL
Sicherheitsrelais SB SILCL
Schuumltz 1
Schuumltz 2
(Teilsystemelemente) SB SILCL
Komponente Anzahl der gefahrbringende Lebensdauer Schaltspiele (B10) Ausfaumllle
Sicherheits-PositionsschalterXCS 10000000 20 10 Jahre XPS AK Sicherheitsmodul PFHD = 7389 x 10-9
LC1 TeSys Schuumltz 1 000 000 73 20 Jahre
Die Zuverlaumlssigkeitsdaten werden vom Hersteller geliefert
Die Zykluslaumlnge in diesem Beispiel betraumlgt 450 Sekunden daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde dh die Schutzeinrichtung wird 8 mal pro Stunde geoumlffnet
4
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
4
Schritt 5 ndash Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert haumlngt nicht nur von den Komponenten sonshydern auch von der verwendeten Architektur ab In diesem Beispiel waumlhlen wir Architektur B fuumlr die Schuumltzausgaumlnge und Architektur D fuumlr den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erlaumluterung der Architekturen A B C und D)
Bei dieser Architektur fuumlhrt das Sicherheitsmodul Selbstdiagnosen durch und uumlberpruumlft auch die Sicherheitsendlagenschalter Es gibt drei Teilsysteme fuumlr die die SIL-Anspruchsshygrenzen (SILCL) festgelegt werden muumlssen
SB1 zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant) SB2 ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt einschlieszliglich PFH-WertD
die vom Hersteller zur Verfuumlgung gestellt werden) SB3 zwei Schuumltze die nach Architektur B verwendet werden (redundant ohne Ruumlck-
meldung)
Die Berechnung umfasst die folgenden Parameter
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind C Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde)
lD Rate der gefahrbringenden Ausfaumllle (l = x Anteil der gefahrbringenden Ausfaumllle)
b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (CCF-Faktor) siehe Anhang F der Norm
T1 Proof-Testintervall oder Lebensdauer wenn dieser Wert geringer ist (laut Herstelleranshygabe) Die Norm sagt aus dass eine Lebensdauer von 20 verwenden werden sollte um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden das verwendet wird um bei der Berechnung den SIL-Wert zu verbessern Die Norm erkennt natuumlrlich an dass elektromechanische Komponenten ausgetauscht werden muumlssen wenn die angegeshybene Anzahl der Schaltspiele erreicht wurde Als T1-Wert kann daher die vom Herstelshyler angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10D-Wert geteilt durch die Anzahl der Arbeitszyklen C
T2 Diagnose-Testintervall
DC Diagnose-Deckungsgrad = lDD l ist das Verhaumlltnis der Rate der erkannten ge-Dtotal
fahrbringenden Ausfaumllle zur Rate der gesamten gefahrbringenden Ausfaumllle
48
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
48
Sensor Schutzeinrichtung
Teilsystem 1 (SB1)
Logik(Verarbeitung)
Teilsystem 2 (SB2)
Schalten von Leistung Teilsystem 3 (SB3)
Teilsystemelement 11
l e = 01 bull CB10
lDe = l e bull 20
Teilsystem SB1 PFHD = (Architektur D)
Teilsystem SB PFHD = 8x10-
Teilsystem SB PFHD = (Architektur B)
Ruumlckfuumlhrungsschleife nicht verwendet
Teilsystemelement 12
l e = 01 bull CB10
lDe = l e bull 20 D
D
Sicherheitsrelais
Teilsystemelement 31
l e = 01 bull CB10
lDe = l e bull 73
Teilsystemelement 32
l e = 01 bull CB10
lDe = l e bull 73
Die Ausfallrate l eines elektromechanischen Teilsystemelements wird definiert als le = 01 x C B10 Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde
SB1 -2 uumlberwachte Sicherheits-Positionsschalter
SB3 -2 Schuumltze ohne Diagnosefunktionen
Anfaumllligkeit fuumlr Ausfaumllle fuumlr jedes Element l e
l e = 01 CB10
Anfaumllligkeit fuumlr gefahr-brinshygende Ausfaumllle fuumlr jedes Element lDe
lDe = l e x - Anteil der gefahrbringenshyden Ausfaumllle
DC 99 Nicht relevant
CCF-Faktor b Angenommener schlimmster Fall 10
T1 min (Lebensdauer B10dC) T1 = B10DC (1000000020 )8
= 87600 (1000000073 )8 = 171232
Diagnose-Testintervall T2 Jede Anforderung dh 8 x pro Stunde = 18 = 0125 Std
Nicht relevant
Anfaumllligkeit fuumlr gefahrshybringende Ausfaumllle fuumlr jedes Teilsystem
Formel fuumlr Architektur B
