Überblick zu den Sicherheitsnormen neue Maschinenrichtlinie 2006/42/EG Europe AG
Maschinensicherheit 2 Die EU - Richtlinien für Maschinen- und Gerätehersteller Maschinenrichtlinie 2006/42/EG Niederspannungsrichtlinie 2006/95/EG EMV Richtlinie 2004/108/EG funktionale Sicherheit IEC/EN 61508-1 EN ISO 13849-1/2 IEC/EN 62061 Elektrische Sicherheit EN 50178 EN 60950-1 EN 61131-2 Elektromagnetische Verträglichkeit: -Strahlung - Störfestigkeit - leitungsgebundene Störung EN 61000 Serie EN 61131-2 EN 550xx Serie Zusätzlich gibt es noch weitere harmonisierte Normen die je nach Produkt beachtet werden müssen
Europäische Maschinenrichtlinie 3 MRL 2006/42/EG Europäische Richtlinie hat keinen gesetzlichen Charakter, erlassen am 29.06.2006 Die Maschinenrichtlinie musste in nationales Recht transformiert werden von allen EU Mitgliedsstaaten. Dies erfolgte in Deutschland durch die 9. Verordnung im Geräte- und Produktsicherheitsgesetz GPSG. GPSG, Maschinenverordnung Nationales Gesetz Gültig ab 29.12.2009 Hinweis: Es gab keine Übergangszeit! - Produkthaftung - Konformitätsbewertung - Technische Sicherheitsanforderungen - Dokumentationsanforderung - CE Erklärung (Maschinenrichtlinie)
Wann ist es erlaubt ein Produkt mit der CE Kennzeichnung zu versehen? 4 Anforderungen an das Produkt: Technische Unterlagen TCF (technical construction file) Technische Produktdokumentation, welche die Konformität für die folgenden Punkte zeigt. Produktname und Beschreibung Konstruktions- und Detailzeichnungen Produktbeschreibung und Erläuterung des speziellen Verwendungszwecks Angabe zu den verwendeten Normen und technischen Spezifikationen Unterlagen zur Risikobeurteilung und Maßnahmen zur Vermeidung Technische Berichte mit den Ergebnissen der Prüfungen die vom Hersteller selbst oder Bevollmächtigten durchgeführt wurden Betriebsanleitung EG - Konformitätserklärung
Kontrolle der Einhaltung laut GPSG 5 Die obersten Landesbehörden kontrollieren durch die zuständigen Behörden, - das Inverkehrbringen neuer Produkte - die Kontrolle der Produkte die sich auf dem Markt befinden Die zuständigen Behörden können laut GPSG 8 - Maßnahmen anordnen, die gewährleisten, dass ein Produkt erst in den Verkehr gebracht wird, wenn es den Anforderungen entspricht. - anordnen, dass ein Produkt von einer zugelassenen Stelle oder einer in gleicher Weise geeigneten Stelle überprüft wird. - verbieten, dass ein Produkt, das nicht den Anforderungen entspricht in den Verkehr gebracht wird. - den Rückruf oder die Rücknahme eines Produktes veranlassen, das den Voraussetzungen nicht entspricht und dieses sicherstellen. - das Inverkehrbringen eines Produkts für den zur Prüfung zwingend erforderlichen Zeitraum vorübergehend verbieten.
