Ist der Einsatz von Standardsensoren in Sicherheitsfunktionen möglich? oder Wie gut ist ein guter MTTFd-Wert?
Größe: px
Ab Seite anzeigen:

Download "Ist der Einsatz von Standardsensoren in Sicherheitsfunktionen möglich? oder Wie gut ist ein guter MTTFd-Wert?"

Transkript

1 SICK AG Postfach Waldkirch Deutschland Waldkirch, 27. Sept Ist der Einsatz von Standardsensoren in Sicherheitsfunktionen möglich? oder Wie gut ist ein guter MTTFd-Wert? Sehr geehrte Damen und Herren, nach Erscheinen der neuen Sicherheitsnormen EN ISO und EN wird verstärkt die Verwendung von Standardsensoren für Sicherheitsfunktionen von den Maschinenherstellern angefragt. Von den Bauteilherstellern wie SICK wird in der Regel nur der MTTFd bzw. MTTF-Wert zur Verfügung gestellt. Ist dieser Wert allein für den Einsatz ausreichend und dürfen Standardbauteile überhaupt für Sicherheitsfunktionen verwendet werden? Warum geben die Bauteilhersteller für Standardbauteile z.b. keinen Performance Level oder Safety Integrity Level an? Dieser Artikel soll Antwort auf diese Fragen und Einblick in prinzipielle Aspekte der Verwendung von Standardsensoren für Sicherheitsfunktionen geben. Anhand von zwei Applikationsbeispielen wird der Unterschied des Einsatzes von Standard- und Sicherheitsbauteilen erläutert. Mit freundlichen Grüßen i.v. Hans-Jörg Stubenrauch Manager Safety Solutions SICK AG Otto Görnemann Manager Safety Regulations SICK AG

2 Ist der Einsatz von Standardbauteilen in Anwendungen der Maschinensicherheit möglich? Im Prinzip - ja. Mit den neuen Sicherheitsnormen EN ISO und EN ergibt sich einerseits eine höhere Flexibilität für den Maschinenhersteller und damit auch die Möglichkeit Materialkosten durch den Einsatz von Standardbauteilen in den Sicherheitskreisen zu sparen. Andererseits wird der Anspruch an den Konstrukteur erhöht, die Zulässigkeit und Auswirkung der Optimierungsmaßnahme zu bewerten. In diesem Zusammenhang spielt u.a. der Zuverlässigkeitswert MTTF (Mean time to failure) eine Rolle. Dieser Wert wird zunehmend von den Maschinenherstellern für Standardbauteile angefordert, um diese Bauteile für Sicherheitsfunktionen einzusetzen. Der MTTF-Wert ist allerdings nur ein Teil der Daten und Maßnahmen, die für Sicherheitsfunktionen berücksichtigt werden müssen. Was ist bei der Umsetzung von Sicherheitsfunktionen entsprechend den neuen Sicherheitsnormen EN ISO und EN zu beachten? Im Überblick können folgende Kriterien benannt werden: die Hardware- und Softwarestruktur die sicherheitstechnische Zuverlässigkeit der Bauteile der Wirksamkeit der Fehlerdetektionsmechanismen die Maßnahmen gegen Ausfälle gemeinsamer Ursache der Gestaltungsprozess der Hard- und Software die Eignung für die Belastung im Betrieb und für die Umgebungsbedingungen PL EN ISO Bild 1: Die Säulen zur Bestimmung des Sicherheitsniveaus eines Subsystems gemäß EN ISO Waldkirch, 27 Sept Seite 2 von 17