Formel fuumlr Architektur D
lDssB = (1 ndash 09)2 x lDe1 x lDe2 x T 1 + b x (lDe1 + lDe2 )2lDssB =(1 ndash b)2 x lDe1 x lDe2 x
T 1 + b x (lDe1 + lDe2 )2 lDssD = (1 ndash b)2 [ lDe2 x 2
x DC ] x T22 + [ lDe2 x (1 ndash DC) ] x T1 + b x lDe
CCF-Faktor = Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache
4
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
51
Fuumlr die Ausgangsschuumltze in Teilsystem SS3 muss der PFHd-Wert berechnet werden Bei Architektur B (Einfehlertoleranz ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet
l =(1 ndash b)2 x l x l x T + bx (l + l )2DssB De1 De2 1 De1 De2
[Gleichung B der Norm]
PFHDssB = lDssB x 1h
In diesem Beispiel b = 01 l = l = 073 (01 x C1000000) = 073(081000000) = 584 x 10-7
De1 De2
T1 = min( Lebensdauer B10DC) = min (175200 171232) = 171232 Stunden Lebensdauer 20 Jahre mindestens 175200 Stunden
lDssB = (1 ndash 01)2 x 584 x 10-7 x 584 x 10-7 x 171232 + 01 x ((584 x 10-7) + (584 x 10-7 ))2
= 081 x 584 x 10-7 x 584 x 10-7 x 171 232 + 01 x 584 x 10-7
= 081x 341056 x 10-13 x 171 232 + 01 x 584 x 10-7
= (3453 x 10-8) + (584 x 10-8) = 106 x 10-7
Da PFHDssB = l x 1h PFH fuumlr die Schuumltze in Teilsystem SS3 = 106 x 10-7 DssB D
Fuumlr die Eingangsendlagenschalter in Teilsystem SS1 muss der PFHD-Wert berechnet werden Fuumlr Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt Bei dieser Architektur fuumlhrt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF
T2 Diagnose-Testintervall T1 Proof-Testintervall oder die Lebensdauer wenn dieser Wert geringer ist b Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache l = l + l wobei l die RateD DD DU DD
der erkennbaren gefahrbringenden Ausfaumllle ist und lDU die Rate der nicht erkennbaren gefahrbringenden Ausfaumllle
lDD = lD x DC lDU = lD x (1 ndash DC) Fuumlr Teilsystemelemente mit gleicher Gestaltung gilt lDe Anfaumllligkeit fuumlr gefahrbringende Ausfaumllle jedes Teilsystemelements DC Diagnose-Deckungsgrad eines Teilsystemelements
l = (1 ndash b)2 [ l 2 x 2 x DC ] x T 2 + [l 2 x (1 ndash DC) ] x T + b x lDssD De 2 De 1 De
50
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
50
D2 der Norm PFH = l x 1hDssD DssD
l e= 01 x C B10 = 01 x 810000000 = 8 x 10-8
lDe = l e x 02 = 16 x 10-8
DC = 99 b = 10 (im schlimmsten Fall) T1 = min (Lebensdauer B10DC) = min[87600(1000000020)] = 87600 Stunden T2 = 1C = 18 = 0125 Std Lebensdauer 10 Jahre mindestens 87600 Stunden
Aus D2 lDssD = (1 ndash 01)2 [ 16 x 10-8 x 16 x 10-8 x 2 x 099 ] x 0125 2 + [16 x 10-8 x 16 x 10-8 x (1 ndash 099) ] x 87600 + 01 x 16 x 10-8
= 081 x [50688 x 10-16] x 00625 + [256 x 10-16 x(001)] x 87600 + 16 x 10-9
= 081 x 3168 x 10-17 + [256 x 10-18] x 87600 + 16 x 10-9
= 182 10-13
= 16 x 10-9
Da PFH = l x 1 Std ist PFHD fuumlr die Entlagenschalter in Teilsystem SS1 = 163 x 10-9 DssD DssD
Wir wissen bereits dass bei Teilsystem SB2 der PFHD-Wert des Funktionsblocks Logik (realishysiert durch das Sicherheitsrelais XPSAK) 7389 x 10-9 ist (Herstellerdaten) Der Gesamt-PFHD-Wert des sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ist die Summe der PFHD-Werte aller Funktionsbloumlcke und wird daher wie folgt berechnet PFH = PFH + PFH + PFH = 16 10-9 + 7389 10-9 + 106 10-7
DSRECS DSS1 DSS2 DSS3
= 115 x 10-7
Der Wert liegt somit laut unten aufgefuumlhrter Tabelle der Norm innerhalb der Grenzwerte fuumlr SIL 2
Sicherheits- Wahrscheinlichkeit eines gefahr-Integritaumltslevel bringenden Ausfalls pro Stunde PFHD
3 gt10-8 bis lt10-7
2 gt10-7 bis lt10-6
1 gt10-6 bis lt10-5
Beachten Sie dass durch Verwendung von Schuumltzen mit Spiegelkontakten Architektur D fuumlr die Antriebssteuerungsfunktion gilt (redundant mit Ruumlckshymeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt
Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrshyscheinlichkeit einer Sicherheitsfunktion erreicht ganz im Sinne des ALARP-Prinzips das besagt dass Risiken auf ein Maszlig reduziert werden muumlssen welches den houmlchsten Grad an Sicherheit garantiert der vernuumlnftigerweise praktikabel ist LC1D TeSys Schuumltze mit
