mit der Anwendungssoftware SISTEMA Begin der Ausarbeitung: 12.01.2009 Abgabetermin: 02.03.2009 Fachlehrer: Dieter Hennigs Ende der Ausarbeitung: 27.02.2009 Ausgearbeitet von: Bewertung in %: Klasse: FSE A 07
Inhaltsverzeichnis 1 Vorwort... 1 2 Zieldefinition... 1 3 Was ist SISTEMA?... 1 4 Beispiel 18 des BGIA Reports 2/2008... 1 5 Sicherheitsfunktion... 2 5.1 Funktionsbeschreibung... 2 6 Warum Kategorie 3?... 3 7 Sicherheitsbetrachtung der Anlage mit SISTEMA... 4 7.1 Anlegen eines neuen Projektes... 5 8 Sicherheitsfunktion... 5 8.1 Subsystem... 7 9 Blöcke... 10 9.1 Sicherheitspositionsschalter... 10 9.1.1 MTTFd-Wert... 11 9.1.2 DC-Wert... 13 10 Schütz Q1, Q2... 14 10.1 MTTFd-Wert ermitteln... 14 10.1.1 DC-Wert... 16 11 SPS... 16 11.1 MTTFd-Wert... 16 11.2 DC-Wert... 18 12 Zusammenfassung... 18 13 Abkürzungsverzeichnis... 18 14 Erläuterungen einzelner Begriffe... 19 15 Abbildungsverzeichnis... 20 16 Quellen... 20
1 Vorwort In der folgenden Risikobeurteilung sind Verweise zu Handbüchern, Bedienungsanleitungen und benötigter Software aufgeführt. Diese liegen als PDF- Format oder als Originalversion auf der CD SM_Klett_Loof_Marschner digital vor. Besonders wichtige Hinweise und Schlüsselworte wie sicherheitsrelevante Aspekte sind fett hervorgehoben. Hinweise und Informationen, zu den auf der DVD befindlichen Handbüchern und Dokumenten, sind kursiv geschrieben. 2 Zieldefinition Das Ziel dieser Dokumentation ist es, einen Leitfaden und eine Hilfestellung zum Erstellen einer Risikobeurteilung mit Hilfe der Anwendungssoftware SISTEMA 1.0.5 nach der DIN EN ISO 13849 durchzuführen. Dies geschieht auf Basis eines Beispiels des BGIA Reports 2/2008 Kapitel 8.2.1.18 Stellungsüberwachung beweglicher, trennender Schutzeinrichtungen Kategorie 3 PL d (Beispiel 18). Der festgelegte PL ist mit SISTEMA zu beweisen. Der BGIA Report 2/2008 befindet sich auf dem Datenträger SM_ Klett_Loof_Marschner. 3 Was ist SISTEMA? Im Wesentlichen soll mit SISTEMA die Ausfallwahrscheinlichkeit für geplante oder bereits realisierte Steuerungen einfach und schnell berechnet werden können. Durch strukturierte Bedienerführung soll die vollständige und fehlerfreie Anwendung der DIN EN ISO 13849-1 erreicht werden. Die verschiedenen Verfahren der Norm werden in der Software so abgebildet, dass der Anwender nur noch seine Daten in übersichtlichen Eingabemasken eintragen muss und das Ergebnis automatisch berechnet wird. 4 Beispiel 18 des BGIA Reports 2/2008 Die folgende Beispielbeschreibung wurde dem BGIA Report 2/2008 entnommen. In unserem Beispiel handelt es sich um eine automatische Bandsäge mit mechanischer Bremse, die in einer Fertigungszelle (FZ) Holz bearbeitet. Die FZ ist über eine Tür begehbar. Die Endlage der Tür wird von 2 unabhängig voneinander arbeitenden Positionsschaltern erfasst. Die Maschine arbeitet 300 Tage im Jahr und wird 8 Stunden am Tag betrieben, zweimal am Tag muss die Schutztür zur Reinigung und Instandsetzung der Anlage geöffnet werden. Seite 1