3 Zur Berechnung und Bewertung einer Sicherheitsfunktion werden sogenannte Subsysteme (z.b. Sicherheits-Lichtvorhänge oder Sicherheits-Steuerungen) gebildet (siehe Bild 2). Bild 2: Subsysteme in einer Sicherheitskette Für diese Subsysteme wird der Performance Level PL nach EN ISO oder der Safety Integrity Level SIL nach EN bestimmt. Für die Fehleraufdeckung bestimmter diskreter Bauteile in der sicherheitsbezogenen Steuerungskette - beispielsweise Schaltschütze, Standardventile oder elektromechnische Schalter (Verriegelungen) - werden zusätzliche Maßnahmen durch die übergeordnete Steuerung notwendig. Für Teilsysteme mit Optosensorik sind, zusätzlich zu den Aspekten der funktionalen Sicherheit, unbedingt die optischen Charakteristiken, die das erforderliche Detektionsvermögen bestimmen, zu berücksichtigen. Diese Charakteristiken sind unterschiedlich je nachdem, ob die Sicherheitsfunktion die Detektion von Personen oder Objekten erforderlich macht. Tabelle 1 auf Seite 13 zeigt zusätzliche optische Charakteristiken bei der Detektion von Personen. Welche Rolle spielt der MTTFd? Der MTTFd ist der Erwartungswert der mittleren Zeit bis zum Gefahr bringenden Ausfall in Jahren. Er ist ein statistischer Wert, der durch Lebensdauerversuche oder Zuverlässigkeitsprognosen anhand von Ausfallwahrscheinlichkeiten der verwendeten Bauteile ermittelt wird. Der MTTFd hat nichts mit der garantierten Lebensdauer, oder der ausfallfreien Zeit zu tun. Ein Gefahr bringender Ausfall einer beliebigen Komponente im sicherheitsbezogenen Teil der Steuerung kann dazu führen, dass eine Sicherheitsfunktion nicht wie gewünscht ausgeführt wird und eine potenzielle Gefährdung für das Bedienungspersonal bestehen bleibt. Der Effekt kann beispielsweise sein, dass eine Maschine beim Öffnen der Schutztür nicht anhält. Der MTTFd ist nur ein Teilaspekt, der die Güte der verwendeten Bauteile berücksichtigt. Bauteile, für die nur ein MTTFd- bzw. B 10d - Wert vorliegt und die den grundlegenden Sicherheitsprinzipien genügen (siehe Kasten Erläuterungen auf S. 4), können als Elemente in Subsystemen berücksichtigt werden (z.b. die Schaltschütze im Bild 2). Welche Kriterien müssen zusätzlich berücksichtigt werden? Um eine Sicherheitsfunktion, für die Standardbauteile verwendet werden, vollständig und korrekt bewerten zu können und somit mögliche Gefahr bringende Fehler zu beherrschen, sind durch den Anwender zusätzlich folgende Punkte zwingend zu berücksichtigen: die Struktur der Hardware (Kategorie) und der Software die Angabe zur Systemfähigkeit, interne Fehler aufzudecken bzw. zu erkennen (Diagnosedeckungsgrad DC) der Nachweis über getroffene Maßnahmen zur Vermeidung von Fehlern gemeinsamer Ursache (CCF) in der Anwendung der Gestaltungsprozess die Einsatzbedingungen und die systematischen Ausfälle (siehe Kasten Erläuterungen). Waldkirch, 27 Sept Seite 3 von 17