Spiegelkontakten
51
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5
Berechnungsbeispiel nach Norm EN ISO 184-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 General principles for design
Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden
SCHRITT 1 Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen
SCHRITT 2 Bestimmen Sie den erforderlichen Performance Level (PLr) fuumlr jede Sicherheitsfunktion
SCHRITT 3 Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest die die Sicherheitsfunktion ausfuumlhren
SCHRITT 4 Legen Sie das Performance Level PL fuumlr alle sicherheitsbezogenen Teile fest
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des SRPCS der Sicherheitsfunktion mindestens dem PLr-Wert gleicht
SCHRITT 6 Validieren Sie dass alle Anforderungen erfuumlllt sind (siehe EN ISO 13849-2)
Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO
13849-1)
Fuumlr weitere Informationen siehe Anhang dieser Anleitung SCHRITT 1 Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion bei der die
Energiezufuhr zum Motorantrieb getrennt wird wenn die Schutzeinrichtung geoumlffnet wird
SCHRITT 2 Unter Verwendung des bdquoRisikographenrdquo in Abbildung A1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel kann das benoumltigte Performance Level d bestimmt werden (Hinweis PL=d wir oft als bdquoaumlquivalentrdquo zu SIL 2 bezeichnet)
H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem
L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem
S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel einschlieszliglich Tod)
F = Haumlufigkeit undoder Dauer der Gefaumlhrdungsexposition F1 = selten bis oumlfter undoder kurze Gefaumlhrdungsexposition F2 = haumlufig bis dauernd undoder lange Gefaumlhrdungsexposition
P = Moumlglichkeit der Vermeidung der Gefaumlhrdung oder Begrenzung des Schadens P1 = moumlglich unter bestimmten Bedingungen P2 = kaum moumlglich
5
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5
SCHRITT 3 Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel fuumlr EN IEC 62061 dh Architektur der Kategorie 3 ohne Ruumlckmeldung
Eingang Logik Ausgang
Sicherheitsschalter 1 SW1
Sicherheitsschalter 2 SW2
Schuumltz 1 CON1
Schuumltz 2 CON2
Sicherheitsrelais XPS
SRPCSa SRPCSb SRPCSc
SCHRITT 4 Der PL-Wert des SRPCS wird durch Einschaumltzung der folgenden Parameter bestimmt (s Anhang 2)
- Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1) Beachten Sie dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet dass Schuumltze ohne Spiegelkontakte verwendet werden
- Der MTTFd-Wert der einzelnen Komponenten (siehe Anhaumlnge C und D der EN ISO 13849-1)
- Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1)
- Die Ausfaumllle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1)
Folgende Herstellerdaten liegen fuumlr die Komponenten vor
Beispiel-SRPCS B10 (Arbeitszyklen) MTTFd (Jahre) DC
Sicherheits-Positionsschalter 10000000 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 0
Beachten Sie dass der Hersteller nur B10 oder B10d-Daten fuumlr die elektromechanischen Komponenten angeben kann da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt Das erklaumlrt warum ein Hersteller keinen MTTFd-Wert fuumlr ein elektromechanisches Geraumlt bereitstellen kann
5
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5555
Der MTTFd-Wert der Komponenten kann mit folgender Formel berechnet werden
MTTFd = B10d (01 x nop)
Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr
B10 Anzahl der Arbeitszyklen bis 10 der Komponenten ausgefallen sind B10d Erwartete Zeit bis zu der 10 der Komponenten gefahrbringend ausgefallen Ohne genaues Wissen uumlber
die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt wird ein Prozentsatz von 20 eines gefahrbringenden Ausfalls fuumlr einen Sicherheitsschalter festgelegt und daher B10d = B1020 Beim Schuumltz betraumlgt der Prozentsatz 73 und daher B10d = B1073 Angenommen die Maschine ist pro Tag 8 Stunden in Betrieb an 220 Tagen pro Jahr mit einer Zykluszeit von 120 Sekunden wie zuvor dann betraumlgt nop = 52800 Arbeitszyklen pro Jahr