Zuständige Behörden in Deutschland 6 Maschinenrichtlinie MRL: kontrolliert durch das Gewerbeaufsichtsamt geprüft nach dem GPSG EMV Richtlinie: kontrolliert durch die Bundesnetzagentur geprüft wird im Bereich der EMV Richtlinie die Plausibilität der ausgestellten EG Konformitätserklärung ordnungsgemäße CE Kennzeichnung von elektrischen Geräten Übereinstimmung mit den EMV - Schutzanforderungen Niederspannungsrichtlinie: kontrolliert durch das Gewerbeaufsichtsamt geprüft nach dem GPSG
Sicherheit von Maschinen Übersicht zu den Normen 7 Konstruktion und Risikobewertung der Maschine Grundbegriffe, allgemeine EN ISO 12100 Gestaltungsleitsätze EN ISO 14121 Risikobeurteilung Funktionale und sicherheitstechnische Anforderungen für die sicherheitsrelevanten Funktionen Entwurf und Realisierung sicherheitsbezogener Funktionen IEC/EN 62061:2005 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmier- Barer elektronischer Steuerungssysteme EN ISO 13849-1:2006 Sicherheit von Maschinen Anwendbar bei sicherheitsbezogenen Teilen von Steuerungen und allen Arten von Maschinen, ungeachtet der verwendeten Technologie und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch usw.) Elektrische Sicherheitsaspekte EN 60204-1 Sicherheit von Maschinen, Elektrische Ausrüstung von Maschinen
Sicherheitsziele in der Gestaltung Risikobeurteilung nach ISO 14121 8 Start Iterativer Prozess Risikobeurteilung Festlegung der Grenzen der Maschine Identifizierung der Gefährdungen Risikoeinschätzung Risikobewertung Wurde das Risiko angemessen reduziert Ja Risikoanalyse Verwendungsgrenzen = Haushalt, Industrie, Räumliche Grenzen = Schnittstellen, Energieversorgung Zeitliche Grenzen = geplante Lebensdauer Welche Gefährdungen sind vorhanden Wie schwerwiegend ist die Gefährdung? Muss etwas gegen die Gefährdung unternommen werden? Ende Nein Maßnahmen zur Reduzierung des Risikos Nach DIN EN ISO 12100
Maßnahmen zur Risikoreduzierung nach ISO 12100 9 Nein Maßnahmen zur Reduzierung des Risikos nach DIN EN ISO 12100 durch eigensichere Konstruktion durch Schutzeinrichtungen (SRP/CS) durch Benutzerinformation Hängt die gewählte Schutzmaßnahme von einer Steuerung ab (SRP/CS) Ja Gestaltung der sicherheitsbezogenen Teile der Steuerung nach DIN EN ISO 13849 z.b.: Formänderung OK z.b.: Abdeckung Sicherheitslichtschranken Sicherheitsfunktionen z.b.: Benutzerhandbuch Restrisiko; Erzeugung neuer Gefährdungen? SRP/CS = sicherheitsbezogenen Teile der Steuerung
Risiko- und Gefahrenbewertung 10 EN ISO 14121 Mechanische Gefährdungen Elektrische Gefährdungen Thermische Gefährdungen Stoßen Quetschen Scheren Schneiden Durchstich EN ISO 12100 Risikoreduzierung Gefährdungen durch Materialien und Substanzen Gefährdung durch Lärm Risikoreduzierung durch Schutzeinrichtungen Risikoreduzierung durch eigensichere Konstruktion Gefährdung durch Strahlung Gefährdungen durch Schwingungen Gefährdung im Zusammenhang mit Ergonomie DIN EN ISO 13849 Sicherheitsbezogene Teile von Steuerungen - funktionale Sicherheit
Risikoreduzierung nach DIN EN ISO 13849 11 Prozessablauf zur Gestaltung sicherheitsbezogener Teil einer Steuerung SCP/CS nach ISO 13849 1 Erforderliches Performance Level PL r bestimmen 2 Wahl der Kategorie 3 Bestimmung der verwendeten Bauteile 4 Bewertung / Berücksichtigung des Diagnosedeckungsgrads DC 5 Bewertung / Berücksichtigung der Robustheit der Steuerung CCF 6 Verifikation des PL für Sicherheitsfunktionen PL>= Pl r 7 Validierung: Sind alle Anforderungen erfüllt worden?