4 Bekannt aus der EN sind z.b. die strukturellen Maßnahmen als Kategorien (ebenfalls in der EN ISO enthalten). Zusätzlich zu den strukturellen Kriterien wird in den neuen Normen der Diagnose und den Fehlervermeidungsmaßnahmen ein erheblicher Einfluß eingeräumt. Die weiteren Ausführungen konzentrieren sich auf die EN ISO mit dem Performance Level PL, gelten aber analog für die Anwendung der EN Erläuterungen Die Einhaltung von grundlegenden Sicherheitsprinzipien ist Voraussetzung für Sicherheitsfunktionen ab Kategorie B. Sie berücksichtigen seitens des Bauteilherstellers die anerkannten Regeln der Technik, die z.b. in Produktnormen beschrieben sind (Umgebungsbedingungen, Wirkprinzipien, ). Bei Entwicklung und Produktion wurden Maßnahmen zur Beherrschung der systematischen Fehler getroffen. Seitens des Anwenders sind u.a. die Einhaltung der spezifizierten Daten und die geeignete Befestigung zu beachten (siehe EN ISO , Abschnitte A.2, B.2, C.2 D.2). Ein Bauteil ist so auszuwählen, dass es unter allen zu erwartenden Einsatzbedingungen und Umgebungseinflüssen (z.b. Temperatur, Feuchte, Schwingungen, elektromagnetische Einflüsse, optische Störgrößen) korrekt arbeitet, bzw. muss die Maschine bei einem Bauteilausfall im sicheren Zustand verbleiben bzw. in diesen versetzt wird. Die Einhaltung von bewährten Sicherheitsprinzipien ist Voraussetzung ab Kategorie 1. Gemeint sind Prinzipien, bei denen bestimmte Fehler durch Verwendung oder Auslegung von Bauteilen ausgeschlossen werden können durch z.b. Anwendung von Bauteilen mit definiertem Ausfallverhalten oder Zwangsführung/ -öffnung oder Techniken wie Redundanz und Diversität (EN ISO , Abschnitte A.3 und D.3). Die Verwendung von bewährten Bauteilen ist Voraussetzung für Kategorie 1. Bewährte Bauteile sind Bauteile, die in bestimmten sicherheitsbezogenen Anwendungen vielfach mit Erfolg eingesetzt worden sind oder nach Prinzipien hergestellt und verifiziert wurden, die eine Eignung und Zuverlässigkeit für sicherheitsbezogene Anwendungen zeigen. Beispiele sind in der EN ISO , Abschnitte B.4, D.4 aufgeführt. Einige Komponenten wie Standard-SPS oder Standard-Lichtschranken sind hier nicht enthalten. Der MTTFd-Wert (Mean time to dangerous failure) ist der Erwartungswert der mittleren Zeit bis zum Gefahr bringenden Ausfall des Bauteils in Jahren. Er ist größer oder gleich dem MTTF (Mean time to failure) und berücksichtigt nur die Fehler, die zu einem Gefahr bringenden Ausfall führen. Falls vom Bauteilhersteller nur der MTTF-Wert angegeben wird, muss der Anwender entweder selbst einschätzen, welcher Anteil der Fehler in seiner Anwendung Gefahr bringend ist oder er konsultiert den Hersteller. Den MTTFd-Wert dem MTTF-Wert gleichzusetzen ist ebenfalls möglich. Anhänge C und D der EN ISO beschreiben weitere Verfahren. Systematische Ausfälle sind die Ausfälle, die auf Fehler zurückzuführen sind, die durch bestimmte Zustände, Belastungen, Eingangsbedingungen hervorgerufen werden. Die Fehler können während der Entwicklung, der Herstellung, im Betrieb oder während der Wartung auftreten. Der B 10d-Wert ist ein statistischer Wert für verschleißbehaftete Bauteile. Er gibt die durchschnittliche Anzahl der Schaltspiele an, bei der 10 % der Bauteile gefährlich ausgefallen sind. Der entsprechende MTTFd-Wert wird aus dem B 10d-Wert und den Schaltzyklen dieses Bauteil berechnet (siehe EN ISO ). Maßnahmen gegen Common Cause Failure (Fehler gemeinsamer Ursache) CCF werden in der EN ISO beschrieben, z.b.: physikalische Trennung zwischen den Signalpfaden Diversität Schutz gegen Überspannung Berücksichtigung der Ergebnisse einer Effektanalyse in der Entwicklung Schutz vor elektromagnetischer Beeinflussung Schutz gegenüber allen relevanten Umgebungseinflüssen Die Norm bietet ein Punktesystem zur Bewertung der Maßnahmen an. Waldkirch, 27 Sept Seite 4 von 17

5 Wie wird das erforderliche Sicherheitsniveau bestimmt? SICK beschreibt im Leitfaden Sichere Maschinen vom Anwender zu beachtende Gesetze, Normen, Regeln und mögliche Schutzmaßnahmen in sechs Schritten. Zum Schritt 3 gehört die Bestimmung des erforderlichen Sicherheitsniveaus. In der EN ISO wird ein Risikograph genutzt, um dieses erforderliche Sicherheitsniveau (Performance Level required PLr) zu bestimmen (siehe Bild 4). Der Konstrukteur soll zuerst die Gefährdungen der Maschine ohne Berücksichtigung jeglicher Schutzmaßnahmen bewerten, anhand der Schwere der Verletzung der Häufigkeit und/oder der Dauer der Gefährdung der Möglichkeit zur Vermeidung der Gefährdung oder zur Begrenzung des Schadens Bild 3: In sechs Schritten zur sicheren Maschine Daraus ergibt sich ein Performance Level PLr = a bis e für die notwendige Güte der Schutzmaßnahme, wobei e die höchste Risikoreduzierung angibt. Bild 4: Bestimmung des erforderlichen Performance Levels nach EN ISO (Risikograph) Waldkirch, 27 Sept Seite 5 von 17

6 Entspricht die technische Schutzmaßnahme dem erforderlichen Sicherheitsniveau? Ob die konzipierte technische Schutzmaßnahme dem erforderlichen Sicherheitsniveau (PLr) entspricht, kann nach EN ISO ermittelt werden. Als vereinfachte Übersicht bietet die Norm auch ein Balkendiagramm, in dem erforderliche Kriterien zusammengefasst sind (siehe Bild 5). Im Balkendiagramm sind nicht berücksichtigt: der Gestaltungsprozess, die Einsatzbedingungen und die Massnahmen gegen systematischen Ausfälle (siehe Kasten Erläuterungen). Bild 5: Ermittlung des PL eines Subsystems nach dem vereinfachten Verfahren der EN ISO Waldkirch, 27 Sept Seite 6 von 17