Uumlbersicht der Werte
Beispiel B10 B10d MTTFd (Jahre) DCSRPCS (Arbeitszyklen)
Sicherheits-Positionsschalter 10000000 50000000 9469 99 Sicherheitsrelais XPSAK 1545 99 Schuumltze 1000000 1369863 259 0
Der fettgedruckte rote MTTFd-Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt
Mit Hilfe der sogenannten Parts-Count-Methode die in Anhang D der Norm beschrieben wird kann der MTTFd shyWert fuumlr jeden Kanal ermittelt werden
SW1 MTTFd = 46 a
SW MTTFd = 46 a
XPS
MTTFd = 1545 a
CON1 MTTFd = 5 a
CON MTTFd = 5 a
Kanal 1
Kanal
In diesem Beispiel ist die Berechnung fuumlr die Kanaumlle 1 und 2 identisch
1 1 1 1 1 = + + =
MTTFd 9469 Jahre 1545 Jahre 259 Jahre 9585 Jahre
Der MTTFd-Wert fuumlr jeden Kanal ist daher 95 Jahre laut Tabelle 3 der Norm ist dieser Wert bdquohochrdquo
5454
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5454
Aus den Gleichungen in Anhang E der Norm koumlnnen wir den DCavg der Schaltung berechnen
Der DC-Wert wird fuumlr jede Maszlignahme einzeln ermittelt und nach folgender Formel errechnet
DC DC DCS1 S2 SRP+ + hellip +MTTF MTTF MTTFdS1 dS2 dSRPDC avg =
1 1 1 + + hellip +
MTTF MTTF MTTFdS1 dS2 dSRP
099 099 099 099 0 0 + + + + +
9469 9469 1545 1545 295 259 DC avg = = 0624 = gt 624
1 1 1 1 1 1+ + + + +
9469 9469 1545 1545 295 295
Dieses Ergebnis entspricht einem DCavg von niedrig
Fuumlr die Ausfaumllle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabe-verfahren fuumlr Schaltungen ab Kategorie 2 vorgesehen Anhand von durchgefuumlhrten Maszlignahmen werden die Antworten mit vorgegebenen Punkten bewertet Ziel ist es von 100 moumlglichen Punkten mindestens 65 Punkte zu erreichen Dann sind die Anforderungen erfuumlllt
Sollten die 65 Punkte nicht erreicht werden so ist das Verfahren gescheitert und es muumlssen zusaumltzliche Maszlignahmen ergriffen werden
Anhand folgender (vereinfachter) Tabelle ergeben sich fuumlr das Beispiel folgende Werte
Moumlglich Beispiel
Physikalische Trennung zwischen Signalpfaden zB Trennung der Verdrahtung Luftstrecken 15 15
Unterschiedliche Technologien Gestaltung oder physikalische Prinzipien 20 Schutz gegen Uumlberspannung Uumlberstrom hellip 15 15 bdquoBewaumlhrte Bauteilerdquo 5 5 Ausfallanalyse Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunitaumlt gepruumlft 25 25 Umweltbedingungen (Temperatur Feuchte hellip) 10 10 Summe 100 75
In diesem Beispiel ergeben sich daher 75 Punkte wodurch die Abschaumltzung des CCF ein positives Ergebnis bringt
Wichtig ist die Tatsache dass pro Maszlignahme nur die jeweils volle Punktezahl vergeben werden kann ndash oder uumlberhaupt keine Punkte
5555
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
55MF
SCHRITT 5 Stellen Sie sicher dass der PL-Wert des Systems mindestens dem erforderlichen PL (PLr)-Wert gleicht
Da wir in unserem Beispiel eine Architektur der Kategorie 3 einen hohen MTTF-Wertd und einen niedrigen durchshyschnittlichen Diagnose-Deckungsgrad (DCavg) haben kann der unten aufgefuumlhrten Grafik (Bild 5 der Norm) entshynommen werden dass PL = d und damit der erforderliche Wert von PLr = d erreicht wurde Die Zielsetzung ist damit erfuumlllt
Wie beim Berechnungsbeispiel nach EN IEC 62061 muumlssen die Spiegelkontakte der beiden Schuumltze nur mit dem Ruumlckfuumlhrkreis des Sicherheitsrelais verbunden werden damit eine Architektur der Kategorie 4 erreicht wird Bei der Berechnung aumlndert sich der MTTFd-Wert des Systems nicht Durch Verwendung des Ruumlckfuumlhrkreises wird fuumlr die Schuumltze ein Diagnose-Deckungsgrad von DC = 99 festgesetzt Es ergibt sich ein DCavg = 99 welches einem Wert von hoch entspricht Der PL-Wert erhoumlht sich damit von d auf e Damit liegt der erreichte PL houmlher als der geforderte PLr und die Zielsetzung ist damit ebenfalls erfuumlllt
Perf
orm
ance
Lev
el bdquoE
N IS
O 1
84-
1rdquo
a
b
c
d
e
1
1
Sich
erhe
its-In
tegr
itaumlts
leve
l bdquoEN
IEC
606
1rdquo
Kat B DCav = 0
Kat 1 DCav = 0
Kat DCav = niedrig
Kat DCav = mittel
Kat DCav = niedrig
Kat DCav = mittel
Kat 4 DCav = hoch