5 Sicherheitsfunktion Sicherheitsbezogene Stoppfunktion, eingeleitet durch eine Schutzeinrichtung: Das Öffnen beweglich, trennender Schutzeinrichtungen (Schutztür) leitet die Sicherheitsfunktion STO sicher abgeschaltetes Moment ein. 5.1 Funktionsbeschreibung Das Öffnen der beweglichen, trennenden Schutzeinrichtung (Schutztür) wird durch zwei Positionsschalter, B1 und B2, in Öffner-Schließer-Kombination erfasst. Der Positionsschalter B1 mit zwangsöffnendem Kontakt steuert ein Schütz Q2 an, durch dessen Abfallen gefahrenbringende Bewegungen oder Zustände unterbrochen bzw. verhindert werden. Der Positionsschalter B2 mit Schließer-Kontakt wird von einer Standard-SPS K1 eingelesen, die über die Ansteuerung eines zweiten Schützes Q1 die gleiche Abschaltreaktion bewirken kann. Beim Auftreten eines Bauteilausfalls bleibt die Sicherheitsfunktion erhalten. Die Schaltstellung von B1 wird über einen Schließer-Kontakt ebenfalls in die SPS (K1) eingelesen und auf Plausibilität mit der Schaltstellung von B2 verglichen. Die Schaltung der Schütze Q1 und Q2 wird ebenfalls über zwangsführende Rücklese- Kontakte in der SPS überwacht. Bauteilausfälle in B1, B2, Q1 und Q2 werden durch die SPS erkannt und führen durch das Abfallen von Q1 und Q2 zur Betriebshemmung. Fehler in der SPS werden nur über die Funktion erkannt (Fehlererkennung durch den Prozess). Abbildung 1: Beispiel 18 des BGIA Reports 02/2008 Seite 2
6 Warum Kategorie 3? Abbildung 2: Übersichtsplan Bei Kategorie 3 müssen alle sicherheitsbezogenen Teile so gestaltet sein, dass einzelne Fehler nicht zum Verlust der Sicherheitskategorie führen. Der einzelne Fehler muss bei der nächsten Anforderung der Sicherheitsfunktion (Stellungsüberwachung beweglicher, trennender Schutzeinrichtungen) erkannt werden, d.h. es wird ein Kreuzvergleich zwischen den Kanälen durchgeführt, welcher von der Logik der SPS übernommen wird. Diese Anforderung wird durch Redundanz (2 Kanäle) erzeugt. In Abbildung 2 ist zu sehen, dass als konstruktives Merkmal die Diversität verwendet wurde, d.h. dass unterschiedliche Technologien/Gestaltungen oder physikalische Prinzipien verwendet werden, z. B.: der erste Kanal (schwarzer Strompfad) in programmierbarer Elektronik und der zweite Kanal fest verdrahtet (blauer Strompfad). Seite 3
7 Sicherheitsbetrachtung der Anlage mit SISTEMA Nach dem Starten von SISTEMA öffnet sich die Bedieneroberfläche. Im linken, oberen Teilfenster (A) befinden sich die Projekte in Baumstruktur. Diese Baumstruktur ist gegliedert in verschiedene Grundelemente: Sicherheitsfunktionen SF, Subsystemen SB, Kanälen CH (gegebenenfalls Testkanal TE), Blöcken BL und Elementen EL. Das rechte Teilfenster (B) zeigt das Navigationsfenster mit einer geführten Hilfe. Die Arbeitsoberfläche (C) ist der Arbeitsbereich von SISTEMA, dort werden die Grundelemente der Projektstruktur bearbeitet. Das Teilfenster (D) zeigt die automatisch berechneten Werte der Grundelemente (SF, SB, BL und EL). B A D C Abbildung 3: Oberfläche von SISTEMA Seite 4
7.1 Anlegen eines neuen Projektes Um ein neues Projekt anzulegen, muss der Button Neu (E) betätigt werden. Es öffnet sich das Grundelement PR (Projekt) im linken, oberen Teilfenster (A) sowie im Arbeitsbereich (C) eine Datenmaske. In dieser Datenmaske muss das Projekt definiert (ausfüllen der Daten im Reiter Dokumentation ) werden. Nach der Definitionsphase muss im Reiter Sicherheitsfunktionen eine Sicherheitsfunktion SF hinzugefügt werden. E Abbildung 4: Datenmaske des Projekts 8 Sicherheitsfunktion Die Sicherheitsfunktion ist untergliedert in Dokumentation, PLr (erforderlichen Performance Level), PL (tatsächlicher Performance Level) und dem Reiter Subsysteme. In dem Reiter Dokumentation wird die Sicherheitsfunktion definiert (siehe Abbildung 5). Der Reiter PL zeigt den tatsächlich erreichten PL an, der durch Addition der PFH-Werte aus den untergeordneten Subsystemen ermittelt wird. Der Parameter PFH beschreibt die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde. Seite 5
