Sicherheit von Maschinen

Sicherheit von Maschinen

Inhalt Vorbemerkung...4 Warum Sicherheit?...6 Rechtsstrukturen...10 Risikobeurteilung... 16 Sichere Gestaltung und technische Schutzmaßnahmen...22 Funktionale Sicherheit... 30 Normen zum Steuerungssystem Berechnungsbeispiele... 38 Software-Assistent SISTEMA... 58 Zertifizierte Sicherheitslösungen... 60 Service und Schulungen... 64 Informationsquellen... 66 Anhänge Architekturen... 68

4 Vorbemerkung

Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema. Zum besseren Verständnis werden Vereinfachungen vorgenommen, welche die Anforderungen nicht im gesamten Umfang darstellen. Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern, damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die logischen Schritte und verweist auf relevante Informationsquellen. 5

6 Warum Sicherheit?

Abgesehen von der moralischen Verpflichtung, Personen vor Verletzungen zu schützen, schreiben Gesetze vor, dass Maschinen sicher sein müssen. Darüber hinaus gibt es triftige wirtschaftliche Gründe, Unfälle zu vermeiden. Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb, Wartung und ggf. Entsorgung. Gestaltung/Bau Installation Anpassung/Betrieb Wartung Neue Maschinen - die Maschinenrichtlinie Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren. Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft. Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt 282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder, die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG). Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt. Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die technischen Unterlagen bereitgestellt werden können, die e-kennzeichnung angebracht ist und eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den Markt gebracht wird.

Bestehende Maschinen die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht werden, die der betreffenden Norm entsprechen. Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen. Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und gewartet werden. Unfallkosten Einige Kosten sind offensichtlich, wie z.b. das Krankengeld für verletzte Angestellte. Jedoch entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine, der zu Kosten in Höhe von ca. 51.300 (HSE INDG355) führte. Hierbei sind einige weniger offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar auf den doppelten Betrag. Ein von Schneider Electric Ltd analysierter Unfall, eine reversible Kopfverletzung, kostete den Arbeitgeber ca. 102.600. Von diesem Betrag wurden nur ca. 42.200 von der Versicherung übernommen. Die indirekten Kosten können erhöhte Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des öffentlichen Rufs umfassen. Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.b. die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können. Die Richtlinien gelten für alle Angestellten, Selbstständigen und weiteren Personen, die Kontrolle über die Bereitstellung von Arbeitsmitteln haben. 8

9

10 Rechtsstrukturen

EU-Richtlinie: Rechtsinstrument zur europaweiten Harmonisierung technischer Normen Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien) Norm: Eine Norm ist eine technische Spezifikation, die von einem anerkannten Normungsgremium für die wiederholte oder ständige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist. Harmonisierte Norm: Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten veröffentlicht wurde. Konformitätsvermutung: Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste dieser Normen finden Sie unter http://www.newapproach.org/directives/directivelist.asp Natürlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanforderungen notwendig. Dies gilt ebenfalls für Produkte, für die aufgrund der Anwendung einer bestimmten Norm eine Konformitätsvermutung ausgestellt wurde. 11

A-, B- und C-Normen: Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt: A B1 B2 C Typ A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können; Typ B-Normen (Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene Maschinen verwendet werden können: - Typ B1-Normen für bestimmte Sicherheitsaspekte (z.b. Sicherheitsabstände, Oberflächentemperatur, Lärm); - Typ B2-Normen für Schutzeinrichtungen (z.b. Zweihandsteuerungen, Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen); Typ C-Normen (Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen. 12

Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen für eine Typ A- oder Typ B-Norm ab, hat die Typ C-Norm Priorität. Einige Beispiele dieser Art von Normen: EN ISO 12100 A Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung und -minderung EN ISO 14121 A Sicherheit von Maschinen - Risikobeurteilung - Leitsätze EN 574 B Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze EN ISO 13850 B Not-Halt - Gestaltungsleitsätze EN IEC 62061 B Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme EN ISO 13849-1 B Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 Allgemeine Gestaltungsleitsätze EN 349 B Mindestabstände, um das Quetschen von Körperteilen zu vermeiden EN ISO 13857 B Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen EN 60204-1 B Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen - Teil 1: Allgemeine Anforderungen EN 999/ISO 13855 B Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsgeschwindigkeiten von Körperteilen EN 1088/ISO 14119 B Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen - Leitsätze für Gestaltung und Auswahl EN 61496-1 B Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anforderungen und Prüfungen EN 60947-5-5 B Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion EN 842 B Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung und Prüfung EN 1037 B Vermeidung von unerwartetem Anlauf EN 953 B Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen EN 201 C Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicherheitsanforderungen EN 692 C Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen EN 693 C Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen EN 289 C Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau EN 422 C Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau EN ISO 10218-1 C Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter EN 415-4 C Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und Depalettierer EN 619 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Fördereinrichtungen für Stückgut EN 620 C Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für ortsfeste Gurtförderer für Schüttgut Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009. 13

Herstellerverantwortung Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen, müssen den Anforderungen der Maschinenrichtlinie entsprechen. Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt. Bitte beachten Sie, dass in Verkehr bringen auch bedeutet, dass eine Organisation sich selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut, oder Maschinen in den europäischen Wirtschaftsraum importiert. Betreiberverantwortung Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem e-kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden. Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die Anwendung geeignet sein. Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden, selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine Konformitätserklärung und eine e-kennzeichnung ausgestellt werden müssen. 14

15

16 Risikobeurteilung

Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen die möglichen Risiken betrachtet werden, die durch die Verwendung entstehen können. Risikobeurteilung und Risikominderung für Maschinen werden in EN ISO 14121-1 beschrieben. Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als der richtige Weg zum Durchführen einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt, jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So kann z.b. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten. 17

Bestimmen der Maschinengrenzen Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vorhersehbaren Fehlgebrauch einer Maschine, wie z.b. durch eine nicht spezifikationskonforme Verwendung. Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung? Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt? Identifizieren der Gefährdungen Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werkzeug schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emission von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbrennungen durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten. In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebensdauer der Maschine einschließlich Bau, Installation und Entsorgung entstehen können. Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1. Wer könnte durch die identifizierten Gefährdungen verletzt werden und wann? Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlgebrauch mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen. Durchschlagen, Einstich, Scheren, Abschneiden Erfassen, Aufwickeln, Einziehen, Fangen Stoß Quetschen Hier werden Beispiele typischer Gefährdungen gezeigt, jedoch handelt es sich dabei nicht um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1. Elektrischer Schlag Kontakt mit gefährlichen Substanzen Verbrennungen 18

Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen, vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein. Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicherweise zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konsequenzen sollten berücksichtigt werden, nicht nur der schlimmste Fall. Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschiedenen Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen Risikos gibt. Für eine Maschine gibt es keine allgemeine Risikoeinstufung oder Risikokategorie jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur geschätzt werden kann Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung. Mit der möglichen Gefährdung verbundenes Risiko Schwere des möglichen Schadens Wahrscheinlichkeit des Auftretens Häufigkeit und Dauer der Gefährdungsexposition Möglichkeit zur Vermeidung oder Begrenzung der Wahrscheinlichkeit eines Ereignisses, durch das ein Schadens entsteht 19

20 Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2. Die Definition der Risikominderung ist das Beseitigen von Risiken: das Ziel der getroffenen Maßnahmen muss die Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich Transport, Aufbau, Abbau, Demontage und Entsorgung. Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie angemessen verwendet, um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht möglich ist. Der Prozess der Risikobeurteilung erfolgt schrittweise Zunächst müssen Risiken identifiziert, priorisiert und mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern (zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen Schutzmaßnahmen. Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur Risikoeinschätzung und -bewertung beschrieben. In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu können. Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben.