Houmlhe der Sicherheitskategorie EN ISO 184-1
MTTFd jedes einzelnen Kanals = niedrig MTTFd jedes einzelnen Kanals = mittel MTTFd jedes einzelnen Kanals = hoch
SCHRITT 6 Validierung ndash Uumlberpruumlfen Sie die Funktionalitaumlt und fuumlhren Sie gegebenenfalls Tests durch (EN ISO 13849-2)
5656
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
5656 55
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
555
Software-Assistent SISTEMA
585858
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
585858
Software-Assistent SISTEMA Saumlmtliche Berechnungen gemaumlszlig EN ISO 13849-1 koumlnnen mit dem Taschenrechner oder mit Tabellenkalkulationsshyprogrammen durchgefuumlhrt werden Dazu sind die Formeln der Normen entsprechend anzuwenden
Eine weitere und elegantere Moumlglichkeit ist der Software-Assistent SISTEMA des IFA (Institut fuumlr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung ndash vormals BGIA) Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1 Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlaumlssigkeitswert einschlieszliglich des erreichten Performance Level (PL)
Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden Um mit den Bauteilwerten direkt die Berechnungen durchfuumlhren zu koumlnnen stellt Schneider Electric fuumlr diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfuumlgung Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden Somit muumlssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden sondern koumlnnen nach Laden der Bibliothek direkt ausgewaumlhlt werden
Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen)
Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1
SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten
555
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
616161
Zertifizierte Sicherheitsloumlsungen
606060
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
606060
Zertifizierte Sicherheitsloumlsungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstuumltzung unserer bdquoSicherheitsloumlsungenldquo
Schneider Electric ermoumlglicht es Ihnen durch die Verwendung unserer zertifizierten Sicherheitsloumlsungen Ihre Maschine an die neuen Sicherheitsnormen anzupassen
Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenshyarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion welche ein bewaumlhrtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus Dies fuumlhrt zu Einsparungen von Zeit und Kosten fuumlr die Ausstellung eines Maschinenzertifikats gemaumlszlig der neuen Europaumlische Maschinenrichtlinie indem es als ergaumlnzende Dokumentation beigefuumlgt wird
Es besteht aus
- einem Loumlsungsvorschlag welcher das Sicherheitsniveau (Performance Level ndash PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level ndash SIL) angibt
- einer Materialliste und der Systembeschreibung
- einem Berechnungsbeispiel des PL und SIL fuumlr die Sicherheitsfunktion
- einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes
- einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsshystelle
Ein menuumlgesteuerter Assistent fuumlhrt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an moumlglichen Sicherheitsloumlsungen Diese werden Ihnen kurz vorgestellt Daruumlber hinaus koumlnnen Sie das entsprechende Dokument fuumlr jedes Beispiel als PDF erhalten
Bei der Berechnung der Zuverlaumlssigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausshygegangen Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen dann muumlssen die Berechnungen neu durchgefuumlhrt werden da das vorgegebene Ergebnis nicht verwendbar ist Um Ihnen die Berechnungen so einfach wie moumlglich zu gestalten sind alle Beispiele fuumlr den Software-Assistenten SISTEMA als Projekt verfuumlgbar Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen) modifizieren Sie die Betriebsbedingungen fuumlr Ihr anzuwendendes Beispiel und der Software-Assistent SISTEMA fuumlhrt eine Neuberechnung durch
Die Dokumentation ist fuumlr den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden Bei Uumlbersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen
Assistent zur Auswahl der passenden Sicherheitsloumlsung
616161
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
- -
--
66
Zertifizierte Sicherheitsloumlsungen von Schneider Electric Sichere Anlaufsperre (PL c SIL 1) Lichtvorhang (PL c SIL 1)
Stopp Kategorie 0 (PL d SIL 2) Stopp Kategorie 1 - Frequenzumrichter (PL d SIL 2)
Sicherheits Schaltmatten (PL d SIL 2)Stopp Kategorie 1- Servoregler (PL e SIL 3)
66
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
-
-
66
Codierte Magnet Sicherheitsschalter (PL e SIL 3) Stillstandserkennung (PL e SIL 3)
Multifunktional (PL e SIL 3) AS Interface (PL e SIL 3)
Gepruumlfte Sicherheit
Sicherheitsloumlsungen zum Erreichen des geforderten Sicherheitslevels
Zertifizierte Sicherheitsloumlsungen als Projekte in SISTEMA
66
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
656565
Service und Schulungen
646464
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
646464
Service Sicherheitstechnik Profitieren Sie von unserem Serviceangebot
Ein zentraler Punkt zieht sich durch den gesamten Lebenszyklus einer Maschine Sicherheit
In den jeweiligen Phasen wie Planung Konstruktion Transport Betriebsphase oder Demontage werden untershyschiedliche Anforderungen an die Sicherheit gestellt Diese Anforderungen muumlssen erkannt und entsprechend beruumlcksichtigt werden
Durch unsere Serviceleistungen zur Sicherheitstechnik profitieren Sie von den langjaumlhrigen Erfahrungen unserer Mitarbeiter und koumlnnen sicher sein dass Ihre Maschine den Anforderungen der Normen und Richtlinien entspricht
Unser Angebot umfasst
- Risikoanalysen und Risikobewertungen - Engineering (Unterstuumltzung bei Planung Konstruktion Software und Hardware) - Regelmaumlszligige Pruumlfungen (ggf Servicevertraumlge) - Pressenabnahmen gemaumlszlig BetrSichV sect10 und BGR500 Teil 23 - Reparaturen und Wartungen von Pressensteuerungen - Pressenmodernisierungen - Nachlaufwegmessungen - Reparatur und Wartung von sicherheitsrelevanten Steuerungen
Ihre Vorteile durch unsere Serviceleistungen
- Einhaltung des aktuellen Standes der Normen und Richtlinien - Entlastung Ihrer Mitarbeiter - Schnelle Abwicklung vor Ort - Inanspruchnahme unseres Fachwissens bereits bei Planung und Konstruktion erspart spaumltere und damit meist
kostenintensive Nachbesserungen - Bei Durchfuumlhrung einer Risikobewertung erhalten Sie die notwendige Dokumentation zur Erlangung des
e-Kennzeichens - Sie koumlnnen sicher sein dass Ihre Maschine den Forderungen der aktuellen Normen und Richtlinien entspricht
Alle Dokumentationen und Schritte die wir durchfuumlhren werden Ihnen erlaumlutert Bei einer aktiven Begleitung unserer Arbeit versetzen wir Sie in die Lage z B weitere Risikobewertungen zukuumlnftig auch selbstaumlndig durchzufuumlhren
Gerne stellen wir Ihnen unser Angebot ausfuumlhrlich dar ndash bitte setzen Sie sich dazu mit uns in Verbindung
Schulungen zur Sicherheitstechnik Unser Wissen fuumlr Ihren Erfolg
Fachwissen ist in der Sicherheitstechnik ein wesentliches Element fuumlr die Konstruktion und das Betreiben von Maschinen
Daher ist es unerlaumlsslich die betreffenden Mitarbeiter auf dem aktuellen Stand von Technik und Normen zu halten Mit dem Schulungsangebot von Schneider Electric werden Ihnen die Themen rund um die Sicherheitstechnik durch Mitarbeiter mit langjaumlhrigen Erfahrungen praxisorientierten vermittelt Damit erfolgt neben der Vermittlung der theoretischen Kenntnissen direkt ein Bruumlckenschlag zur angewandten Praxis
Neben dem bestehenden Schulungsangebot zu den veroumlffentlichten festen Terminen bieten wir fuumlr geschlossene Benutzergruppen auch die Moumlglichkeit von individuellen Veranstaltungen zu definierten Themen
Haben Sie Interesse Dann finden Sie unser Angebot im Internet oder sprechen Sie uns einfach an
656565
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
6
Informations- quellen
66
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
66
Richtlinien und Normen Europaumlische Maschinenrichtlinie 200642EG