Hier öffnet sich ein Menü zur Auswahl der Sicherheitsfunktion Abbildung 5: Definition der Sicherheitsfunktion Es besteht die Möglichkeit, den erforderlichen PL direkt anzugeben oder ihn über den Risikograph der DIN EN ISO 13849-1 zu ermitteln. In diesem Beispiel wurde der PLr mit d direkt vorgegeben (siehe Abbildung 6). Nachdem der erforderliche PL festgelegt ist, müssen Subsysteme eingefügt werden. Das Subsystem ist eines der Grundelemente in SISTEMA. Hierarchisch ist es unterhalb der Sicherheitsfunktion und oberhalb des Kanals bzw. des Testkanals einzuordnen. Dazu muss im Reiter Subsysteme ein Subsystem hinzugefügt werden.. Abbildung 6: Vorgabe des erforderlichen PL Seite 6
Abbildung 7: Einfügen eines Subsystems 8.1 Subsystem Nachdem ein Subsystem (Steuerstromkreis) eingefügt wurde, muss der Aufbau des Subsystems bestimmt und definiert werden. Jedes Subsystem besitzt einen PFH-Wert, der direkt angegeben oder aus Kategorie MTTFd und DCavg (siehe Abbildung 7) ermittelt werden kann. Diese Auswahl kann unter Subsystem und dem Reiter PL ausgewählt werden. In dem Reiter Kategorie muss die Kategorie bzw. die Architektur der Steuerung angegeben werden. Dabei wird zwischen (B, 1, 2, 3 und 4) unterschieden. Mit einem Klick in das Feld der Kategorien wird die Kategorie 3 gewählt. Die Haken bei Anforderung der Kategorie wurden alle aktiviert. Seite 7
Hier ist die Kategorie zu wählen Zeigt die Architektur Die Haken wurden aktiv gesetzt Abbildung 8: Auswahl der Kategorie des Subsystems Nun geht es darum, den CCF-Wert festzulegen. SISTEMA bietet die Möglichkeit den CCF- Wert durch angewandte Maßnahmen zu errechnen oder ihn direkt anzugeben. Um den CCF- Wert des Subsystems zu ermitteln, muss die Radiobox CCF-Bewertung durch Angabe der angewandten Maßnahmen aktiv sein (siehe Abbildung 9). Für einkanalige Subsysteme der Kategorien B und 1 ist die Berücksichtigung des CCF nicht erforderlich. Seite 8
Auflistung der zugefügten Maßnahmen Abbildung 9: Berechnen des CCF-Wertes über den Maßnahmen-Katalog Die Bibliothek CCF-Maßnahmen (siehe Abbildung 10) enthält eine Liste mit Maßnahmen gegen Fehler gemeinsamer Ursache inklusive deren Punktewert. Um genügend Punkte nach Anhang F der Norm zu erreichen, müssen genügend geeignete konstruktive Maßnahmen getroffen werden, sodass insgesamt mindestens 65 Punkte erreicht werden. Abbildung 10: Bibliothek der CCF-Maßnahmen Seite 9
Ein besonders wichtiges, konstruktives Merkmal in unserem Beispiel ist die Diversität, d.h. es werden unterschiedliche Technologien/Gestaltungen oder physikalische Prinzipien verwendet, z. B. der erste Kanal in programmierbarer Elektronik und der zweite Kanal fest verdrahtet, dort dient die SPS lediglich als Spannungsversorgung (siehe Abbildung 1). Nachdem der CCF-Wert für das Subsystem ermittelt wurde, müssen nun der MTTFd- und der DCavg-Wert ermittelt werden, dazu bietet SISTEMA die Möglichkeit diese Werte direkt anzugeben oder diese aus untergeordneten Blöcken BL zu berechnen. In diesem Beispiel werden beide Möglichkeiten erläutert. Im Fall eines zweikanaligen Subsystems wird hier der symmetrisierte MTTFd-Wert angezeigt. 9 Blöcke 9.1 Sicherheitspositionsschalter Das Blockelement stellt einen Funktionsblock im Rahmen eines logischen Blockschaltbildes dar. Es unterteilt einen Kanal in logische Funktionseinheiten (z.b. Sensor, Logik, Hauptschütz). F F Abbildung 11: Untergliederung des Subsystems in Blöcken Seite 10