7 Anwendungsbeispiele zur Erläuterung der wichtigsten Aspekte Anhand von 2 Aufgabenstellungen und verschiedenen Lösungsvarianten soll die Verwendung von Standardsensoren in Sicherheitsfunktionen bewertet werden. Aufgabenstellung 1 Überwachung der Schutztür eines Mahlwerks. Die Schutztür des Mahlwerks wird ca. 4 Mal pro Stunde betätigt. Die Sicherheitsfunktion soll das sofortige Abschalten des Mahlwerkmotors beim Öffnen der Tür gewährleisten. Die Risikoeinschätzung ergab einen erforderlichen Performance Level PLr = d. Bild 6: Absicherung eines Mahlwerks mit Verriegelung der Schutztür in Aufgabenstellung 1 Lösungsvariante 1.1 ein Magnetschalter für Sicherheitsfunktionen Es wird ein Näherungsschalter für Sicherheitsfunktionen als Sensor eingesetzt. Die Sicherheitskette besteht aus dem Sicherheitssensor, einer Logikeinheit und den leistungssteuernden Elementen zur Abschaltung der Gefahr bringenden Bewegung. Für jedes dieser Subsysteme wird der erreichte PL ermittelt. Für die verwendeten Bauteile und Sicherheitsbauteile werden durch den Bauteilhersteller die notwendigen Daten und eingehaltene Normen angegeben (siehe Bild 7). Bild 7: Sicherheitskette mit Subsystemen für Lösungsvariante 1.1 der Aufgabenstellung 1, deren Bewertung nach EN ISO und Angabe der relevanten Produktnormen Waldkirch, 27 Sept Seite 7 von 17

8 Im Bild 7 ist zu erkennen, dass nicht für alle verwendeten Bauteile ein Performance Level PL vom Hersteller angegeben wird. Erst mit Bewertung der Struktur (Kategorie), der Diagnose- und Testmaßnahmen (DC), z.b. durch die Logikeinheit und der Maßnahmen gegen Ausfälle gemeinsamer Ursache (CCF), wird durch den Anwender der PL ermittelt. Der Sensor ist an der Maschine so zu positionieren, dass eine Umgehung der Schutzmaßnahme (Manipulation) verhindert wird. Das in der Lösungsvariante 1.1 ermittelte Sicherheitsniveau ist PL = e und liegt damit sogar über dem erforderlichen PLr = d. Ergebnis: Die Sicherheitsfunktion kann für die Absicherung verwendet werden. Lösungsvariante 1.2 ein induktiver Standardsensor Es soll ein einzelner induktiver Standardsensor für die Sicherheitsfunktion eingesetzt werden (Bild 8). Für den Sensor wird vom Hersteller ein MTTFd von 83 Jahren angegeben (MTTFd = Hoch nach EN ISO ). Der Sensor wurde nach der Produktnorm EN entwickelt. Somit kann unterstellt werden, dass die herstellerspezifischen grundlegenden Sicherheitsprinzipien eingehalten wurden (siehe Kasten Erläuterungen). Bild 8: Sicherheitskette mit Subsystemen für Lösungsvariante 1.2, deren Bewertung nach EN ISO und Angabe der relevanten Produktnormen Dieser Standardsensor ist in der Regel mit einer komplexen Elektronik ausgestattet (z.b. µc, ASIC, Transistorarrays). Vom Hersteller wird das Ausfallverhalten bei einem internen Fehler nicht angegeben. Dadurch ist dieser Sensor kein bewährtes Bauteil mit bewährten Sicherheitsprinzipien im Sinne der EN ISO eben ein Standardbauteil (siehe Kasten Erläuterungen). Die sicherheitstechnische Bewertung kann durch diese Einschränkung maximal Kategorie B bzw. Performance Level b ergeben, wenn das Bauteil den zu erwartenden Umgebungseinflüssen in der Applikation genügt (siehe Kasten Erläuterungen). Waldkirch, 27 Sept Seite 8 von 17