EN ISO 12100-1 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 1 Grundsaumltzliche Terminologie Methodologie
EN ISO 12100-2 Sicherheit von Maschinen ndash Grundbegriffe Allgemeine Gestaltungsleitsaumltze - Teil 2 Technische Leitsaumltze
EN ISO 14121-1 Sicherheit von Maschinen ndash Risikobeurteilung - Teil 1 Leitsaumltze
PD 5304 2005 Leitfaden zum sicheren Umgang mit Maschinen
EN 60204 Sicherheit von Maschinen Elektrische Ausruumlstung von Maschinen Allgemeine Anforderungen
EN 13850 Sicherheit von Maschinen Not-Halt Gestaltungsleitsaumltze
EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme
EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischerelektronischerprogrammierbarer elektronischer Systeme
EN ISO 13849-1 Sicherheit von Maschinen ndash Sicherheitsbezogene Teile von Steuerungen ndash Teil 1 Allgemeine Gestaltungsleitsaumltze
Schneider Electric-Unterlagen Schneider Electric Katalog bdquoPreventa Sicherheitsloumlsungenrdquo Best-Nr ZXKSI
Schneider Electric-Homepage wwwoemschneider-electriccom
Deutschland wwwschneider-electricde Oumlsterreich wwwschneider-electricat Schweiz wwwschneider-electricch
Informationen zur Maschinensicherheit Nationale Internetseite aufrufen
- Ihr Business - Maschinenhersteller (OEMs) - Maschinensicherheit
Hier haben Sie Zugriff auf den Software-Assistenten SISTEMA die Bauteilbibliothek und die zertifizierten Sicherheitsloumlsungen
Schulungsangebot Schneider Electric Nationale Internetseite aufrufen
- Produkte und Service - Training
6
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
6
Anhaumlnge ndash Architekturen
68
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
68
Anhang 1
Architekturen der EN IEC 6061 Architektur A Nullfehlertoleranz ohne Diagnosefunktion
Wobei lDedie Rate der gefahrbringenden Ausfaumllle eines Elementes ist
l = l + + lDSSA DE1 Den
PFH = l bull 1hDSSA DSSA
Architektur A Teilsystemelement 1
lDe1
Teilsystemelement 1 lDen
Logische Darstellung des Teilsystems
Architektur B Einfehlertoleranz ohne Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
(Erhaumlltlich entweder vom Anbieter oder durch Berechnung mit der Formel fuumlr elektromechanische Produkte T1 = B10C)
b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (bkann aus der Tabelle F1 der EN IEC 62061 ermittelt werden)
l = (1 - b)2 bull l bull l bull T + bbull (l + l )2DSSB De1 De2 1 De1 De2
PFH = l bull 1hDSSB DSSB
Architektur B Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
6
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
1
Architektur C Nullfehlertoleranz mit Diagnosefunktion Wobei DC ist der Diagnose-Deckungsgrad = SlDDlD
lDD die Rate der erkannten gefahrbringenden Ausfaumllle ist und lD die Rate der gesamten gefahrbringenden Ausfaumllle Der Diagnose-Deckungsgrad (DC) haumlngt von der Wirksamkeit der im Teilsystem verwendeten Diagnosefunktion ab
l = l bull (1 - DC ) + + l bull (1 - DC )DSSC De1 1 Den n
PFH = l bull 1hDSSC DSSC
Diagnosefunktion(en)
Architektur C Teilsystemelement 1
lDe1
Teilsystemelement n lDen
Logische Darstellung des Teilsystems
Architektur D Einfehlertoleranz mit Diagnosefunktion Wobei T1 das Proof-Testintervall oder die Lebensdauer ist wenn diese geringer ist
T2 ist das Diagnose-Testintervall (der Wert muss mindestens gleich der Zeit zwischen den Anforderungen der Sicherheitsfunktion sein) b ist die Anfaumllligkeit fuumlr Ausfaumllle infolge gemeinsamer Ursache (Kann aus der Tabelle in Anhang F der EN IEC 62061 ermittelt werden) DC ist der Diagnose-Deckungsgrad = SlDDlD
(lDD ist die Rate der erkannten gefahrbringenden Ausfaumllle und lD die Rate der gesamten gefahrbringenden Ausfaumllle)
Diagnosefunktion(en)
Architektur D Teilsystemelement 1
lDe1
Ausfaumllle infolge gemeinsamer Ursache
Teilsystemelement 2 lDe2
Logische Darstellung des Teilsystems
0
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
0
Architektur D Einfehlertoleranz mit Diagnosefunktion
Bei Teilsystemelementen mit unterschiedlicher Gestaltung lDe1 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 DC1 = Diagnose-Deckungsgrad des