Start Festlegung der Grenzen der Maschine Identifizierung der Gefährdungen Risikoeinschätzung Risikobewertung Risikoanalyse Risikobeurteilung Nein Ist die Maschine sicher? Ja Ende Risikominderung Iterativer Prozess zur Risikominderung nach EN ISO 14121 21

Sichere Gestaltung und technische Schutzmaßnahmen 22

Maßnahmen zur inhärent sicheren Gestaltung (gemäß EN ISO 12100-2, Kapitel 4) Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Automatisierung einiger Aufgaben, wie z.b. dem Beladen einer Maschine, möglich. Kann eine Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reinigungszwecken kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige Möglichkeit, ein Risiko auf null zu reduzieren. Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden werden, dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwindigkeit und Druck kann das Verletzungsrisiko reduziert werden. Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen Quelle: BS PD 5304 Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm. Normen und Gesetzgebung geben eine eindeutige Hierarchie für die Schutzmaßnahmen an. Gefährdungsvermeidung oder größtmögliche Risikominderung durch inhärent sichere Gestaltungsmaßnahmen haben höchste Priorität. 23

Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen (laut EN ISO 12100-2, Kapitel 5) Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt. Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung zur Vermeidung von unerwartetem Anlauf, usw. Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen, unbedenklich sind. Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen, oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein. Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen dienen: Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen, Anpassen usw. verwendet. Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des getrennten Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5 normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer Nachlaufzeit) 24

Lichtvorhänge zum Erkennen von Personen, die sich der Gefahrenzone nähern: mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm Auflösung) Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpacken, Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen. Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Maschine erleichtert. Sicherheitsmatten zum Erkennen von Personen, die sich der Gefahrenzone nähern, sich dort aufhalten oder in die Gefahrenzone eintreten. Sicherheitsmatten werden üblicherweise vor oder um potenziell gefährliche Maschinen oder Roboter verwendet. Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen. Sie dienen hauptsächlich zum Schutz des Personals und ergänzen Sicherheitsprodukte, wie z.b. Lichtvorhänge. Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen Personen, die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung. 25

Sicherheitsschalter mit funktionsüberwachter und elektromagnetischer Zuhaltung während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Maschinen eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrbringenden Bewegung ermöglicht werden soll. Sie werden häufig entweder mit Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet, damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist. Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Versagen oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutzmaßnahmen sollten die Produktionsaufgaben nicht unnötigerweise behindern. Hierzu zählen die folgenden Schritte: - Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu entfernen oder einzustellen; - Verwendung von codierten Geräten oder Systemen, z.b. mechanisch, elektrisch, magnetisch oder optisch; - Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgerät bei geöffneter Schutzeinrichtung; - Fester Stand, um den einwandfreien Betrieb zu gewährleisten Zweihand-Steuerpulte und Fußschalter werden verwendet um sicherzustellen, dass sich das Bedienpersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhält (z.b. Abwärtshub bei Pressen) Sie dienen hauptsächlich zum Schutz des Bedienpersonals. Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche Maßnahmen, wie z.b. durch das Anbringen von Lichtvorhängen, realisiert werden. Zustimmschalter ermöglichen den Zugang unter speziellen Bedingung, die ein geringeres Risiko darstellen zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.b. Tippbetrieb), mit zentraler Position und 2 Stellungen für die Aus- Funktion (mit und ohne Zwangstrennung). Somit ist sichergestellt, dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt. 26

Überwachung der Sicherheitssignale Steuerungssysteme Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als Sicherheitslogiksystem ) überwacht, und dienen zum Ansteuern (und manchmal Überwachen) von Ausgabegeräten, wie z.b. Schützen. Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.b. Anzahl der zu verarbeitenden Sicherheitseingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie z.b. der AS-Interface Safety at Work oder SafeEthernet. Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.b. bei großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme geführt. Sicherheitsrelais Sicherheitscontroller Kompakte Sicherheitssteuerung Modulare Sicherheitssteuerung Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinenrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen vermieden wird. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Verwendung eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel, die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061. 27

Ergänzende Schutzmaßnahmen Not-Halt Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominderung angesehen. Sie werden stattdessen als ergänzende Schutzmaßnahmen bezeichnet. Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden. EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen: - Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Antriebselement (ungesteuertes Stillsetzen); - Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezufuhr zu unterbrechen; - Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement. Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet. Not-Halt-Geräte müssen bei Maschinen direkt wirken. Das bedeutet, dass durch ihre Gestaltung sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normalerweise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen. Restrisiken Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaßnahmen reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden, um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederholungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen. Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entsprechen, ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Gestalter Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanweisung, usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleidung und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch nicht so effektiv wie Gestaltungsmaßnahmen. 28

29

Funktionale Sicherheit 30

Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktionalen Sicherheit herausgegeben unter: http://www.iec.ch/zone/fsafety/ In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen. Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2. Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht. Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten Kategorien zum Verhalten im Fehlerfall, die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als Sicherheitskategorien beschrieben wurden. Eine Erinnerung an die Leitsätze der EN 954-1 Anwendern der EN 954-1 wird der alte Risikograph bekannt sein, der von vielen verwendet wurde, um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie für jedes sicherheitsbezogene Teil zu ermitteln. S1 B 1 2 3 4 S2 F1 F2 P1 P2 P1 P2 Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem* (SRECS) abhängt, umso fehlerresistenter muss es sein (z.b. gegen Kurzschlüsse, verschweißen von Kontakten usw.). Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert: - Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers führen. - Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlichkeit ist geringer als in Kategorie B. - Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen) KM1 KM1 KM1 *Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als: - Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1 - Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061 31

- Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.b. durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten. 1 2 KM1 KM2 KM2 KM1 - Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht, selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sichergestellt und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge 1 2 KM1 KM2 KM1 KM2 KM2 KM1 32

Funktionale Sicherheit ist Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme anderer Technologien und externer Einrichtungen zur Risikominderung abhängt. Beachten Sie, dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter. * EUC steht für Equipment Under Control (Betriebseinrichtung) **Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch. Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigentlich die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 besser sei als Kategorie 2 usw. Normen zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen Komponenten zu verlassen. 33

Welche Normen werden für die Sicherheitsfunktion angewendet? Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden. Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1 als PL (Performance Level) angegeben. Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, betrachtet. Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten Komponenten berücksichtigt werden. EN IEC 62061 Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforderungen (Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist. Ein häufig verwendetes Beispiel ist Maschine anhalten, wenn die Schutzeinrichtung offen ist. Der Fall muss jedoch genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewegungen abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie wird das Öffnen der Schutzeinrichtung erkannt? In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermeidung dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation. Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestaltungsmaßnahmen führen; z.b. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausreichende Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein. Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben? In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt: Sicherheits- Wahrscheinlichkeit eines gefahrbringenden Integritätslevel (SIL) Ausfalls pro Stunde PFH D 3 >10-8 bis <10-7 2 >10-7 bis <10-6 1 >10-6 bis <10-5 Tabelle 1: Beziehung zwischen SIL und PFH D 34