9 Ergebnis: Mit der Lösungsvariante 1.2 wird der geforderte Performance Level d trotz des hohen MTTFd Wertes des Sensors nicht erreicht (siehe Bild 5). Durch eine zusätzliche externe elektrische Testung könnte zwar ein Teil der sicherheitsrelevanten Fehler aufgedeckt werden, eine Quantifizierung der Aufdeckung (DC) ist aber nicht möglich, da der interne Aufbau und das Ausfallverhalten des Sensors nicht bekannt sind. Es wird sich also durch die Testung keine Änderung des Ergebnisses der sicherheitstechnischen Bewertung ergeben. Lösungsvariante 1.3 zwei identische, induktive Standardsensoren Zwei Sensoren aus Lösungsvariante 1.2 werden als zweikanaliger Eingangskreis verwendet. Die Logikeinheit dient der Diagnose und prüft den Eingangskreis über die Plausibilität der Eingangssignale (beide Kanäle müssen immer identische Signalpegel haben). Bild 9: Zwei identische Standardsensoren im zweikanaligen Eingangskreis in Lösungsvariante 1.3 Diese zweikanalige Struktur bietet in Kombination mit der Plausibilitätsprüfung durch die Logikeinheit eine verbesserte Diagnoseabdeckung gegenüber der einkanaligen Lösung. Die Prüfung erfolgt bei jeder Betätigung der Schutztür (ca. 4 Mal pro Stunde). Da kein dynamischer Test und keine Querschlusserkennung (Erkennung des Kurzschlusses der beiden Eingangskanäle) vorhanden sind, erreicht man einen mittleren Diagnosedeckungsgrad (DC 90 %) im Subsystem Sensoren + Logikeinheit. Ergebnis: Mit der Struktur einer Kategorie 3 und dem mittleren DC kann eventuell PL d erreicht werden (siehe Bild 5). Allerdings müssen Maßnahmen gegen das Auftreten von unerkannten Fehlern zur gleichen Zeit in beiden Kanälen des Eingangskreises, die zum Versagen der Sicherheitsfunktion führen, getroffen sein (siehe Kasten Erläuterungen CCF). Beispielsweise können Überspannungsspitzen auf den Sensorleitungen durch Schalten großer induktiver Lasten in der Nähe die Ursache für die gleichzeitige Zerstörung der Ausgangsschaltelemente der Sensoren sein (beide Kanäle bleiben auf High -Pegel). Waldkirch, 27 Sept Seite 9 von 17

10 Falls die CCF-Maßnahmen nicht ausreichend sind oder die Verhältnisse vor Ort nicht eingeschätzt werden können, darf die zweikanalige Struktur nur noch als einkanalige gewertet werden. Die erreichbare Kategorie wäre in diesem Fall wie bei Lösungsvariante 1.2 maximal B, da auch die Kombination der zwei Standardsensoren nicht als bewährtes Sicherheitsprinzip geltend gemacht werden kann. Mit Lösungsvariante 1.3 kann der geforderte Performance Level d erreicht werden, wobei der Anwender die Einsatzbedingungen kennen und die Fehlereinflüsse bewerten muss. Lösungsvariante 1.4 zwei unterschiedliche Standardsensoren Gegenüber Lösungsvariante 1.3 wird die starke Maßnahme der diversitären Redundanz verwendet. Zwei Standardsensoren unterschiedlichen Typs (unterschiedlicher interner Aufbau) und mit inversen Ausgangspegeln werden zweikanalig von der Logikeinheit überwacht (Bild 10). Die MTTFd-Werte beider Sensoren ergeben einen hohen Gesamt-MTTFd-Wert. Bild 10: Zwei diversitäre Standardsensoren als zweikanaliger Eingangskreis in Lösungsvariante 1.4 Es liegt eine zweikanalige Struktur des Eingangskreises mit Plausibilitätsprüfung und Kurzschlusserkennung durch die Logikeinheitvor. Die Diagnoseabdeckung verbessert sich auf 99 % (DC = Hoch ) und die Diversität trägt erheblich zur Abdeckung der Maßnahmen gegen CCF bei. Ergebnis: Mit der Kategorie 4 Struktur, DC = Hoch, ausreichenden Maßnahmen gegen CCF und dem MTTFd = Hoch kann sogar ein gesamter PL = e erreicht werden (siehe Bild 5). Waldkirch, 27 Sept Seite 10 von 17