Teilsystemelements 1 lDe2 = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 2 DC2 = Diagnose-Deckungsgrad des
Teilsystemelements 2
l = (1-b)2 [l bull l (DC + DC )]bullT 2 + [l bull l bull(2-DC -DC )]bullT 2+bbull (l + l )2DSSD De1 De2 1 2 2 De1 De2 1 2 1 De1 De2
PFH = l bull 1hDSSD DSSD
Bei Teilsystemelementen mit gleicher Gestaltung lDe = Rate der gefahrbringenden Ausfaumllle des Teilsystemelements 1 oder 2 DC = Diagnose-Deckungsgrad des
Teilsystemelements 1 oder 2
l = (1-b)2 [l 2 bull 2 bull DC] T 2 + [l 2 bull (1-DC)] bull T + bbull lDSSD De 2 De 1 De
PFH = l bull 1hDSSD DSSD
Anhang Kategorien der EN ISO 184-1
Kategorie Beschreibung Beispiel
Kategorie B
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren
Eingang AusgangLogik i m
i m
Kategorie 1
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion fuumlhren aber der MTTFd jedes Kanals der Kategorie 1 ist houmlher als in Kategorie B Die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion ist somit geringer
Eingang AusgangLogik i m
i m
Kategorie
Bei Kategorie 2 kann das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion zwischen den Pruumlfabstaumlnden fuumlhren der Verlust der Sicherheitsfunktion wird durch die Pruumlfung erkannt
Eingang AusgangLogik i m
i m
Test Ausgang
Pruumlfeinrichshytung
i m
Kategorie
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 3 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt Wenn in angemessener Weise durchfuumlhrbar soll der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt werden
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
Kategorie 4
Sicherheitsbezogene Teile von Steuerungssystemen der Kategorie 4 muumlssen so gestaltet sein dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion fuumlhrt und der einzelne Fehler bei oder vor der naumlchsten Anforderung an die Sicherheitsfunktion erkannt wird dh sofort beim Einschalten am Ende eines Arbeitszykluses Ist dies nicht moumlglich darf eine Anhaumlufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion fuumlhren
Eingang 1
Eingang 2
Ausgang 1Logik 1 i m
i m
Ausgang 2Logik 2 i m
i m
m
m Kreuzweise Uumlberwachung
1
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Schneider Electric Schneider Electric Schneider Electric GmbH Austria GesmbH (Schweiz) AG
Gothaer Straszlige 29 Biroacutestraszlige 11 Schermenwaldstrasse 11 D-40880 Ratingen Tel +49 (0) 180 5 75 35 75 Fax +49 (0) 180 5 75 45 75
A-1239 Wien Tel (43) 1 610 54 - 0 Fax (43) 1 610 54 - 54
CH-3063 Ittigen Tel (41) 31 917 33 33 Fax (41) 31 917 33 66
wwwschneider-electricde wwwschneider-electricat wwwschneider-electricch 014 euroMin aus dem Festnetz Mobilfunk max 042euro
E-Mail-Adressen
Schneider Electric Deutschland de-schneider-servicedeschneider-electriccom Schneider Electric Oumlsterreich officeatschneider-electriccom Schneider Electric Schweiz infochschneider-electriccom
Handbuch Sicherheitstechnik ZXHBSI02 September 2010
Saumlmtliche Angaben in diesem Handbuch zu unseren Produkten Normen und Richtlinien dienen lediglich der Produktbeschreishybung und sind rechtlich unverbindlich Druckfehler Irrtuumlmer und Aumlnderungen bei dem Produktfortschritt dienenden Aumlnderungen auch ohne vorherige Ankuumlndigung bleiben vorbehalten Soweit Angaben dieses Handbuchs ausdruumlcklicher Bestandteil eines mit der Schneider Electric abgeschlossenen Vertrags wershyden dienen die vertraglich in Bezug genommenen Angaben dieses Handbuchs ausschlieszliglich der Festlegung der ver- einbarten Beschaffenheit des Vertragsgegenstands im Sinne des sect 434 BGB und begruumlnden keine daruumlber hinausgehende Beshyschaffenheitsgarantie im Sinne der gesetzlichen Bestimmungen
copy Alle Rechte bleiben vorbehalten Layout Ausstattung Logos Texte Graphiken und Bilder dieses Handbuchs sind urhebershyrechtlich geschuumltzt
Die Allgemeinen Geschaumlfts- und Lieferbedingungen finden Sie auf der Homepage des jeweiligen Landes
09-10
ZX
HB
SI0
2 0
9-10
NU
R P
DF
copy 2
010
Sch
neid
er E
lect
ric G
mb
H A
ll rig
hts
rese
rved
Recommended