EN ISO 13849-1 In EN ISO 13849-1 wird eine Kombination aus mittlerer Zeit bis zum gefahrbringenden Ausfall (MTTF d ), Diagnose- Deckungsgrad (DC) und Architektur (Kategorie) zur Bestimmung des Performance Level PL (a, b, c, d, e) verwendet. Eine vereinfachte Methode zur Einschätzung des PL-Wertes liefert Tabelle 7 der Norm. Die Kategorien sind vergleichbar mit den Kategorien in EN 954-1. Sie werden in Anhang 2 erklärt. Kategorie B 1 2 2 3 3 4 DC avg Keine Keine Gering Mittel Gering Mittel Hoch MTTF d jedes einzelnen Kanals Niedrig Mittel Hoch Nicht a abgedeckt Nicht b abgedeckt Nicht abgedeckt a b b c b c c d Nicht abgedeckt Nicht abgedeckt c c d d d e Tabelle 2: Vereinfachtes Verfahren zum Ermitteln des PL-Wertes, der durch das verwendete SRP/CS erreicht wird Aus der oberen Tabelle ist ersichtlich, dass nur eine Architektur der Kategorie 4 zum Erreichen des höchsten PL- Wertes e führen kann. Geringere PL-Werte lassen sich jedoch in Abhängigkeit von MTTF d und DC der verwendeten Komponenten erzielen. Performance Level EN ISO 13849-1 a b c d e 1 1 2 3 Sicherheits-Integritätslevel EN IEC 62061 Kat. B Kat. 1 Kat. 2 Kat. 2 Kat. 3 Kat. 3 Kat. 4 DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = 0 0 niedrig mittel niedrig mittel hoch Höhe der Sicherheitskategorie EN ISO 13849-1 MTTF d jedes einzelnen Kanals = niedrig MTTF d jedes einzelnen Kanals = mittel MTTF d jedes einzelnen Kanals = hoch 35

Index Niedrig Mittel Hoch MTTFd Spanne >3 Jahre bis <10 Jahre >10 Jahre bis <30 Jahre >30 Jahre bis <100 Jahre Tabelle 3: Höhe der MTTFd Zur Einschätzung des MTTF d einer Komponente können die folgenden Daten verwendet werden (nach Priorität): 1. Herstellerdaten (MTTF d, B10 oder B10 d ) 2. Methoden aus den Anhängen C und D der EN 13849-1 3. Wählen Sie 10 Jahre Der Diagnose-Deckungsgrad gibt an, wie viele gefahrbringende Ausfälle vom Diagnosesystem erkannt werden. Die Sicherheit kann durch die Verwendung von Teilsystemen erhöht werden, die interne Selbstdiagnosen durchführen. Index Diagnose-Deckungsgrad Null <60 % Niedrig 60 % bis <90 % Mittel 90 % bis <99 % Hoch 99 % Tabelle 4: Höhe des Diagnose-Deckungsgrades Zur Ermittlung des DC können die folgenden Daten verwendet werden (nach Priorität): 1. Herstellerdaten (wo verfügbar z.b. bei Lichtvorhängen, Frequenzumrichtern) 2. Ermitteln der Werte aufgrund der angewendeten Schaltungs- und Bauteileigenschaften anhand Anhang E der EN ISO 13849-1. Ausfälle infolge gemeinsamer Ursache (CCF) entstehen, wenn durch externen Einfluss (wie z.b. einen Sachschaden) einige Komponenten unbrauchbar werden, unabhängig von ihrem MTTFd-Wert. Maßnahmen zur Eingrenzung von CCF: - Vielfältigkeit bei der Wahl der Komponenten und ihrer Betriebsarten - Schutz vor Verschmutzung - Trennung - Optimierte Elektromagnetische Verträglichkeit Gemäß einer Checkliste im Anhang F der EN ISO 13849-1 wird geprüft, ob bestimmte Anforderungen erfüllt wurden. Über ein Punktevergabesystem wird jede Antwort bewertet und eine vorgegebene Mindestpunktezahl von 65 muss erreicht werden. 36

Vereinfachte Tabelle: Nr. Anforderung (gegen Fehler gemeinsamer Punkte Ursache CCF) 1 Trennung (zwischen den einzelnen Stromkreisen) 15 2 Diversität (in Technologie, Design, Prinzip) 20 3 Entwurf / Applikation / Erfahrung 20 4 Beurteilung / Analyse 5 5 Kompetenz / Ausbildung 5 6 Umwelteinflüsse (Prüfungen, Produktnormen) 35 Welche Norm soll angewendet werden? Schreibt eine Typ C Norm nicht einen speziellen SIL- oder PL-Wert vor, kann der Entwickler frei entscheiden, ob er EN IEC 62061, EN ISO 13849-1 oder sogar eine andere Norm anwendet. EN IEC 62061 und EN ISO 13849-1 sind beide harmonisierte Normen, durch die eine Konformitätsvermutung zur Erfüllung der wesentlichen Anforderungen der Maschinenrichtlinie erreicht wird, sofern sie angewendet werden. Jedoch muss beachtet werden, dass die ausgewählte Norm im Ganzen verwendet werden muss. In einem System können nicht Teile von beiden Normen verwendet werden. Eine Verbindungsgruppe von IEC und ISO arbeiten fortlaufend an der Erstellung eines gemeinsamen Anhangs für die beiden Normen mit dem Ziel, in der Zukunft eine einzige Norm zu entwickeln. EN IEC 62061 ist vielleicht verständlicher in Bezug auf die Themen zur Spezifikation und Führungsverantwortung, EN ISO 13849-1 ermöglicht jedoch einen leichteren Übergang von EN 954-1. Beide Normen sind für die Verwendung von elektromagnetischer und komplexer elektronischer Technologie zur Implementierung der sicherheitsbezogenen Steuerungsfunktionen bestimmt. Somit decken beide Normen gemeinsam einen Großteil der Anwendung ab. Die EN ISO 13849-1 deckt zusätzlich auch nichtelektrische Technologien, wie beispielsweise Pneumatik oder Hydraulik ab. Dafür gibt es Einschränkungen bei sehr komplexen Technologien, die besonders in der EN IEC 62061 behandelt werden. Über die jeweilige Verwendbarkeit informieren beide Normen. Zertifizierung Einige Komponenten sind mit SIL- oder PL-Zertifizierung erhältlich. Es sollte beachtet werden, dass es sich dabei nur um einen Anhaltswert des besten SIL oder PL handelt, der von einem System, das diese Komponente in einer speziellen Konfiguration verwendet, erreicht werden kann. Es kann nicht garantiert werden, dass das Gesamtsystem einen speziellen SIL- oder PL-Wert aufweist. 37

Normen zum Steuerungssystem Berechnungsbeispiele 38

Die Berechnungsbeispiele auf den folgenden Seiten sind vielleicht der beste Weg, um die Anwendung von EN IEC 62061 und EN ISO 13849-1 zu verdeutlichen. Für beide Normen verwenden wir ein Beispiel, bei dem das Öffnen einer Schutzeinrichtung zum Anhalten der beweglichen Teile einer Maschine führen muss, da es sonst zu Verletzungen wie z.b. einem gebrochenen Arm oder abgetrennten Finger kommen kann. 39