Einen Block fügt man mit einem Klick auf den Button Hinzufügen [F] hinzu. Das Blockelement besteht aus den Reitern: Dokumentation, MTTFd, DC und Elementen (siehe Abbildung 13). Das Element EL belegt die niedrigste Hierarchiestufe der Grundelemente und bietet die Möglichkeit einen Funktionsblock, wie z.b. Schütz Q2, in Haupt- und Hilfsschütz zu unterteilen oder ein elektrisches Hydraulikventil in ein elektrischesund ein hydraulisches Bauteil zu untergliedern. 9.1.1 MTTFd-Wert In dem Reiter Dokumentation wird das Grundelement (Block1, Positionsschalter B1) definiert. Der MTTFd-Wert (38 Jahre) wird bei den Positionsschaltern B1 direkt angegeben. Abbildung 12: Ausschnitt des Datenblattes des Sicherheitspositionsschalter i110-ra123 Der Hersteller SICK schreibt eine Gebrauchsdauer von 38 Jahren vor, wobei der Sicherheitspositionsschalter nach 20 Millionen Schaltspielen (Gebrauchsdauer in Mio.) ausgetauscht werden muss. In Abbildung 12 wurde dieser Wert direkt angegeben, dazu muss die Radiobox MTTFd-Wert direkt angeben aktiv sein. Seite 11
Abbildung 13: Ermitteln der MTTFd-Wertes bei Positionsschalter B2 G Der Fehlerausschuss (G) wurde nicht aktiviert, weil beim Sicherheitspositionsschalter B2 ausschließlich der Schließer-Kontakt verwendet wird, obwohl die Norm für zwangsführende Schalter folgendes vorgibt: Diese Annahmen sind zulässig für Hilfsschalter nach IEC 60957-5-1:1997, Anhang K und bei ausreichender Fixierung und Betätigung des Schalters nach den Herstellerangaben. (Seite 83 der DIN EN ISO 13849-1) Beim Sicherheitspositionsschalter B1 wurde der Fehlerausschuss aktiviert, weil es sich um einen zwangsgeführten Sicherheitspositionsschalter handelt und sowohl Schließer-Kontakt als auch Öffner-Kontakt verwendet werden, dadurch muss kein MTTFd-Wert angegeben werden (siehe Datenblatt Sicherheitspositionsschalter.pdf). Abbildung 14: Ermitteln des MTTFd-Wertes bei B1 Seite 12
9.1.2 DC-Wert In unserem Beispiel wird der DC-Wert über die Maßnahmen-Bibliothek (siehe Abbildung 16) nach DIN EN ISO 13849-1 nach Tabelle E.1 ermittelt Abbildung 15: Ermitteln des DC über die Maßnahmen-Bibliothek Der Kreuzvergleich wird von B1 und B2 über die SPS ausgewertet. Seite 13
Abbildung 16: Bibliothek für den Diagnosedeckungsgrad 10 Schütz Q1, Q2 10.1 MTTFd-Wert ermitteln Bei den Schützen Q1 und Q2 wird der DC- und MTTFd-Wert über Elemente ermittelt. Die Elemente werden mit dem Button Hinzufügen angelegt. Die 2 Schütze werden in Hauptund Hilfsschütz untergliedert (siehe Abbildung 17). Abbildung 17: Struktur der angelegten Elemente Beim Einfügen eines Elements besteht die Möglichkeit das Element zu definieren. Dazu muss das Element im linken, oberen Teilfenster (A) angewählt sein. Schütze besitzen die Technologie elektromechanisch [I] und können mit spezifischen Merkmalen (Typ, Bestellnummer, usw.) in einem dafür vorgesehenen Fenster beschrieben werden (siehe Abbildung 18). Seite 14