11 Aufgabenstellung 2 Gefahrstellenabsicherung eines Stapelabnehmers Bild 11: Absicherung eines Stapelabnehmers mit PLr = c für Aufgabenstellung 2 Die Aufgabenstellung 2 beschreibt eine Gefahrstellenabsicherung eines Stapelabnehmers in einer Backwarenstraße mit Hilfe eines Lichtvorhangs. Der erforderliche Performance Level PLr ist c. Neben dem Performance Level sind für den Lichtvorhang auch die optischen Eigenschaften wie Einflüsse von Fremdlicht, Umspiegelungen, u.s.w. zur Gewährleistung der Detektion zu berücksichtigen (siehe Tabelle 1). Lösungsvariante 2.1 Sicherheits-Lichvorhang Die Bauteile werden zunächst entsprechend dem notwendigen Sicherheitsniveau ausgewählt (Bild 12). Bild 12: Sicherheitskette mit Subsystemen für Lösungsvariante 2.1 der Aufgabenstellung 2, deren Bewertung nach EN ISO und Angabe der relevanten Produktnormen Die im Bild 12 gezeigten Subsysteme genügen zum Teil einem höheren Performance Level als notwendig. Als Sensor wird ein Sicherheits-Lichtvorhang Typ 2 nach IEC eingesetzt. Der Typ 2 ist bei optischen Schutzeinrichtungen das optische Pendant zum Performance Level c. Die einkanalige Struktur und die verwendeten Bauteile genügen der Kategorie 1. Ergebnis: Der erforderliche Performance Level und die Anforderungen an die optischen Eigenschaften werden mit der Lösungsvariante 2.1 erfüllt. Vorausgesetzt wird hier, dass auch das Anwendungsprogramm der Logikeinheit (programmierbare Sicherheitssteuerung) den Erfordernissen der sicherheitsrelevanten Logik- Waldkirch, 27 Sept Seite 11 von 17

12 programmierung nach EN ISO entspricht. Die im Subsystem leistungssteuernde Elemente von Bild 12 gezeigte einkanalige Ansteuerung der Schaltschütze ohne Rückführung hat einen DC = "Null". Der CCF ist nicht relevant, da eine einkanalige Struktur im Ausgangskreis vorliegt. Der erforderliche PLr = c wird aber erreicht, wenn das Schaltschütz als bewährtes Bauteil einen hohen MTTFd ( 30 Jahre) hat. Der MTTFd-Wert ergibt sich aus dem B10d- Wert und der Schalthäufigkeit (siehe Kasten Erläuterungen). Lösungsvariante 2.2 Standard-Lichtvorhang Es wird anstelle eines Sicherheits- Lichtvorhangs ein Standard-Lichtvorhang für die Sicherheitsfunktion eingesetzt (Bild 13). Bild 13: Subsysteme für Lösungsvariante 2.2, deren Bewertung nach EN ISO und Angabe der relevanten Produktnormen Eine Produktnorm für die optischen Eigenschaften des Standard-Lichtvorhangs gibt es nicht. Die Kriterien für die Personendetektion und der funktionalen Sicherheit nach IEC wurden vom Hersteller bei der Entwicklung nicht berücksichtigt. Vom Hersteller kann das Ausfallverhalten bei einem internen Fehler nicht angegeben werden, da dieses Standardbauteil mit einer komplexen Elektronik ausgestattet ist (z.b. µc, ASIC). Somit ist auch dieser Sensor kein bewährtes Bauteil mit bewährten Sicherheitsprinzipien im Sinne der EN ISO Die optischen Eigenschaften dieses Standardsensors genügen nicht den Anforderungen der Normenreihe IEC für optoelektronische Schutzeinrichtungen für Personenschutz (siehe Tabelle 1). Ergebnis: Mit der Lösungsvariante 2.2 wird der geforderte Performance Level c nicht erreicht. Auch eine externe Testung verbessert wie beim induktiven Standardsensor (Variante 1.2) dieses Ergebnis nicht. Waldkirch, 27 Sept Seite 12 von 17

13 Tabelle 1: Einige Anforderungen an optoelektronische Schutzeinrichtungen zur Personendetektion Zusätzlich zu den Aspekten der funktionalen Sicherheit müssen generell bei BWS (berührungslos wirkende Schutzeinrichtungen) zur Personendetektion unbedingt die optischen Charakteristiken, die das Detektionsvermögen bestimmen, berücksichtigt werden! Waldkirch, 27 Sept Seite 13 von 17