Berechnungsbeispiel nach Norm EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme Sicherheitsbezogene, elektrische Steuerungssysteme (SRECS) spielen eine zunehmende Rolle bei der Sicherung der gesamten Sicherheit von Maschinen. Sie verwenden immer häufiger komplexe elektronische Technologien. Diese Norm ist auf den Maschinensektor zugeschnitten im Rahmen der EN IEC 61508. Die Norm stellt Regeln auf für die Integration von Teilsystemen gemäß EN ISO 13849-1. Sie befasst sich nicht mit den Betriebsanforderungen nicht-elektrischer Steuerungskomponenten von Maschinen (z.b.: hydraulische und pneumatische Komponenten). Funktionaler Ansatz zur Sicherheit Der Prozess beginnt mit der Analyse der Risiken (EN ISO 14121-1), um dann die benötigten Sicherheitsanforderungen festlegen zu können. Ein besonderes Merkmal der EN IEC 62061 ist die notwendige Analyse der Architektur zum Ausführen der Sicherheitsfunktionen. Unterfunktionen müssen in Erwägung gezogen und deren Interaktionen analysiert werden, bevor eine Hardwarelösung für die Sicherheitssteuerung, genannt sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS), ausgewählt wird. Ein funktionaler Sicherheitsplan, in dem alle Gestaltungsprojekte festgehalten werden, muss erstellt werden. Er muss Folgendes umfassen: Eine Spezifikation der Sicherheitsanforderungen an die Sicherheitsfunktionen (SRCF) in zwei Teilen: - Eine Beschreibung der Funktionen und Schnittstellen, Betriebsarten, Prioritäten der Funktionen, Häufigkeit des Betriebs, usw. - Eine Spezifikation der Sicherheitsintegritätsanforderungen an jede Funktion, ausgedrückt in Form eines SIL-Wertes (Sicherheits-Integritätslevels). - Die unten aufgeführte Tabelle 1 zeigt den Maximalwert für Ausfälle für jeden SIL-Wert. Sicherheits- Integritätslevel SIL Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, PFH D 3 >10-8 bis <10-7 2 >10-7 bis <10-6 1 >10-6 bis <10-5 - Einen strukturierten und dokumentierten Gestaltungsprozess für elektrische Steuerungssysteme (SRECS), - Die Maßnahmen und Mittel zum Aufzeichnen und Pflegen der relevanten Informationen, - Die Konfigurationsverwaltung und -modifikation, unter Berücksichtigung der Organisation und des autorisierten Personals, - Der Verifikations- und Validierungsplan. 40

Der Vorteil dieser Annäherung liegt in einer Berechnungsmethode, die alle Parameter, die die Zuverlässigkeit eines Steuerungssystems betreffen, einschließt. Bei dieser Methode wird jeder Funktion ein SIL zugeordnet. Dabei werden folgende Parameter berücksichtigt: - Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Komponenten (PFH D ), - Die Architektur (A, B, C oder D), d.h.; mit oder ohne Redundanz, mit oder ohne Diagnosefunktion, zum Kontrollieren einiger gefahrbringender Ausfälle, - Ausfälle infolge gemeinsamer Ursache (CCF), einschließlich; Kurzschlüsse zwischen Kanälen, Überspannung, Stromunterbrechung usw. - Die Wahrscheinlichkeit gefahrbringender Übertragungsfehler bei digitaler Kommunikation, - Störfestigkeit gegenüber elektromagnetischen Feldern. Nach der Erstellung eines funktionale Sicherheitsplans wird die Gestaltung eines Systems in 5 Schritte unterteilt: 1. Bestimmen Sie auf der Grundlage der Risikobeurteilung das Sicherheits-Integritätslevel (SIL) und legen Sie die Grundstruktur des elektrischen Steuerungssystems (SRECS) fest. Beschreiben Sie jede verwendete Funktion (SRCF), 2. Unterteilen Sie jede Funktion in Funktionsblöcke (FB), 3. Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den Teilsystemen der Architektur zu, 4. Wählen Sie die Komponenten für jedes Teilsystem aus, 5. Gestalten Sie die Diagnosefunktion und stellen Sie sicher, dass das angegebene Sicherheits-Integritätslevel (SIL) erreicht wurde. Nehmen Sie für unser Beispiel eine Funktion, bei der die Energiezufuhr vom Motorantrieb getrennt wird, wenn eine Schutzeinrichtung geöffnet wird. Wenn die Funktion ausfällt, könnte sich der Maschinenbediener einen Arm brechen oder einen Finger verlieren. 41

Schritt 1 Bestimmen Sie das Sicherheits-Integritätslevel (SIL) und legen Sie die Struktur des SRECS fest Auf der Grundlage der Risikobeurteilung nach EN ISO 14121-1 wird für jede sicherheitsbezogene Steuerungsfunktion (SRCF) der erforderliche SIL-Wert bestimmt und wird wie folgt in Parameter unterteilt. Mit der identifizierten Gefährdung verbundenes Risiko Schwere des möglichen Schadens & S Häufigkeit und Dauer der Gefährdungsexposition Wahrscheinlichkeit eines gefahrbringenden Ereignisses Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens F W P Wahrscheinlichkeit des Eintritts dieses Schadens 42

Schwere S Die Schwere von Verletzungen oder Gesundheitsschädigungen lässt sich durch Unterteilung in reversible Verletzungen, irreversible Verletzungen und Tod einschätzen. Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt. Folgen Schwere (S) Irreversibel: Tod, Verlust eines Auges oder Armes 4 Irreversibel: gebrochene Gliedmaße, Verlust von Fingern 3 Reversibel: Medizinische Behandlung erforderlich 2 Reversibel: Erste Hilfe erforderlich 1 Wahrscheinlichkeit des Eintritts eines Schadens Jeder der drei Parameter F, W, P wird getrennt bewertet. Dabei wird der jeweils vom ungünstigsten Fall ausgegangen. Es wird empfohlen, eine Aufgabenanalyse zu verwenden, um die genaue Einschätzung der Wahrscheinlichkeit des Eintritts eines Schadens geben zu können. Häufigkeit und Dauer der Gefährdungsexposition F Die Höhe der Exposition hängt von der Notwendigkeit, den Gefahrenbereich zu betreten (Normalbetrieb, Wartung,...) und von der Zugangsart (manuelle Beschickung, Anpassung usw.) ab. Daraus lässt sich dann die Häufigkeit und Dauer der Exposition abschätzen. Die empfohlene Einteilung wird in der nachfolgenden Tabelle gezeigt: Häufigkeit des Gefährdungsexposition Dauer > 10 Minuten <1 h 5 >1 h bis <1 Tag 5 >1 Tag bis <2 Wochen 4 >2 Wochen bis <1 Jahr 3 >1 Jahr 2 43

Wahrscheinlichkeit eines gefahrbringenden Ereignisses W Zwei grundlegende Konzepte müssen berücksichtigt werden: Die Vorhersehbarkeit der gefahrbringenden Komponenten in den diversen Maschinenteilen und ihren diversen Betriebsarten (Normalbetrieb, Wartung, Fehlerdiagnose). Hierbei muss besonders das unerwartete Anlaufen einer Maschine betrachtet werden und das Verhalten des Bedienpersonals, wie z.b. bei Stress, Müdigkeit, Unerfahrenheit, usw. Wahrscheinlichkeit des Eintritts Wahrscheinlichkeit (W) Sehr hoch 5 Wahrscheinlich 4 Möglich 3 Selten 2 Unwahrscheinlich 1 Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens P Dieser Parameter bezieht sich auf die Gestaltung der Maschine. Er berücksichtigt die Plötzlichkeit des Auftretens eines gefahrbringenden Ereignisses, die Art der Gefährdung (Schneiden, Temperatur, Elektrizität), die Möglichkeit der physischen Vermeidung der Gefährdung und die Möglichkeit des Erkennens eines gefahrbringenden Ereignisses. Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens (P) Unmöglich 5 Selten 3 Wahrscheinlich 1 44