Festlegung des erforderlichen Performance Level (PLr) der Maschine PLr Risikograph S1 F1 P1 P2 P1 a b Risiko gering Schwere der Verletzung (S) S1: leicht (üblicherweise reversible Verletzung) S2: schwer (üblicherweise irreversible Verletzung einschließlich Tod) 12 F2 Häufigkeit u/o Dauer der Gefahrenexposition (F) P2 P1 c F1: selten bis weniger häufig u/o die Zeit der Gefahrenexposition ist kurz S2 F1 P2 P1 d F2: häufig bis dauernd u/o die Zeit der Gefahrenexposition ist lang Möglichkeit zur Vermeidung der Gefährdung (P) F2 P1: möglich unter bestimmten Bedingungen P2 e Risiko hoch P2: kaum möglich Maschine muss PLd erfüllen
Erreichen des nötigen Performance Level 13 Das Performance Level (für die Gestaltung von SRP/CS) betrachtet mehrere Einflussgrößen, die die Sicherheit und Zuverlässigkeit des Systems bestimmen. Der PL - Ansatz betrachtet 4 Hilfsgrößen Vorgesehene Architektur (Kategorie) Hardware Fehlerqualität MTTF d Diagnosedeckungsgrad DC (diagnostic coverage) CCF, Common Cause Failure CCF = Ausfall in Folge gemeinsamer Ursachen Performance Level
Risikobeurteilung, Kategorien, Säulendiagramm 14 Zusammenhang zwischen Kategorie, MTTF d, DC und CCF MTTF d niedrig MTTF d mittel Performance Level a 10-5 bis < 10-4 [h -1 ] Performance Level b 3*10-6 bis < 10-5 [h -1 ] Performance Level c 10-6 bis < 3*10-6 [h -1 ] Performance Level d 10-7 bis < 10-6 [h -1 ] ohne CCF mit CCF mindestens 65 Punkte MTTF d hoch Performance Level e 10-8 bis < 10-7 [h -1 ] PFH D Werte DC Kat. B Kat. 1 Kat. 2 Kat. 2 Kat. 3 Kat. 3 Kat. 4 kein kein niedrig mittel niedrig mittel hoch
Kategorie B und Kategorie 1 15 I L O I = Eingabeeinheit L = Logik O = Ausgabeeinheit Kategorie: Anforderung (Kurzfassung) Systemverhalten MTTF d DC avg CCF Die sicherheitsbezogenen Teile von Das Auftreten eines Fehlers niedrig kein nicht Steuerungen und / oder ihre Schutzeinrichtungen als auch ihre Bauteile müssen in Übereinstimmung mit den kann zum Verlust der Sicherheitsfunktion führen. bis mittel relevant B zutreffenden Normen so gestaltet, gebaut, ausgewählt, zusammengestellt und kombiniert werden, dass sie den zu erwartenden Einflüssen standhalten. Grundlegende Sicherheitsprinzipien müssen verwendet werden. 1 Die Anforderungen von B müssen erfüllt werden. Bewährte Bauteile und bewährte Sicherheitsprinzipien müssen angewendet werden. Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlichkeit des Auftretens ist geringer als in Kategorie B. hoch kein nicht relevant Prinzip zum Erreichen der Sicherheit: Überwiegend durch die Auswahl von Bauteilen charakterisiert