14 Vor- und Nachteile des Einsatzes von Standardsensoren in Sicherheitsfunktionen Es ist möglich durch den Einsatz von Standardbauteilen in Sicherheitsanwendungen Materialkosten zu sparen. Allerdings muss der Anwender, wenn es um Personenschutz geht, tiefgreifende Kenntnis aller Einsatzbedingungen, der notwendigen Maßnahmen, der Sicherheitsmechanismen sprich der Eignung des Bauteils für den Einsatz in Sicherheitskreisen haben. Speziell bei Verwendung nur eines Standardsensors in Anwendungen ab PL = c ist sogar Kenntnis der internen Fehleraufdeckungsmechanismen notwendig, was bei komplexen Bauteilen in der Regel nicht realistisch ist. Ohne die Anwendung eines besonderen Konformitätsbewertungsverfahrens nach Maschinenrichtlinie ist der Einsatz von Standard- Optosensorik zur Detektion von Personen generell nicht möglich. Dies gilt sowohl für den Hersteller als auch für den Anwender! Für Standardbauteile werden die für Sicherheitsanwendungen relevante Normen vom Hersteller nicht berücksichtig und es können im Gegensatz zu Sicherheitsbauteilen im Sinne der Maschinenrichtlinie keine weiteren sicherheitstechnischen Kenngrößen (PL, SIL, PFHd, DC, ) angegeben werden. Vorteile von Sicherheitsbauteilen: Das Sicherheitsbauteil wurde vom Hersteller entsprechend dem Stand der Technik unter Berücksichtigung der relevanten Sicherheitsnormen und Einflussfaktoren für die Sicherheitsanwendung entwickelt und produziert. Das Ausfallverhalten eines Sicherheitsbauteils ist durch den Hersteller definiert. Durch die Hersteller wird für viele Arten von Sicherheitsbauteilen eine EG- Baumusterprüfung bei einer notifizierten Stelle (TÜV, IFA) veranlasst. Die Produkte im Feld werden vom Hersteller besonders beobachtet. Die sicherheitstechnischen Kenngrößen wie PL, SIL, PFHd, B 10d, Kategorie zur Bewertung von Sicherheitskreisen werden durch den Hersteller zur Verfügung gestellt. Eine EG-Konformitätserklärung gemäß Maschinenrichtlinie ist beigefügt. Fazit Mit den gezeigten Beispielen werden die prinzipiellen und wichtigsten Aspekte des Einsatzes von Standardsensoren für Sicherheitsfunktionen vorgestellt. Es ist erkennbar, dass auch mit einem guten (hohen) MTTFd-Wert nur ein kleiner Teil der notwendigen Kriterien und Maßnahmen abgedeckt ist. Optimierungen und weitere Maßnahmen beim Einsatz von Standardsensorik, die z.b. die Testung unterstützen, oder Fehlerausschlüsse, die die Verwendung erleichtern, sind denkbar und werden bereits praktiziert. Komponentenhersteller wie SICK und notifizierten Stellen wie die die IFA (ehemals BGIA) oder der TÜV stehen dafür beratend zur Verfügung. Dem Maschinenhersteller ist in jedem Fall freigestellt Standardbauteile für Sicherheitsfunktionen zu verwenden. Der Nachweis der Eignung aller eingesetzten Bauteile für die Sicherheitsfunktionen gehört zu den Pflichten des Maschinenherstellers. Es ist erkennbar, dass der Nachweis dieser Eignung für Standardbauteile wesentlich schwieriger zu realisieren ist. In Tabelle 2 zeigt eine Zusammenfassung, die grob die prinzipiellen Möglichkeiten des Einsatzes von Standardsensoren in Sicherheitsfunktionen und die dafür erforderlichen Maßnahmen zeigt. Waldkirch, 27 Sept Seite 14 von 17