Bestimmung des SIL-Wertes: Die Bestimmung des SIL-Wertes wird mit Hilfe der unten aufgeführten Tabelle vorgenommen. In unserem Beispiel hat die Schwere (S) den Wert 3, da das Risiko besteht, dass ein Finger abgetrennt wird; dieser Wert wird in der ersten Spalte der Tabelle gezeigt. Alle weiteren Parameter müssen zusammengezählt werden, um dann eine Klasse auszuwählen (vertikale Spalten der unten aufgeführten Tabelle). Hierbei kommt man zu folgendem Ergebnis: F = 5 Zugang mehrmals am Tag W = 4 gefahrbringendes Ereignis wahrscheinlich P = 3 Wahrscheinlichkeit der Vermeidung fast unmöglich Es ergibt sich eine Klasse von K = F + W + P = 5 + 4 + 3 = 12 Das sicherheitsbezogene, elektrische Steuerungssystem (SRECS) der Maschine muss diese Funktion mit einem Integritätslevel von SIL 2 ausführen. Schwere (S) 4 3 2 1 Klasse (K) 3-4 5-7 8-10 11-13 14-15 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 (AM) SIL 1 SIL 2 SIL 3 (OM) SIL 1 SIL 2 (AM) SIL 1 Grundstruktur des SRECS Bevor die einzelnen Hardwarekomponenten detailliert betrachtet werden, wird das System in Teilsysteme unterteilt. In unserem Beispiel werden 3 Teilsysteme benötigt, um Eingabe-, Verarbeitungs- und Ausgabefunktionen auszuführen. Die folgende Abbildung stellt diesen Schritt dar, unter Verwendung der in der Norm angeführten Terminologie. SRECS Teilsysteme Teilsystem Elemente Eingang Logik (Verarbeitung) Ausgang 45

Schritt 2 Unterteilen Sie jede Funktion in Funktionsblöcke (FB) Ein Funktionsblock (FB) ist das Ergebnis einer detaillierten Unterteilung einer sicherheitsbezogenen Funktion. Durch die Unterteilung in Funktionsblöcke wird ein erstes Konzept der SRECS-Architektur erstellt. Die Sicherheitsanforderungen an jeden Block werden von der Spezifikation der Sicherheitsanforderungen an die betreffende sicherheitsbezogene Steuerungsfunktion abgeleitet. SRECS Zielwert SIL = SIL2 Teilsystem 1 Teilsystem 2 Teilsystem 3 Sensor Schutzeinrichtung Funktionsblock FB1 Eingang Logik (Verarbeitung) Funktionsblock FB2 Logik Umschalt. der Motorleistung Funktionsblock FB3 Ausgang Schritt 3 Listen Sie die Sicherheitsanforderungen für jeden Funktionsblock auf und ordnen Sie die Funktionsblöcke den Teilsystemen der Architektur zu. Jeder Funktionsblock wird einem Teilsystem in der SRECS-Architektur zugeordnet. (Die Norm definiert Teilsystem so, dass der Ausfall eines Teilsystems zum Ausfall der sicherheitsbezogenen Steuerungsfunktion führt.) Jedem Teilsystem können mehrere Funktionsblöcke zugeteilt werden. Jedes Teilsystem kann Teilsystemelemente enthalten und gegebenenfalls Diagnosefunktionen, um sicherzustellen, dass Ausfälle erkannt und passende Maßnahmen getroffen werden. Diese Diagnosefunktionen werden als separate Funktionen angesehen; sie können im Teilsystem oder von einem anderen Teilsystem ausgeführt werden. Die Teilsysteme müssen mindestens den gleichen SIL-Wert haben wie die gesamte sicherheitsbezogene Steuerungsfunktion, jeweils mit eigener SIL-Anspruchsgrenze (SILCL). In diesem Fall muss SILCL für jedes Teilsystem 2 sein. Teilsystem 1 Sensor Schutzeinr. Verriegel.schalter 1 Teilsystem Element 1.1 Verriegel.schalter 2 Teilsystem Element 1.2 SILCL 2 SRECS Teilsystem 2 Logik (Verarbeit.) Sicherheitscontroller SILCL 2 Teilsystem 3 Umschaltung der Motorleistung Schütz 1 Teilsystem Element 3.1 Schütz 2 Teilsystem Element 3.2 SILCL 2 46

Schritt 4 Wählen Sie die Komponenten für jedes Teilsystem Die unten aufgeführten Produkte wurden ausgewählt. Sensor Schutzeinrichtung Teilsystem 1 (SB1) Logik (Verarbeitung) Teilsystem 2 (SB2) Schalten von Leistung Teilsystem 3 (SB3) Sicherheitsschalter 1 Schütz 1 Sicherheitsschalter 2 Schütz 2 (Teilsystemelemente) SB1 SILCL 2 Sicherheitsrelais SB2 SILCL 2 (Teilsystemelemente) SB3 SILCL 2 Komponente Anzahl der % gefahrbringende Lebensdauer Schaltspiele (B10) Ausfälle Sicherheits-Positionsschalter XCS 10.000.000 20 % 10 Jahre XPS AK Sicherheitsmodul PFH D = 7,389 x 10-9 LC1 TeSys Schütz 1 000 000 73 % 20 Jahre Die Zuverlässigkeitsdaten werden vom Hersteller geliefert. Die Zykluslänge in diesem Beispiel beträgt 450 Sekunden, daraus ergibt sich ein Arbeitszyklus C von 8 pro Stunde, d.h. die Schutzeinrichtung wird 8 mal pro Stunde geöffnet. 47

Schritt 5 Gestalten Sie die Diagnosefunktion Der durch die Teilsysteme erreichte SIL-Wert hängt nicht nur von den Komponenten, sondern auch von der verwendeten Architektur, ab. In diesem Beispiel wählen wir Architektur B für die Schützausgänge und Architektur D für den Endlagenschalter (siehe Anhang 1 dieser Anleitung zur Erläuterung der Architekturen A, B, C und D). Bei dieser Architektur führt das Sicherheitsmodul Selbstdiagnosen durch und überprüft auch die Sicherheitsendlagenschalter. Es gibt drei Teilsysteme, für die die SIL-Anspruchsgrenzen (SILCL) festgelegt werden müssen: SB1: zwei Sicherheitsendlagenschalter im Teilsystem der Architektur D (redundant); SB2: ein Sicherheitsmodul mit SILCL 3 (aus den Daten ermittelt, einschließlich PFH-Wert D, die vom Hersteller zur Verfügung gestellt werden); SB3: zwei Schütze, die nach Architektur B verwendet werden (redundant ohne Rückmeldung) Die Berechnung umfasst die folgenden Parameter: B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind. C: Arbeitszyklus (Anzahl der Arbeitszyklen pro Stunde). l D : Rate der gefahrbringenden Ausfälle (l = x Anteil der gefahrbringenden Ausfälle). b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache (CCF-Faktor): siehe Anhang F der Norm. T1: Proof-Testintervall oder Lebensdauer, wenn dieser Wert geringer ist (laut Herstellerangabe). Die Norm sagt aus, dass eine Lebensdauer von 20 verwenden werden sollte, um ein unrealistisch kurzes Proof-Testintervalls zu vermeiden, das verwendet wird, um bei der Berechnung den SIL-Wert zu verbessern. Die Norm erkennt natürlich an, dass elektromechanische Komponenten ausgetauscht werden müssen, wenn die angegebene Anzahl der Schaltspiele erreicht wurde. Als T1-Wert kann daher die vom Hersteller angegebene Lebensdauer verwendet werden oder im Fall von elektromechanischen Komponenten der B10 D -Wert geteilt durch die Anzahl der Arbeitszyklen C. T2: Diagnose-Testintervall. DC: Diagnose-Deckungsgrad = l DD / l Dtotal ist das Verhältnis der Rate der erkannten gefahrbringenden Ausfälle zur Rate der gesamten gefahrbringenden Ausfälle. 48