Kategorie 2 16 I L O m TE = Testeinrichtung OTE = Ausgang der TE m = Überwachung TE OTE Die gestrichelten Linien zeigen die vernünftigerweise durchführbare Fehlererkennung Kategorie: Anforderung (Kurzfassung) Systemverhalten MTTF d DC avg CCF 2 Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Die Sicherheitsfunktion muss in geeigneten Zeitabständen durch die Maschinensteuerung geprüft werden, auf jeden Fall beim Anlauf der Maschine und beim Einleiten einer Gefährdungssituation. (z.b.: Start eines neuen Zyklus, Start anderer Bewegung) Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion zwischen den Tests führen. Der Verlust der Sicherheitsfunktion wird durch den Test erkannt. niedrig bis hoch niedrig bis mittel muss beobachtet werden Prinzip zum Erreichen der Sicherheit: Überwiegend durch die Architektur erreicht Testeinrichtung, Überwachung
Kategorie 3 17 I1 L1 O1 c I2 L2 O2 m c = Kreuzvergleich m = Überwachung Die gestrichelten Linien zeigen die vernünftigerweise durchführbare Fehlererkennung Kategorie: Anforderung (Kurzfassung) Systemverhalten MTTF d DC avg CCF Die Anforderungen von B und die Verwendung Wenn ein einzelner Fehler niedrig niedrig muss bewährter Sicherheitsprinzipien müssen erfüllt sein. bis hoch bis beobachtet Sicherheitsbezogene Teile müssen so gestaltet sein, mittel werden dass: 1. ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt und 3 2. wann immer in angemessener Weise durchführbar, der einzelnen Fehler erkannt wird. auftritt, bleibt die Sicherheitsfunktion immer erhalten. Einige, aber nicht alle Fehler werden erkannt. Eine Anhäufung von unerkannten Fehlern kann zum Verlust der Sicherheitsfunktion führen. Prinzip zum Erreichen der Sicherheit: Überwiegend durch die Architektur erreicht 2-kanalig / Redundanz
Kategorie 4 I1 L1 O1 c I2 L2 O2 m c = Kreuzvergleich m = Überwachung Die Linien zeigen die vernünftigerweise durchführbare Fehlererkennung 18 Kategorie Anforderung (Kurzfassung) Systemverhalten MTTF d DC avg CCF Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet sein, dass: 1. ein einzelner Fehler in jedem dieser Teile Wenn ein einzelner Fehler auftritt, bleibt die Sicherheitsfunktion immer erhalten. Die Erkennung von hoch hoch muss beobachtet werden nicht zum Verlust der Sicherheitsfunktion führt Fehleranhäufungen 4 und reduziert die 2. der einzelne Fehler bei oder vor der Wahrscheinlichkeit des nächsten Anforderung an die Sicherheitsfunktion erkannt wird. Wenn dies nicht möglich ist, darf eine Anhäufung von Verlustes der Sicherheitsfunktion (hoher Diagnosedeckungsgrad) Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Prinzip zum Erreichen der Sicherheit: Überwiegend durch die Architektur erreicht 2-kanalig / Redundanz
MTTF d Bauteilgüte 19 Definition: Der MTTF d Wert gibt die mittlere Zeit bis zum gefahrbringenden Ausfall jedes Kanals an Er ist eine statistische Größe, die keine garantierte Lebensdauer angibt. Der MTTF d - Wert wird in 3 Bereiche eingeteilt: Bezeichnung der MTTF d jedes einzelnen Kanals niedrig mittel hoch Bereich der MTTF d jedes einzelnen Kanals 3 Jahre bis 10 Jahre 10 Jarhe bis 30 Jahre 30 Jahre bis 100 Jahre Der PFH D Wert sagt fast das selbe und gibt die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde. Also den Kehrwert des MTTF d größer 100 Jahre zur PL Erreichung nicht erwünscht Der Wert wird vom Bauteilhersteller angegeben.