I Abbildung 18: Definieren des Elements Hauptschütz von Block Schütz Q2 Nun geht es darum, den MTTFd-Wert des Schützes zu ermitteln. Dazu muss zunächst das Haupt- und Hilfsschütz getrennt voneinander betrachtet werden. Nun muss der Reiter MTTFd des Elements Hauptschütz angewählt werden. In unserem Beispiel wird der MTTFd-Wert über den B10d-Wert ermittelt. Dazu muss die Radiobox MTTFd-Wert über B10d-Wert ermitteln aktiv sein. Im Datenblatt des Hauptschützes befindet sich der Wert mechanische Lebensdauer mit 20.000.000 Schaltspielen, dieser Wert entspricht dem B10d-Wert. Abbildung 19: Ermitteln des B10d-Wertes aus dem Datenblatt Anschließend muss dieser Wert in der Datenmaske B10d eingetragen werden. Aus dem B10d-Wert wird nun über den Button nop berechnen der MTTFd-Wert errechnet. Seite 15
Der MTTFd-Wert wird wie folgt berechnet: = : : : = 300 8 3600 24 60. 60 Der MTTFd-Wert des Hilfsschützes wurde wie folgt ermittelt: Dem Datenblatt wurde der Wert entnommen, dieser Wert entspricht der Ausfallrate der Systeme 1/T. Mit Hilfe des Kehrwertes von kann der B10d-Wert errechnet werden. = =100000000 Abbildung 20: Ausschnitt aus dem Datenblatt des Hilfsschützes 10.1.1 DC-Wert Beim Ermitteln des DC-Wertes wurde wie bei den Positionsschaltern vorgegangen. Siehe Kapitel 8.1.2 (DC-Wert). 11 SPS 11.1 MTTFd-Wert In dem Reiter Dokumentation wird das Blockelement definiert. Anschließend wird dem Datenblatt Anzahl Schaltspiele der Wert 10.000.000 Schaltspiele mechanisch und 100.000 bei Lastnennspannung entnommen (siehe Abbildung 21). Seite 16
Abbildung 21: Ausschnitt des Datenblattes der CPU Dann wurde dem Blockelement ein mechanisches und ein elektrisches Element hinzugefügt. Nach der Definition der Elemente wurde bei beiden Elementen die Radiobox MTTFd-Wert aus Elementen ermitteln angewählt. Bei dem Element Elektronisch wurde der B10d-Wert 100.000 und beim mechanischen Element der Wert 10.000.000 verwendet und anschließend der nop berechnet. Abbildung 22: Berechnung des nop bei dem elektronischen Teil der SPS Seite 17
11.2 DC-Wert Der DC-Wert der Elemente wird über den Maßnahmen-Katalog ermittelt. Der Maßnahmen- Standardkatalog ist unterteilt in Logik, Eingabe- und Ausgabeeinheit. Unter der Kategorie Logik befindet sich der Bibliothekseintrag: Zeitliche und logische Programmlaufüberwachung durch den Watchdog, [ ]. Mit Hilfe dieses Eintrages wird der DC-Wert gedeckt. 12 Zusammenfassung SISTEMA ist ein Windows-Tool zur einfachen Anwendung der Steuerungsnorm EN ISO 13849-1. Es bietet dem Benutzer die Möglichkeit, die Struktur der sicherheitsbezogenen Steuerungsteile auf Basis der sogenannten vorgesehenen Architekturen nachzubilden und erlaubt schließlich eine automatisierte Berechnung der Zuverlässigkeitswerte auf verschiedenen Detailebenen einschließlich des erreichten Performance Levels (PL). Es wird auf den Seiten des BGIA nach einer optionalen Registrierung zum Download bereitgestellt. SISTEMA ist in deutscher und englischer Sprachversion erhältlich, Versionen für weitere Sprachen sind in Vorbereitung. Das Tool wird als Freeware zur kostenlosen Verwendung und Weitergabe an Dritte angeboten (siehe http://www.dguv.de/bgia/de/pra/softwa/sistema/index.jsp# ). 13 Abkürzungsverzeichnis BGIA Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung BL Blockelement CCF Fehler gemeinsamer Ursache CH Kanal DC Diagnosedeckungsgrad DCavg mittlere Test Qualität DIN Deutsches Institut für Normung EL Element EN Europäische Norm FZ Fertigungszelle ISO Internationalen Organisation für Normung MTTFd mittlere Bauteilgüte PFH durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde PL Performance Level PLr Erforderlicher Performance Level SB Subsystem SISTEMA Sicherheit von Steuerungen an Maschinen SF Sicherheitsfunktion TE Testkanal STO Safe Torque Off (sichere Wiederanlaufsperre) Seite 18