Sensor Schutzeinrichtung Teilsystem 1 (SB1) Logik (Verarbeitung) Teilsystem 2 (SB2) Schalten von Leistung Teilsystem 3 (SB3) Teilsystemelement 1.1 l e = 0,1 C/B 10 l De = l e 20% Teilsystemelement 3.1 l e = 0,1 C/B 10 l De = l e 73% Teilsystemelement 1.2 l e = 0,1 C/B 10 l De = l e 20% D D Teilsystemelement 3.2 l e = 0,1 C/B 10 l De = l e 73% Sicherheitsrelais Teilsystem SB1 Teilsystem SB2 Teilsystem SB3 PFH D =? (Architektur D) PFH D = 7,389x10-9 PFH D =? (Architektur B) Rückführungsschleife nicht verwendet Die Ausfallrate, l, eines elektromechanischen Teilsystemelements wird definiert als le = 0,1 x C / B10. Dabei ist C die Anzahl der Arbeitszyklen pro Stunde und B10 die Anzahl der Arbeitszyklen bis 10 % der Komponenten ausgefallen sind. In diesem Beispiel nehmen wir an C = 8 Arbeitszyklen pro Stunde. SB1-2 überwachte Sicherheits- Positionsschalter SB3-2 Schütze ohne Diagnosefunktionen Anfälligkeit für Ausfälle für jedes Element l e l e = 0,1 C/B 10 Anfälligkeit für gefahr-bringende Ausfälle für jedes Element l De l De = l e x - Anteil der gefahrbringenden Ausfälle DC 99 % Nicht relevant CCF-Faktor b Angenommener schlimmster Fall: 10 % T1 min (Lebensdauer B10d/C) T1 = B 10D /C (10.000.000/20 %)/8 = 87.600 (10.000.000/73 %)/8 = 171.232 Diagnose-Testintervall T2 Jede Anforderung, d.h. 8 x pro Stunde, = 1/8 = 0,125 Std. Nicht relevant Anfälligkeit für gefahrbringende Ausfälle für jedes Teilsystem Formel für Architektur B: l DssB =(1 b) 2 x l De1 x l De2 x T 1 + b x (l De1 + l De2 )/2 Formel für Architektur D l DssD = (1 b) 2 {[ l De2 x 2 x DC ] x T 2 /2 + [ l De2 x (1 DC) ] x T 1 } + b x l De l DssB = (1 0,9) 2 x l De1 x l De2 x T 1 + b x (l De1 + l De2 )/2 CCF-Faktor = Anfälligkeit für Ausfälle infolge gemeinsamer Ursache 49

Für die Ausgangsschütze in Teilsystem SS3 muss der PFH d -Wert berechnet werden. Bei Architektur B (Einfehlertoleranz, ohne Diagnose) wird die Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Teilsystems wie folgt berechnet: l DssB =(1 b) 2 x l De1 x l De2 x T 1 + b x (l De1 + l De2 )/2 [Gleichung B der Norm] PFHDssB = l DssB x 1h In diesem Beispiel b = 0,1 l De1 = l De2 = 0,73 (0,1 x C/1.000.000) = 0,73(0,8/1.000.000) = 5,84 x 10-7 T1 = min( Lebensdauer, B10 D /C) = min (175.200*, 171.232) = 171.232 Stunden * Lebensdauer 20 Jahre, mindestens 175.200 Stunden l DssB = (1 0,1) 2 x 5,84 x 10-7 x 5,84 x 10-7 x 171.232 + 0,1 x ((5,84 x 10-7 ) + (5,84 x 10-7 ))/2 = 0,81 x 5,84 x 10-7 x 5,84 x 10-7 x 171 232 + 0,1 x 5,84 x 10-7 = 0,81x 3,41056 x 10-13 x 171 232 + 0,1 x 5,84 x 10-7 = (3,453 x 10-8 ) + (5,84 x 10-8 ) = 1,06 x 10-7 Da PFH DssB = l DssB x 1h, PFH D für die Schütze in Teilsystem SS3 = 1,06 x 10-7 Für die Eingangsendlagenschalter in Teilsystem SS1 muss der PFH D -Wert berechnet werden. Für Architektur D ist Einfehlertoleranz mit Diagnosefunktion festgelegt. Bei dieser Architektur führt ein einziger Fehler in einem der Teilsystemelemente nicht zum Verlust der SRCF. T 2 : Diagnose-Testintervall; T 1 : Proof-Testintervall oder die Lebensdauer, wenn dieser Wert geringer ist. b: Anfälligkeit für Ausfälle infolge gemeinsamer Ursache; l D = l DD + l DU ; wobei l DD die Rate der erkennbaren, gefahrbringenden Ausfälle ist und l DU die Rate der nicht erkennbaren, gefahrbringenden Ausfälle. l DD = l D x DC l DU = l D x (1 DC) Für Teilsystemelemente mit gleicher Gestaltung gilt: l De : Anfälligkeit für gefahrbringende Ausfälle jedes Teilsystemelements; DC: Diagnose-Deckungsgrad eines Teilsystemelements. l DssD = (1 b) 2 {[ l De 2 x 2 x DC ] x T 2 /2 + [l De 2 x (1 DC) ] x T 1 } + b x l De 50

D.2 der Norm PFH DssD = l DssD x 1h l e = 0,1 x C / B10 = 0,1 x 8/10.000.000 = 8 x 10-8 l De = l e x 0,2 = 1,6 x 10-8 DC = 99% b = 10% (im schlimmsten Fall) T 1 = min (Lebensdauer, B10 D /C) = min[87600*,(10.000.000/20%)] = 87.600 Stunden T 2 = 1/C = 1/8 = 0,125 Std. * Lebensdauer 10 Jahre, mindestens 87.600 Stunden Aus D.2: l DssD = (1 0,1) 2 {[ 1,6 x 10-8 x 1,6 x 10-8 x 2 x 0,99 ] x 0,125 /2 + [1,6 x 10-8 x 1,6 x 10-8 x (1 0,99) ] x 87.600} + 0,1 x 1,6 x 10-8 = 0,81 x {[5,0688 x 10-16 ] x 0,0625 + [2,56 x 10-16 x(0,01)] x 87.600} + 1,6 x 10-9 = 0,81 x {3,168 x 10-17 + [2,56 x 10-18 ] x 87.600} + 1,6 x 10-9 = 1,82 10-13 = 1,6 x 10-9 Da PFH DssD = l DssD x 1 Std., ist PFHD für die Entlagenschalter in Teilsystem SS1 = 1,63 x 10-9 Wir wissen bereits, dass bei Teilsystem SB2 der PFH D -Wert des Funktionsblocks Logik (realisiert durch das Sicherheitsrelais XPSAK) 7,389 x 10-9 ist (Herstellerdaten). Der Gesamt-PFH D -Wert des sicherheitsbezogenen, elektrischen Steuerungssystems (SRECS) ist die Summe der PFH D -Werte aller Funktionsblöcke und wird daher wie folgt berechnet: PFH DSRECS = PFH DSS1 + PFH DSS2 + PFH DSS3 = 1,6 10-9 + 7,389 10-9 + 1,06 10-7 = 1,15 x 10-7 Der Wert liegt somit laut unten aufgeführter Tabelle der Norm innerhalb der Grenzwerte für SIL 2. Sicherheits- Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, PFH D 3 >10-8 bis <10-7 2 >10-7 bis <10-6 1 >10-6 bis <10-5 Beachten Sie, dass durch Verwendung von Schützen mit Spiegelkontakten Architektur D für die Antriebssteuerungsfunktion gilt (redundant mit Rückmeldung) und damit die SIL-Anspruchsgrenze von SIL2 auf SIL 3 steigt. Dadurch wird eine weitere Risikominderung in Bezug auf die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion erreicht; ganz im Sinne des ALARP- Prinzips, das besagt, dass Risiken auf ein Maß reduziert werden müssen, welches den höchsten Grad an Sicherheit garantiert, der vernünftigerweise praktikabel ist. LC1D TeSys Schütze mit Spiegelkontakten 51