DC - Diagnosedeckungsgrad 20 Definition: Der Diagnosedeckungsgrad gibt die erkannten gefährlichen Fehler im Verhältnis zu allen aufgetretenen gefährlichen Fehlern an. DC = erkannte gefährliche Fehler alle aufgetretenen gefährliche Fehler DC wird in 4 Bereiche unterteilt: Bezeichnung des DC Bereich des DC kein unter 60 % niedrig 60 % bis unter 90 % mittel 90 % bis unter 99 % hoch 99 % und darüber Diagnosemaßnahmen für die Bestimmung der DC- Werte aus der Norm 13849-1 Anhang E.1 Weitere Maßnahmen finden sich in den Tabellen A.2 bis A.15 der Norm IEC 61508-2
Beispiele für den Diagnosedeckungsgrad 21 Auszug aus der Tabelle E.1 der Norm EN ISO 13849-1 Maßnahme: DC: Zyklischer Testimpuls durch dynamische Änderung der Eingangssignale 90% Plausibilitätsprüfung, z.b.: Verwendung der Schließer und Öffnerkontakte 99% von zwangsgeführten Relais Kreuzvergleich von Eingangssignalen ohne dynamischen Test Kreuzvergleich von Eingangssignalen mit dynamischen Test, wenn 90% Kurzschlüsse nicht bemerkt werden können (bei Mehrfach Ein/Ausgängen) Kreuzvergleich von Eingangssignalen mit unmittelbarem und 99% Zwischenergebnissen in der Logik (L) und zeitlich und logische Programmlaufüberwachung und Erkennung statischer Ausfälle und Kurzschlüsse (bei Mehrfach Ein/Ausgängen) Indirekte Überwachung (z.b.: Überwachung durch Druckbehälter, elektrische Positionsüberwachung von Antriebselementen) Direkte Überwachung (z.b.: elektrische Stellungsüberwachung der 99% Steuerungsventile, Überwachung elektromechanischer Einheiten durch Zwangsführung) Fehlererkennung durch den Prozess Überwachung einiger Merkmale des Sensors (Ansprechzeit, der Bereich 60% analoger Signale, z.b.: elektrischer Widerstand, Kapazität) 0% bis 99 %, abhängig davon, wie oft ein Signalwechsel durch die Anwendung erfolgt. 90 % bis 99 %, abhängig von der Anwendung 0 % bis 99 %, abhängig von der Anwendung; diese Maßnahme ist alleine nicht ausreichend für den erforderlichen Performance Level "e"!
CCF Ausfall in Folge gemeinsamer Ursachen 22 Definition: Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei die Ausfälle der Einheiten unabhängig von einander stattfinden. Maßnahmen gegen CCF werden bei Kategorie 2, 3 und 4 gefordert. Tabelle mit Maßnahmen gegen CCF im Anhang F.1 der Norm 13849-1 Durch die Auswertung müssen mindestens 65 Punkte erreicht werden! Bsp.: Durch zu hohe Temperatur fallen zwei von einander unabhängige Sensoren aus.
Maßnahmen gegen CCF 23 Nr: Maßnahme gegen CCF Punktezahl: 1 Trennung / Abtrennung Physikalische Trennung zwischen den Signalpfaden 15 2 Diversität Unterschiedliche Technologien werden verwendet (programmierbare Elektronik und feste Verdrahtung) 20 3 Entwurf/Anwendung/Erfahrung Schutz gegen Überspannung, Überdruck, Überstrom 15 Verwendung bewährter Bauteile 5 4 Beurteilung/Analyse Sind Ergebnisse einer FMEA berücksichtigt worden 5 5 Kompetenz/Ausbildung Schulung Entwickler/Monteure im Bezug auf CCF 5 6 Umgebung Schutz gegen Verunreinigung und EMV 25 Andere Einflüsse (Temperatur, Schock, Vibration) 10 Es werden mindestens 65 Punkte benötigt! Maximal Punkte möglich 100
Risikobeurteilung, Kategorien, Säulendiagramm 24 Zusammenhang zwischen Kategorie, MTTF d, DC und CCF MTTF d niedrig MTTF d mittel ohne CCF mit CCF mindestens 65 Punkte MTTF d hoch Performance Level a 10-5 bis < 10-4 [h -1 ] Performance Level b 3*10-6 bis < 10-5 [h -1 ] Performance Level c 10-6 bis < 3*10-6 [h -1 ] Performance Level d 10-7 bis < 10-6 [h -1 ] Performance Level e 10-8 bis < 10-7 [h -1 ] PFH D Werte DC Kat. B Kat. 1 Kat. 2 Kat. 2 Kat. 3 Kat. 3 Kat. 4 kein kein niedrig mittel niedrig mittel hoch
Beispiele für Sicherheitsfunktionen 25 Not Halt Taster, Notfall Schnur oder zwangsöffnender Türschalter Bei Betätigung wird über ein Sicherheitsrelais ein Stoppsignal gegeben. Dieses Signal schaltet das System ab. Das Rücksetzsignal darf nicht zum Anlauf der Maschine führen. Laserscanner und Sicherheitslichtschranke Falls in den überwachten Bereich des Laser Scanners eingedrungen wird, bzw. die Sicherheitslichtschranke unterbrochen wird, muss der gefahrbringende Teil der Maschine ausgeschaltet werden.