14 Erläuterungen einzelner Begriffe Name Erläuterung PL diskreter Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung spezifiziert, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen PLr angewandter Performance Level (PL), um die erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen CCF Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf gegenseitiger Ursache beruhen MTTFd Erwartungswert der mittleren Zeit bis zum gefahrbringenden Ausfall DC Maß für die Wirksamkeit der Diagnose, die bestimmt werden kann als Verhältnis der Ausfallrate der bemerkten gefährlichen Ausfälle und Ausfallrate der gesamten gefährlichen Ausfälle B10 Der B10-Wert für verschleißbehaftete Komponenten wird in Anzahl Schaltspiele ausgedrückt: dies ist die Anzahl der Schaltspiele, bei der im Laufe eines Lebensdauerversuchs 10% der Prüflinge ausgefallen sind. ist der Parameter der Zuverlässigkeit von Komponenten und Systemen. Die Norm geht davon aus, dass alle Systeme oder Komponenten nach Ablauf einer endlichen Zeit ausfallen. Es beschreibt die Ausfallrate der Systeme in der Zeit 1/T. Seite 19
Abbildungsverzeichnis Abbildung 1: Beispiel 18 des BGIA Reports 02/2008... 2 Abbildung 2: Übersichtsplan... 3 Abbildung 3: Oberfläche von SISTEMA... 4 Abbildung 4: Datenmaske des Projekts... 5 Abbildung 5: Definition der Sicherheitsfunktion... 6 Abbildung 6: Vorgabe des erforderlichen PL... 6 Abbildung 7: Einfügen eines Subsystems... 7 Abbildung 8: Auswahl der Kategorie des Subsystems... 8 Abbildung 9: Berechnen des CCF-Wertes über den Maßnahmen-Katalog... 9 Abbildung 10: Bibliothek der CCF-Maßnahmen... 9 Abbildung 11: Untergliederung des Subsystems in Blöcken...10 Abbildung 12: Ausschnitt des Datenblattes des Sicherheitspositionsschalter i110-ra123...11 Abbildung 13: Ermitteln der MTTFd-Wertes bei Positionsschalter B2...12 Abbildung 14: Ermitteln des MTTFd-Wertes bei B1...12 Abbildung 15: Ermitteln des DC über die Maßnahmen-Bibliothek...13 Abbildung 16: Bibliothek für den Diagnosedeckungsgrad...14 Abbildung 17: Struktur der angelegten Elemente...14 Abbildung 18: Definieren des Elements Hauptschütz von Block Schütz Q2...15 Abbildung 19: Ermitteln des B10d-Wertes aus dem Datenblatt...15 Abbildung 20: Ausschnitt aus dem Datenblatt des Hilfsschützes...16 Abbildung 21: Ausschnitt des Datenblattes der CPU...17 Abbildung 22: Berechnung des nop bei dem elektronischen Teil der SPS...17 15 Quellen Navigationsfenster (Hilfe am rechten Rand) der SISTEMA Software DIN Systemhandbuch Safety Integrated 5. Auflage Datenblätter der Firma SICK (Positionsschalter) Datenblätter der Firma Siemens (Speicherprogrammierbare Steuerung) Datenblätter der Firma Klöckner Möller (Haupt- und Hilfsschütze) SICK- Vortrag 29. Januar 2009 Leitfaden sichere Maschinen Safety plus FA. SICK Alle Quellen befinden sich im Anhang der CD SM-Gruppe Klett, Loof, Marschner. Seite 20