Berechnungsbeispiel nach Norm EN ISO 13849-1 Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: General principles for design Wie bei EN IEC 62061 kann der Prozess in 6 logische Schritte eingeteilt werden. SCHRITT 1: Risikobeurteilung und Ermittlung der notwendigen Sicherheitsfunktionen. SCHRITT 2: Bestimmen Sie den erforderlichen Performance Level (PLr) für jede Sicherheitsfunktion. SCHRITT 3: Legen Sie die Zusammenstellung der sicherheitsbezogenen Teile fest, die die Sicherheitsfunktion ausführen. SCHRITT 4: Legen Sie das Performance Level PL für alle sicherheitsbezogenen Teile fest. SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des SRP/CS* der Sicherheitsfunktion mindestens dem PLr-Wert gleicht. SCHRITT 6: Validieren Sie, dass alle Anforderungen erfüllt sind (siehe EN ISO 13849-2). *Sicherheitsbezogenes Teil des Steuerungssystems (Sicherheitsbezogenen Maschinensteuerungssystem in EN ISO 13849-1). Für weitere Informationen, siehe Anhang 2 dieser Anleitung. SCHRITT 1: Wie im vorherigen Beispiel brauchen wir eine Sicherheitsfunktion, bei der die Energiezufuhr zum Motorantrieb getrennt wird, wenn die Schutzeinrichtung geöffnet wird. SCHRITT 2: Unter Verwendung des Risikographen in Abbildung A.1 der EN ISO 13849-1 und der gleichen Parameter wie im vorherigen Beispiel, kann das benötigte Performance Level d bestimmt werden (Hinweis: PL=d wir oft als äquivalent zu SIL 2 bezeichnet). H = Hoher Beitrag zur Risikominderung durch das Steuerungssystem L = Geringer Beitrag zur Risikominderung durch das Steuerungssystem S = Schwere der Verletzung S1 = leichte Verletzung (normalerweise reversibel) S2 = schwere Verletzung (normalerweise irreversibel, einschließlich Tod) F = Häufigkeit und/oder Dauer der Gefährdungsexposition F1 = selten bis öfter und/oder kurze Gefährdungsexposition F2 = häufig bis dauernd und/oder lange Gefährdungsexposition P = Möglichkeit der Vermeidung der Gefährdung oder Begrenzung des Schadens P1 = möglich unter bestimmten Bedingungen P2 = kaum möglich 52

SCHRITT 3: Wir verwenden die gleiche Grundarchitektur wie im vorherigen Beispiel für EN IEC 62061, d.h. Architektur der Kategorie 3 ohne Rückmeldung Eingang Logik Ausgang Sicherheitsschalter 1 SW1 Schütz 1 CON1 Sicherheitsschalter 2 SW2 Sicherheitsrelais XPS Schütz 2 CON2 SRP/CS a SRP/CS b SRP/CS c SCHRITT 4: Der PL-Wert des SRP/CS wird durch Einschätzung der folgenden Parameter bestimmt: (s. Anhang 2): - Die Kategorie (Struktur) (siehe Kapitel 6 der EN ISO 13849-1). Beachten Sie, dass in diesem Beispiel die Verwendung einer Architektur der Kategorie 3 bedeutet, dass Schütze ohne Spiegelkontakte verwendet werden. - Der MTTF d -Wert der einzelnen Komponenten (siehe Anhänge C und D der EN ISO 13849-1) - Der Diagnose-Deckungsgrad (siehe Anhang E der EN ISO 13849-1) - Die Ausfälle infolge gemeinsamer Ursache (siehe Tabelle in Anhang F der EN ISO 13849-1) Folgende Herstellerdaten liegen für die Komponenten vor: Beispiel-SRP/CS B10 (Arbeitszyklen) MTTF d (Jahre) DC Sicherheits-Positionsschalter 10.000.000 99% Sicherheitsrelais XPSAK 154,5 99% Schütze 1.000.000 0% Beachten Sie, dass der Hersteller nur B10 oder B10 d -Daten für die elektromechanischen Komponenten angeben kann, da er die Anwendungsdetails und speziell die Zyklusrate der elektromechanischen Komponenten nicht kennt. Das erklärt, warum ein Hersteller keinen MTTF d -Wert für ein elektromechanisches Gerät bereitstellen kann. 53

Der MTTF d -Wert der Komponenten kann mit folgender Formel berechnet werden: MTTF d = B10 d / (0,1 x n op ) Dabei ist n op die durchschnittliche Anzahl der Arbeitszyklen pro Jahr. B10: Anzahl der Arbeitszyklen, bis 10 % der Komponenten ausgefallen sind. B10 d : Erwartete Zeit, bis zu der 10 % der Komponenten gefahrbringend ausgefallen. Ohne genaues Wissen über die Anwendungsart einer Komponente und was dabei einen gefahrbringenden Ausfall darstellt, wird ein Prozentsatz von 20 % eines gefahrbringenden Ausfalls für einen Sicherheitsschalter festgelegt und daher B10 d = B10/20 %. Beim Schütz beträgt der Prozentsatz 73 % und daher B10 d = B10/73 %. Angenommen, die Maschine ist pro Tag 8 Stunden in Betrieb, an 220 Tagen pro Jahr, mit einer Zykluszeit von 120 Sekunden wie zuvor, dann beträgt n op = 52.800 Arbeitszyklen pro Jahr. Übersicht der Werte: Beispiel SRP/CS B10 (Arbeitszyklen) B10d MTTFd (Jahre) DC Sicherheits-Positionsschalter 10.000.000 50.000.000 9.469 99 % Sicherheitsrelais XPSAK 154,5 99 % Schütze 1.000.000 1.369.863 259 0 % Der fettgedruckte rote MTTF d -Wert wurde aus den Anwendungsdaten unter Einbeziehung der Zyklusraten und den B10-Daten ermittelt. Mit Hilfe der sogenannten Parts-Count-Methode, die in Anhang D der Norm beschrieben wird, kann der MTTF d - Wert für jeden Kanal ermittelt werden. SW1 MTTF d = 9469 a CON1 MTTF d = 259 a Kanal 1 XPS SW2 MTTF d = 9469 a MTTF d = 154,5 a CON2 MTTF d = 259 a Kanal 2 In diesem Beispiel ist die Berechnung für die Kanäle 1 und 2 identisch: 1 1 1 1 1 = + + = MTTF d 9469 Jahre 154,5 Jahre 259 Jahre 95,85 Jahre Der MTTF d -Wert für jeden Kanal ist daher 95 Jahre; laut Tabelle 3 der Norm ist dieser Wert hoch. 54

Aus den Gleichungen in Anhang E der Norm können wir den DC avg der Schaltung berechnen. Der DC-Wert wird für jede Maßnahme einzeln ermittelt und nach folgender Formel errechnet: DC avg = DC S1 DC S2 DC + + + SRP MTTF d,s1 MTTF d,s2 MTTF d,srp 1 1 1 + + + MTTF d,s1 MTTF d,s2 MTTF d,srp DC avg = 0,99 + 0,99 + 0,99 + 0,99 + 0 + 0 9469 9469 154,5 154,5 295 259 1 1 1 1 1 1 + + + + + 9469 9469 154,5 154,5 295 295 = 0,624 = > 62,4 % Dieses Ergebnis entspricht einem DC avg von niedrig. Für die Ausfälle infolge gemeinsamer Ursache (CCF) ist im Anhang F der EN ISO 13849-1 das Punktevergabeverfahren für Schaltungen ab Kategorie 2 vorgesehen. Anhand von durchgeführten Maßnahmen werden die Antworten mit vorgegebenen Punkten bewertet. Ziel ist es, von 100 möglichen Punkten mindestens 65 Punkte zu erreichen. Dann sind die Anforderungen erfüllt. Sollten die 65 Punkte nicht erreicht werden, so ist das Verfahren gescheitert und es müssen zusätzliche Maßnahmen ergriffen werden. Anhand folgender (vereinfachter) Tabelle ergeben sich für das Beispiel folgende Werte: Möglich Beispiel Physikalische Trennung zwischen Signalpfaden z.b. Trennung der Verdrahtung, Luftstrecken 15 15 Unterschiedliche Technologien, Gestaltung oder physikalische Prinzipien 20 Schutz gegen Überspannung, Überstrom, 15 15 Bewährte Bauteile 5 5 Ausfallanalyse, Effektanalyse 5 Geschultes Personal 5 5 System auf EMV-Immunität geprüft 25 25 Umweltbedingungen (Temperatur, Feuchte, ) 10 10 Summe 100 75 In diesem Beispiel ergeben sich daher 75 Punkte, wodurch die Abschätzung des CCF ein positives Ergebnis bringt. Wichtig ist die Tatsache, dass pro Maßnahme nur die jeweils volle Punktezahl vergeben werden kann oder überhaupt keine Punkte. 55

SCHRITT 5: Stellen Sie sicher, dass der PL-Wert des Systems mindestens dem erforderlichen PL (PL r )-Wert gleicht. Da wir in unserem Beispiel eine Architektur der Kategorie 3, einen hohen MTTF-Wert d und einen niedrigen durchschnittlichen Diagnose-Deckungsgrad (DC avg ) haben, kann der unten aufgeführten Grafik (Bild 5 der Norm) entnommen werden, dass PL = d und damit der erforderliche Wert von PL r = d erreicht wurde. Die Zielsetzung ist damit erfüllt. Wie beim Berechnungsbeispiel nach EN IEC 62061 müssen die Spiegelkontakte der beiden Schütze nur mit dem Rückführkreis des Sicherheitsrelais verbunden werden, damit eine Architektur der Kategorie 4 erreicht wird. Bei der Berechnung ändert sich der MTTF d -Wert des Systems nicht. Durch Verwendung des Rückführkreises wird für die Schütze ein Diagnose-Deckungsgrad von DC = 99 % festgesetzt. Es ergibt sich ein DC avg = 99 %, welches einem Wert von hoch entspricht. Der PL-Wert erhöht sich damit von d auf e. Damit liegt der erreichte PL höher als der geforderte PL r und die Zielsetzung ist damit ebenfalls erfüllt. Performance Level EN ISO 13849-1 a b c d e 1 1 2 3 Sicherheits-Integritätslevel EN IEC 62061 Kat. B Kat. 1 Kat. 2 Kat. 2 Kat. 3 Kat. 3 Kat. 4 DCav = DCav = DCav = DCav = DCav = DCav = DCav = 0 0 niedrig mittel niedrig mittel hoch Höhe der Sicherheitskategorie EN ISO 13849-1 MTTF d jedes einzelnen Kanals = niedrig MTTF d jedes einzelnen Kanals = mittel MTTF d jedes einzelnen Kanals = hoch SCHRITT 6: Validierung Überprüfen Sie die Funktionalität und führen Sie gegebenenfalls Tests durch (EN ISO 13849-2). 56

57

Software-Assistent SISTEMA 58

Software-Assistent SISTEMA Sämtliche Berechnungen gemäß EN ISO 13849-1 können mit dem Taschenrechner oder mit Tabellenkalkulationsprogrammen durchgeführt werden. Dazu sind die Formeln der Normen entsprechend anzuwenden. Eine weitere und elegantere Möglichkeit ist der Software-Assistent SISTEMA des IFA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung vormals BGIA). Dieser Assistent bietet Hilfestellung bei der Bewertung der Sicherheit von Steuerungen im Rahmen der EN ISO 13849-1. Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der vorgesehenen Architekturen nach und berechnet Zuverlässigkeitswert einschließlich des erreichten Performance Level (PL). Der Assistent kann nach Registrierung kostenlos auf den Computer geladen und installiert werden. Um mit den Bauteilwerten direkt die Berechnungen durchführen zu können, stellt Schneider Electric für diesen Assistenten eine Bibliothek mit relevanten Sicherheitskomponenten zur Verfügung. Diese Bibliothek kann ebenfalls kostenlos aus dem Internet geladen werden. Somit müssen in SISTEMA die bauteilrelevanten Daten nicht mehr eingegeben werden, sondern können nach Laden der Bibliothek direkt ausgewählt werden. Alle Links zum Software-Assistenten SISTEMA und zur Schneider Electric Bauteilbibliothek finden Sie auf unserer Internetseite im Bereich der Maschinensicherheit (siehe Kapitel Informationsquellen). Software-Assistent SISTEMA zur Bewertung der Sicherheit im Rahmen der EN ISO 13849-1 SISTEMA-Bibliothek von Schneider Electric mit PREVENTA-Sicherheitstechnik und weiteren Sicherheitsprodukten 59

Zertifizierte Sicherheitslösungen 60

Zertifizierte Sicherheitslösungen Verringerung von Kosten und Zeit beim Maschinendesign dank der Unterstützung unserer Sicherheitslösungen Schneider Electric ermöglicht es Ihnen, durch die Verwendung unserer zertifizierten Sicherheitslösungen, Ihre Maschine an die neuen Sicherheitsnormen anzupassen: Diese bestehen aus einem Beispiel einer Sicherheitsanwendung auf Grundlage einer Kombination von zusammenarbeitenden Produkten zum Erreichen einer Sicherheitsfunktion, welche ein bewährtes Prinzipschema umfasst und die entsprechende Berechnung des Sicherheitsniveaus. Dies führt zu Einsparungen von Zeit und Kosten für die Ausstellung eines Maschinenzertifikats gemäß der neuen Europäische Maschinenrichtlinie, indem es als ergänzende Dokumentation beigefügt wird. Es besteht aus: - einem Lösungsvorschlag, welcher das Sicherheitsniveau (Performance Level PL) und das Niveau der funktionalen Sicherheit (Safety Integrity Level SIL) angibt - einer Materialliste und der Systembeschreibung - einem Berechnungsbeispiel des PL und SIL für die Sicherheitsfunktion - einem Schema des sicherheitsrelevanten konzeptionellen Ansatzes - einer Zertifizierung der zusammengeschalteten Produkte zu einer Sicherheitsfunktion durch eine Notifizierungsstelle. Ein menügesteuerter Assistent führt Sie auf unserer Internetseite im Bereich Maschinensicherheit auf Basis einfacher Fragen zu einer passenden Auswahl an möglichen Sicherheitslösungen. Diese werden Ihnen kurz vorgestellt. Darüber hinaus können Sie das entsprechende Dokument für jedes Beispiel als PDF erhalten. Bei der Berechnung der Zuverlässigkeitswerte wird von einer angegebenen typischen Betriebsbedingung ausgegangen. Sollte Ihre Anwendung andere Betriebsbedingungen aufweisen, dann müssen die Berechnungen neu durchgeführt werden, da das vorgegebene Ergebnis nicht verwendbar ist. Um Ihnen die Berechnungen so einfach wie möglich zu gestalten, sind alle Beispiele für den Software-Assistenten SISTEMA als Projekt verfügbar. Laden Sie die Schneider Electric-Bauteilbibliothek inklusive der Projekte von unserer Internetseite (siehe Kapitel Informationsquellen), modifizieren Sie die Betriebsbedingungen für Ihr anzuwendendes Beispiel, und der Software- Assistent SISTEMA führt eine Neuberechnung durch. Die Dokumentation ist für den internationalen Einsatz bereits in englischer Sprache erstellt und zertifiziert worden. Bei Übersetzungen in andere Sprachen ist das englische Originaldokument den Unterlagen beizulegen. Assistent zur Auswahl der passenden Sicherheitslösung 61