PL Berechnung einer Sicherheitsfunktion 2 Möglichkeiten 26 Möglichkeit 1: Blockmethode: Notwendig für die genaue Berechnung Die Blockmethode betrachtet das gesamte SRP/CS Am ehesten empfiehlt sich die Anwendung bei komplexen ineinander verwobene SRP/CS Möglichkeit 2: Subsystem - Methode Vereinfachte Form um mit Hilfe von Kombinationstabellen den PL zu bestimmen Falls PFH D - Wert von Subsystemen bekannt, kann PL sehr schnell abgeschätzt werden. PFH D Wert wird vom Hersteller angegeben Sicherheitsfunktion
Gesamt Performance Level der Maschine (Methode 1 - Rechnen) 27 Einfluss der PFH D Werte auf das Gesamt Performance Level Erfassen (Input) Verarbeiten (Logik) Reagieren (Output) Fall 1.) PLe PFH D = 2,2 x 10-9 PLe PFH D = 8,7 x 10-9 PLe PFH D = 2,1 x 10-9 PFH D total = 2,2 x 10-9 + 8,7 x 10-9 + 2,1 x 10-9 = 13 x 10-9 = 1,3 x 10-8 = PLe Fall 2.) PLe PFH D = 2,2 x 10-8 PLe PFH D = 6,78 x 10-8 PLe PFH D = 2,2 x 10-8 PFH D total = 2,2 x 10-8 + 6,78 x 10-8 + 2,2 x 10-8 = 11,18 x 10-8 = 1,12 x 10-7 = PLd PLe = > 10-8 to < 10-7 (SIL3)
Bestimmung des PL für die Reihenschaltung (Methode 2 - Tabelle) 28 Subsystem Methode Das Verfahren erlaubt die Bestimmung des PL der gesamten kombinierten SRP/CS, die die Sicherheitsfunktion ausführen Pl niedrig N niedrig PL Arbeitsschritte 1.) Bestimmen des niedrigsten PL, dies ist PL niedrig 2.) Bestimmen der Anzahl N niedrig N der SRP/CS, mit Pl i = PL niedrig 3.) Nachschlagen des PL in der Tabelle PLe + PLe + PLe PLe a b c d e > 3 nicht möglich 3 a > 2 a 2 b > 2 b 2 c > 3 c 3 d > 3 d 3 e
DIN EN ISO 13849-1/2 & IEC/EN 62061 29 DIN EN ISO 13849-1 Anwendbar bei sicherheitsbezogenen Teilen von Steuerungen und allen Arten von Maschinen, ungeachtet der verwendeten Technologie und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch usw.) versus IEC/EN 62061 Anwendbar bei sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen Steuerungssystemen (SRECS) für Maschinen
Vergleich zwischen PL und SIL 30 PL und SIL sind über den PFH D Wert aufeinander abbildbar! Performance Level, PL ISO 13849 PFH D, Wahrscheinlichkeit gefährlicher Fehler pro Stunde (1/h) Vergleichbare Safety Integrity Level, SIL IEC 62061 a 10-5 bis < 10-4 nicht definiert b 3*10-6 bis < 10-5 1 c 10-6 bis < 3*10-6 1 d 10-7 bis < 10-6 e 10-8 bis < 10-7 2 3
Vielen Dank! Panasonic Ihr Partner für die Automatisierung