15 Tabelle 2: Empfehlung für die Anwendung von Standardsensoren in Sicherheitsfunktionen entsprechend EN ISO ) Standardbauteil Näherungssensoren z.b. induktive, kapazitive Lichtschranken bis PL = a bis PL = b bis PL = c bis PL = d bis PL = e Angaben vom Hersteller: Angaben vom Hersteller: Einhaltung grundlegender 2) Sicherheitsprin- Einhaltung grundlegender 2) Sicherheitsprinzipien zipien Datenblatt Datenblatt Angabe des MTTFd bzw. B 10d Angabe von MTTFd bzw B 10d Beachtung durch den Anwender: Beachtung durch den Anwender: Einhaltung grundlegender 2) und bewährter 3) Einhaltung grundlegender 2) Sicherheitsprin- Sicherheitsprinzipien für die Implementierung zipien für die Implementierung Anforderungen an die Kategorie, z.b. zweikanalige Einfluss der Umgebungsbedingungen Struktur mit zwei Sensoren 4) (Temperatur, Feuchte, Wasser, Staub, Ermittlung/Sicherstellung des DC und Maßnahmen gegen elektromagnetische Beeinflussung, ) auf CCF 4) die Sicherheitsfunktion 4) Einfluss der Umgebungsbedingungen (Temperatur, Dokumentation 4) Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, ) auf die Sicherheitsfunktion 4) Dokumentation 4) Keine Anwendung für die Detektion von Personen 5), sonst wie Näherungssensoren mit zusätzlicher Berücksichtigung der optischen Umgebungseinflüsse. Lichttaster Lichtgitter Laserscanner Angaben vom Hersteller: Einhaltung grundlegender 2) Sicherheitsprinzipien Datenblatt Angabe von MTTFd Beachtung durch den Anwender: Einhaltung grundlegender 2) Sicherheitsprinzipien für die Implementierung Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, Licht ) auf die Sicherheitsfunktion 4) Dokumentation 4) Angaben vom Hersteller: Einhaltung grundlegender 2) und bewährter 3) Sicherheitsprinzipien für die Implementierung Datenblatt Angabe von MTTFd Beachtung durch den Anwender: Einhaltung grundlegender 2) und bewährter 3) Sicherheitsprinzipien für die Implementierung Anforderungen an die Kategorie, z.b. zweikanalige Struktur mit zwei Sensoren 4) Ermittlung/Sicherstellung des DC und Maßnahmen gegen CCF 4) Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, Licht ) auf die Sicherheitsfunktion 4) Dokumentation 4) 1) Generell gehört der Nachweis der Eignung aller eingesetzten Bauteile für die Sicherheitsfunktionen zu den Pflichten des Maschinenherstellers. Für die Bewertung des Einsatzes von Standardbauteilen über diese Empfehlungen hinaus und für Optimierungen können z.b. notifizierte Stelle wie IFA oder TÜV einbezogen werden. 2) Grundlegende Sicherheitsprinzipien berücksichtigen seitens des Bauteilherstellers die anerkannten Regeln der Technik, die z.b. in Produktnormen beschrieben sind (Umgebungsbedingungen, Wirkprinzipien, ). Bei Entwicklung und Produktion wurden Maßnahmen zur Beherrschung der systematischen Fehler getroffen. Seitens des Anwenders sind u.a. die Einhaltung der spezifizierten Daten und die geeignete Befestigung zu beachten (siehe EN ISO , Abschnitte A.2, B.2, C.2 D.2). 3) Bewährte Sicherheitsprinzipien sind Prinzipien, bei denen bestimmte Fehler durch Verwendung oder Auslegung von Bauteilen ausgeschlossen werden können durch z.b. Anwendung von Bauteilen mit definiertem Ausfallverhalten oder Zwangsführung/-öffnung oder Techniken wie Redundanz und Diversität (EN ISO , Abschnitte A.3 und D.3). 4) Siehe EN ISO , Abschnitt 10 bzw. Anhang G. 5) Für die Detektion von Personen werden in der IEC konkrete zusätzliche Anforderungen, z.b. an die EMV und die optischen Leistungsmerkmale gestellt. Innerhalb der EU ist nach Maschinenrichtlinie 2006/42/EG ein besonderes Konformitätsbewertungsverfahren erforderlich. Waldkirch, 27 Sept Seite 15 von 17

16 Quellen und Literatur: EN ISO : Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1: Allgemeine Gestaltungsleitsätze (ISO :2006) EN ISO : Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 2: Validierung (ISO :2003) EN 62061: Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme (IEC 62061:2005) Normenreihe IEC 61496: Sicherheit von Maschinen Berührungslos wirkende Schutzeinrichtungen Leitfaden Sichere Maschinen In sechs Schritten zur sicheren Maschine DE, Artikelnummer Download und Bestellung unter Waldkirch, 27 Sept Seite 16 von 17

17 Deutschland SICK Vertriebs-GmbH Willstätterstraße Düsseldorf Tel Fax Österreich SICK GmbH Straße 2A, Objekt M11, IZ NÖ-Süd 2355 Wiener Neudorf Tel Fax Schweiz SICK AG Breitenweg Stans Tel Fax contact@sick.ch Weltweit in Ihrer Nähe: Australien Belgien/Luxemburg Brasilien China Dänemark Finnland Frankreich Großbritannien Indien Israel Italien Japan Niederlande Norwegen Polen Republik Korea Rumänien Russland Schweden Singapur Slowenien Spanien Taiwan Tschechische Republik Türkei USA Vereinigte Arabische Emirate Standorte und Ansprechpartner unter: Mehr Safety Know-how unter: Waldkirch, 27 Sept Seite 17 von 17

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback